Trace Id is missing

Cadet Blizzard, yeni ve farklı bir Rus tehdit aktörü olarak ortaya çıkıyor

İçinde altıgenler olan mavi ve sarı bir daire.

Rusya’nın Ukrayna işgali ikinci yılına girerken...

Microsoft, konuyla ilgili olarak küresel ortaklarıyla işbirliği yapmaya devam ediyor. Yıkıcı seviyedeki siber becerilerin ve bilgi operasyonlarının ortaya çıkarılmasıyla Rus devletinin desteklediği tehdit aktörleri tarafından kullanılan araç ve teknikler de netlik kazandı. Çatışma boyunca Rus tehdit aktörlerinin kullandığı farklı karmaşıklık ve etki düzeylerine sahip çeşitli yıkıcı yetenekler, kötü niyetli aktörlerin hibrit bir savaş sırasında yeni teknikleri nasıl hızla uygulayabildiğini ve önemli operasyonel hatalar yapıldığında ve güvenlik topluluğu savunmadan yana olduğunda, yıkıcı kampanyalar yürütmenin önündeki pratik sınırlamaları göstermiş oldu. Bu içgörüler, güvenlik araştırmacılarının, savaş ortamında gelişen bu tür saldırılara karşı savunma yapabilmek için tespit ve risk azaltma yeteneklerini sürekli olarak geliştirmelerine yardımcı olacaktır.

Bugün Microsoft Tehdit Analizi, daha önce DEV-0586 olarak izlenen ve şimdi Cadet Blizzard adını alan Rus devlet destekli farklı bir tehdit aktörünün teknikleri hakkında güncellenmiş ayrıntıları paylaşıyor. Geçtiğimiz yıl boyunca bu grubun izinsiz giriş faaliyetlerine ilişkin yaptığımız araştırma sonucunda analizlerimize ve aktörün araçlarına, mağdur profiline ve motivasyonuna ilişkin bilgilerimize büyük güven duyarak bu grubu adlandırılmış bir tehdit aktörüne dönüştürme kriterlerini karşılamış olduk. 

Microsoft, Cadet Blizzard operasyonlarının Rusya Genelkurmay Başkanlığı Ana İstihbarat Direktörlüğü (GRU) ile ilişkili olduğunu ancak Forest Blizzard (STRONTIUM) ve Seashell Blizzard (IRIDIUM) gibi bilinen ve daha yerleşik GRU bağlantılı diğer gruplardan ayrı olduğu kanısına varmıştır. Microsoft, Rus hükumetiyle çeşitli derecelerde bağlantısı olan bir dizi faaliyet grubunu sürekli olarak takip ederken, özellikle Ukrayna'da daha büyük askeri amaçları olması muhtemel yıkıcı siber operasyonlar yürüten, GRU'ya bağlı yeni bir aktörün ortaya çıkması, Rus siber tehdit ortamında kayda değer bir gelişmedir. Rusya’nın Ukrayna’yı işgal etmesinden bir ay önce Cadet Blizzard, Ukrayna hükumet kuruluşlarına karşı Ana Önyükleme Kayıtlarını (MBR) silen yıkıcı bir özellik olan WhisperGate’i yaratıp dağıttığında gelecekte yaşanacak yıkıcı eylemlerin sinyalini vermişti. Cadet Blizzard aynı zamanda çok sayıda Ukraynalı kuruluşun web sitelerinin tahrif edilmesi ile ve "Free Civilian" olarak bilinen “ele geçir ve sızdır” forumu da dahil olmak üzere birçok operasyonla bağlantılıdır. 

