Blog

Ukrayna’daki Siber Savaş ve Zaman İçinde Gelişimi

Ukrayna saldırı altında. Bu makalede ülkenin hem son zamanlarda hem de geçmişte karşılaştığı en önemli siber saldırıların üzerinden geçeceğiz.

Aşağıda göreceğiniz örnekler Ukrayna’da gördüğümüz ve tespit ettiğimiz tüm saldırıların kapsamlı bir listesi değil, sadece ulus-devlet düzeyindeki APT saldırılarının en önemli örneklerine odaklanıyoruz.

2014’ten bu yana Ukrayna’da hedefli siber saldırılarda (APT saldırılarında) artış gözlemliyoruz.

Bu siber saldırılar ve Ukrayna’daki jeopolitik çatışma ilgisizmiş gibi davranamayız. Fakat altını özellikle çizmeliyiz ki ESET olarak biz ulus devletleri bu olaylarla ilişkilendirecek durumda değiliz, işin bu tarafı istihbarat servislerini ilgilendiriyor. 

Tüm bulgularımız algılama telemetrimize, zararlı yazılım analizimize ve araştırmalarımıza dayanıyor. Tespit ettiğimiz saldırıları bir APT grubuna, kümeye, operasyona veya saldırı kampanyasına bağlıyoruz. 

Ukrayna’yı Hedefleyen Saldırılar

Önemli APT grupları

Yıllardır Ukrayna’ya karşı hedefli kampanyalar yürüten en dikkat çekici APT gruplarından bazıları: Sandworm, Sednit, Lazarus, The Dukes, InvisiMole, Gamaredon, Buhtrap olarak ortaya çıkıyor.

2013’ün sonundan bu yana Ukrayna’daki yüksek değerli hedeflere karşı daha fazla kampanya gözlemliyoruz. Önceki yıllarda bile (2012) Ukrayna’da BlackEnergy saldırıları gördük, ancak 2013’ün sonu ve 2014’ün başlarından itibaren saldırılar ciddi anlamda yoğunlaştı.

Özellikle Sandworm grubunun hükümet, diplomatik kurumlar, medya, ulaşım dahil olmak üzere her türlü kuruluşu hedef aldığını görüyoruz. 

Sandworm’un hedef kuruluşlara sızmak için kullandığı ana yöntemlerden biri, özenle hazırlanmış yüksek hedefli oltalama e-postalarıydı. Mesela Donbas’taki Savaşı yem olarak kullanan bir örneği aşağıda bulabilirsiniz.

Arseniy Yatsenyuk (o dönemde başbakandı) Başsavcılık, Ukrayna Güvenlik Servisi, İçişleri Bakanlığı ve Adalet Bakanlığı’na, Ukrayna’daki tüm milletvekillerini, partileri ve sivil toplum kuruluşlarını Ukrayna’nın doğusundaki isyancılara destek verdikleri gerekçesi ile izlemeleri talimatını verdi. 

Teröristlere destek verenlerin listesi.

Burada çok iyi sosyal mühendislik örneği görüyorsunuz. Her gün karşılaştığımız Nijerya Prens hikayesi gibi değil. 

Benzeri yöntemlerle Ukrayna’da birçok özel ve devlet organizasyonuna sızıldığı anlaşılıyor. En önemli saldırı BlackEnergy tarafından Ukrayna elektrik şebekesine gerçekleştirildi. 

BlackEnergy kaynaklı kesintiler

Bu saldırı birkaç ay önceden detaylıca planlandı ve Aralık 2015’te bir siber saldırının neden olduğu ilk kesintiye neden oldu. Fakat sonuncusu değildi. Bir yıl kadar sonra Industroyer ortaya çıktı. Bu sefer bazı farklılıklar vardı. Bir elektrik trafo merkezine saldırıldı, hem de en büyüğü olan Kiev Kuzey iletim istasyonu. Kullanılan zararlı yazılım olan Industroyer, BlackEnergy’nin aksine özellikle güç şebekelerine saldırmak için tasarlanmış zararlı yazılımdı.

