Rus hackerlar çok aktif: Fancy Bear Ukraynalı silah tedarikçilerine saldırıyor

Rusya dışındaki Sovyet silah üreticileri Ukrayna savunmasının omurgasını oluşturuyor. Ancak Bulgaristan, Romanya ve Ukrayna'daki bu şirketler, Kremlin'in kötü şöhretli bilgisayar korsanlığı ekibi Fancy Bear için kolay av gibi görünüyor.

Ünlü Rus hacker grubu Fancy Bear, Ukrayna'ya silah tedarik eden silah şirketlerini hedef aldı. Bu, Jena merkezli Alman güvenlik şirketi Eset'in yakın zamanda yaptığı bir araştırmanın sonucu. Daha sonra saldırılar öncelikle Rus işgaline karşı savunmada önemli rol oynayan Bulgaristan, Romanya ve Ukrayna'daki Sovyet silah teknolojisi üreticilerine yönelikti. Afrika ve Güney Amerika'daki silah fabrikaları da etkilendi.

Fancy Bear isimli hacker grubu aynı zamanda Sednit veya APT28 olarak da biliniyor. Ayrıca 2015'te Alman Bundestag'a, bir yıl sonra ABD'li siyasetçi Hillary Clinton'a ve 2023'te SPD parti genel merkezine yapılan saldırılardan da sorumlu olduğu söyleniyor. Uzmanlara göre grup, Rus istihbarat servislerinin siber saldırıları siyasi etki ve istikrarsızlaştırma aracı olarak kullanma yönündeki daha geniş bir stratejisinin parçası. Casusluğun yanı sıra, Batılı demokrasilere yönelik hedefli dezenformasyon kampanyalarına da odaklanılıyor.

"Operasyon RoundPress" adı verilen güncel casusluk kampanyasında, bilgisayar korsanları Roundcube, Zimbra, Horde ve MDaemon gibi popüler web posta yazılımlarındaki güvenlik açıklarından yararlandı. İyi bir yazılım bakımıyla birçok güvenlik açığı ortadan kaldırılabilirdi. Ancak bir durumda, etkilenen şirketler neredeyse tamamen güçsüzdü çünkü saldırganlar, başlangıçta kapatılamayan ve daha önce bilinmeyen bir MDaemon güvenlik açığından faydalanmayı başardılar.

Eset araştırmacılarına göre saldırılar genellikle haber gibi görünen manipüle edilmiş e-postalarla gerçekleştiriliyor. Göndericilerin Kyiv Post veya Bulgar haber portalı News.bg gibi güvenilir kaynaklar olduğu anlaşılıyor. E-posta tarayıcıda açıldığı anda gizli bir kötü amaçlı kod çalışmaya başlıyor. Spam filtreleri başarıyla aşıldı.

Jena uzmanları, saldırıları analiz ettiğinde "SpyPress.MDAEMON" adlı zararlı yazılımı tespit edebildi. Hacker programı yalnızca erişim verilerini okumak ve e-postaları izlemekle kalmıyor. Hatta iki faktörlü kimlik doğrulamayı bile aşabilir. İki faktörlü kimlik doğrulama (kısaca 2FA), çevrimiçi hesaplara giriş yaparken veya hassas verilere erişirken ek bir güvenlik önlemidir. Erişim için yalnızca bir şifrenin yeterli olduğunu değil, aynı zamanda ikinci bir şifrenin de gerekli olduğunu garanti eder. Ancak Fancy Bear saldırganları, birçok durumda 2FA korumasını aşmayı ve sözde uygulama şifrelerini kullanarak posta kutularına kalıcı erişim sağlamayı başardı.

Eset araştırmacısı Matthieu Faou, "Birçok şirket güncel olmayan web posta sunucuları kullanıyor" dedi. "Sadece bir e-postayı tarayıcıda görüntülemek, alıcının aktif olarak herhangi bir şeye tıklamasına gerek kalmadan kötü amaçlı kodun çalıştırılması için yeterli olabilir."