Google Tehdit Analizi Grubu (TAG), giderek daha fazla sayıda tehdit aktörünün Rusya’nın Ukrayna’daki savaşını, kimlik avı ve kötü amaçlı yazılım saldırılarında Ukrayna da dahil olmak üzere Doğu Avrupa ve NATO ülkelerini hedeflemek için kullandığını söylüyor.
Raporun öne çıkan özelliği, COLDRIVER olarak izlenen Rusya merkezli bir tehdit grubu tarafından bir NATO Mükemmeliyet Merkezi’ne ve Doğu Avrupa ordularına karşı koordine edilen kimlik avı saldırılarıdır.
Rus bilgisayar korsanları ayrıca bir Ukraynalı savunma müteahhitini ve ABD merkezli birkaç sivil toplum örgütünü (STK) ve düşünce kuruluşunu hedef aldı.
Google TAG Güvenlik Mühendisi, “Çin, İran, Kuzey Kore ve Rusya’dan hükümet destekli aktörlerin yanı sıra çeşitli ilişkilendirilmemiş gruplar, kötü niyetli e-postaları açmak veya kötü niyetli bağlantıları tıklamak için hedefler elde etmek amacıyla Ukrayna savaşıyla ilgili çeşitli temaları kullandı.” dedi Billy Leonard.
Google tehdit analistlerinin de gözlemlediği gibi, Çin’in PLA SSF’sine (Halk Kurtuluş Ordusu Stratejik Destek Gücü) bağlı bir bilgisayar korsanlığı grubu olan Curious Gorge, Ukrayna, Rusya, Kazakistan ve Moğolistan’dan hükümet ve askeri kuruluşları hedef aldı.
Belarus destekli bir tehdit aktörü olan Ghostwriter, olarak bilinen nispeten yeni bir kimlik avı tekniğini kullanırken görüldü. Tarayıcıda Tarayıcı (BitB) kimlik avıMart ayı ortasında kamuya açıklanmış ve ayrıca devlet destekli diğer APT’ler tarafından da benimsenmiştir.
Belarus devlet bilgisayar korsanlarının kimlik avı kampanyaları daha önce Ukraynalı yetkilileri ve askeri personeli hedef aldı. [1, 2] ve Avrupalı mülteci yardım yetkilileri.
Leonard, “Finansal olarak motive olan ve suç aktörleri de güncel olayları kullanıcıları hedef almak için bir araç olarak kullanıyor. Örneğin, bir aktör askeri personeli taklit ederek Ukrayna’daki akrabalarını kurtarmak için para sızdırıyor.” katma.
“TAG ayrıca, her zamanki gibi bir iş faaliyetinde bulunmaya devam eden çok sayıda fidye yazılımı brokerini gözlemlemeye devam etti.”
Ukrayna ve diğer ülkelere karşı önceki kötü niyetli faaliyetler
Bugünkü rapor, Google’ın konuyla ilgili yayınladığı bir başka TAG’ı takip ediyor. Ukrayna’daki Rus savaşıyla bağlantılı kötü niyetli faaliyetler Rus, Çinli ve Beyaz Rusya devlet bilgisayar korsanlarının Ukraynalı ve Avrupalı kuruluşları ve yetkilileri tehlikeye atma çabalarını ortaya çıkaran Mart ayının başlarından itibaren.
Google da bu ay açıkladı ABD hükümetine bağlı Gmail kullanıcılarını uyardı Çin destekli APT31 bilgisayar korsanlığı grubu tarafından koordine edilen kimlik avı saldırılarının hedefi oldular.
Daha önce bildirdiğimiz gibi, bu saldırı seli aynı zamanda dağıtılmış hizmet reddi (DDoS) saldırıları Ukrayna hükümeti ve devlete ait bankaların yanı sıra çok sayıda yıkıcı kötü amaçlı yazılım saldırısı kampanyasını hedef alıyor [1, 2].
Ukrayna’daki Rus savaşının başlamasından bu yana Google, “Dışişleri Bakanlığı, İçişleri Bakanlığı da dahil olmak üzere çok sayıda Ukrayna sitesine ve insanların bilgi bulmasına yardımcı olmak için tasarlanmış Liveuamap gibi hizmetlere karşı DDoS girişimleri” de gözlemlendi.
Google, uygunluk kapsamını genişletti Proje KalkanıUkrayna hükümetine, dünya çapındaki büyükelçiliklere ve diğer hükümetlere web sitelerini çevrimiçi tutmalarına yardımcı olmak için ücretsiz DDoS koruma hizmeti.