Microsoft, WhisperGate’i dağıttığı Ocak 2022’den bu yana Cadet Blizzard’ı takip ediyor. En az 2020'den bu yana belirli bir ölçüde faaliyet gösterdiklerini ve günümüze dek ağ operasyonlarını gerçekleştirmeye devam ettiklerini düşünüyoruz. Rusya'nın Ukrayna'yı işgali boyunca GRU liderliğindeki operasyonların görev alanı ve değerlendirilen hedefleriyle operasyonel olarak tutarlı olan Cadet Blizzard, bölgesel olarak önemli alanlarda odaklanmış yıkıcı saldırılar, casusluk ve bilgi operasyonları gerçekleştirmiştir. Cadet Blizzard'ın operasyonları, Seashell Blizzard gibi daha yerleşik tehdit aktörlerine kıyasla hem ölçek hem de kapsam açısından daha az üretken olsa da, etki yaratmak üzere yapılandırılmıştır ve sıklıkla ağ operasyonlarının sürekliliğini engelleme ve hedefli “ele geçir ve sızdır” operasyonları yoluyla hassas bilgileri ifşa etme riski taşımaktadır. Hedef alınan başlıca sektörler Ukrayna'daki devlet kuruluşları ve bilgi teknolojisi sağlayıcıları olsa da Avrupa ve Latin Amerika'daki kuruluşlar da hedef alınmıştır.

Microsoft, Rusya'nın Ukrayna'daki savaşının başlangıcından bu yana CERT-UA ile yakın bir şekilde çalışmakta ve Cadet Blizzard tarafından gerçekleştirilenler gibi siber saldırılara karşı korunmada, ülkeyi ve komşu devletleri desteklemeye devam etmektedir. Gözlemlenen tüm siber güvenlik devlet kurumu faaliyetlerinde olduğu gibi Microsoft, hedef alınan veya güvenliği ihlal edilen müşterilerini doğrudan ve proaktif olarak bilgilendirir ve onlara soruşturmalarını yönlendirmek için ihtiyaç duydukları bilgileri sağlar. Microsoft ayrıca küresel güvenlik topluluğu üyeleri ve diğer stratejik iş ortaklarıyla aktif bir şekilde çalışarak bu gelişen tehdide yönelik bilgileri birden fazla kanaldan paylaşmaktadır. Bu faaliyeti gerçekleştiren tehdit aktörünü tespit edebilmiş olduğumuz için bir tehdit olarak Cadet Blizzard'dan korunmaya ve riski azaltmaya yardımcı olacak içgörüler sağlamak üzere bu bilgileri şimdi daha geniş bir güvenlik topluluğuyla paylaşıyoruz. Kuruluşlar, ortamlarını Cadet Blizzard'dan korumak için aktif olarak harekete geçmelidir. Ve bu blog, kesintinin nasıl tespit edileceğini ve önleneceğini tartışmayı amaçlamaktadır.

İlgili makaleler

Ukrayna’nın dijital savaş alanında gerçekleşen siber operasyonlar ve etki operasyonları

Microsoft tehdit analizi, Ukrayna'da bir yıldır yapılan siber operasyonları ve etki operasyonlarını inceliyor, siber tehditlerdeki yeni eğilimleri ortaya çıkarıyor ve savaş ikinci yılına girerken neler bekleyebileceğimizi gösteriyor.

Ukrayna’yı Savunmak: Siber Savaştan Çıkarılan İlk Dersler

Rusya ve Ukrayna arasındaki savaşla ilgili olarak devam ettiğimiz tehdit analizi çalışmalarımızda edindiğimiz son bulgular ve ilk dört ayda ulaştığımız bir dizi sonuç; hükumetleri, şirketleri, STK’ları ve üniversiteleri desteklemek için teknoloji, veri ve ortaklıklar konusunda mevcut yatırımları sürdürmenin yanı sıra bunlara yenilerinin de eklenmesi gerektiğini gösteriyor.

Özel Rapor: Ukrayna

Rus tehdit aktörleri Ukrayna'ya karşı, giderek daha yıkıcı ve görünür hale gelen siber saldırılar başlatmış ve kimlik avı, keşif ve kamuya açık bilgi kaynaklarını tehlikeye atma girişimleri gibi faaliyetler gerçekleştirmiştir.

Microsoft Güvenlik'i takip edin