Industroyer özellikle bu cihazları hedeflemek için yazılmıştı.

Saldırganlar sadece kod yazmamışlardı, aynı zamanda neyin içine girdiklerini de iyice araştırmışlardı. Bir elektrik trafo merkezinin sistemlerinin iç işleyişini çözmüşlerdi ve amaçlarına ulaşmak için hangi komutları göndermeleri gerektiğini biliyorlardı.

Amaçları neydi? Elektrik kesintisi! Fakat Industroyer konfigürasyonunda, daha fazlasını istediklerini gösteren ipuçları bulduk. Ekipmana da hasar vermek istemişlerdi. 

Kesinti sadece 1 saat kadar sürdü, bu tür sofistike kötü amaçlı yazılımlar için oldukça zayıf bir sonuç olduğunu söyleyebiliriz. 

NotPetya

Sonraki yıllarda, Sandworm tarafından kullanılan araç seti çok fazla evrim geçirdi. Grup faaliyetlerini böldü, enerji sektörüne karşı saldırılara GreyEnergy kümesi devam ederken ağırlıklı olarak finans sektörüne karşı saldırıları TeleBotlar düzenledi.

Haziran 2017’deki ünlü NotPetya salgınının arkasında da TeleBotlar vardı. 

NotPetya fidye yazılımı, bildiğiniz gibi dosyaları şifreledi ama bunu finansal kazanç için yapmadı. Asıl amacı sistemleri çalışamaz duruma getirmekti. Ve tüm ülkede kesintinin boyutu inanılmaz oldu. İnsanlar benzin istasyonlarından benzin alamadılar, süpermarketlerdeki PoS terminallerinde ödeme yapamadılar.

Bu saldırıyı özel kılan, saldırının kaynağı yani ilk ortaya çıktığı yerdi. Zararlı yazılım, Ukrayna’daki şirketlerin çoğunluğu tarafından kullanılan çok popüler bir muhasebe yazılımının sağlayıcısı olduğu için küçük ama etkili olan M.E.Doc adlı küçük bir yazılım şirketinden yola çıktı ve bazı tahminlere göre tüm işletmelerin yaklaşık %80’ine yayıldı.

İlk hedef olarak M.E.Doc’un seçilmesi firmanın dikkat çekmeyecek kadar küçük fakat oldukça etkili bağlantılarının olmasıydı. M.E.Doc tedarik zincirine derinden işlemişti, çok sayıda şirketle bağlantısı olmasına rağmen savunmasızdı.

M.E.Doc tedarik zincirine derinden işlemişti, çok sayıda şirketle bağlantısı olmasına rağmen savunmasızdı.

Saldırının başlamasından sadece birkaç saat sonra potansiyeli önce bölgede ve sonrasında da küresel olarak hissedildi. Küresel olarak yayılmasını nedeni, NotPetya’nın EternalBlue istismarını kullanarak ağ solucanı olarak yayılmasıydı ve birçok küresel şirketin Ukrayna’da şubeleri veya ağ bağlantıları vardı. NotPetya’nın öncelikle Ukraynalı işletmelere yönelik olduğuna ve dünyaya yayılmasının nedeninin dikkatsizlik sonucu ikincil hasar olduğuna inanıyoruz.

Bu sahte fidye yazılımının neden olduğu hasar 10 milyar doların üzerine çıktı ve bu sayı muhtemelen ulaşım devleri Maersk ve Fedex, Rus petrol şirketi Rosneft veya ABD merkezli ilaç şirketi Merck gibi en büyük kurbanlar tarafından bildirilen ve buzdağının sadece görünen kısmı.

Ukrayna’da, kesinti o kadar büyüktü ki, şirketlerin muhasebelerini toparlayabilmeleri için vergi yılının bitişi ertelenmek zorunda kaldı. 

Ukrayna’daki diğer gruplar: Gamaredon ve Invisimole

Aslında her ikisi de kendi kampanyalarını yürüttüğü için onları ayrı gruplar olarak izliyoruz ancak iş birliği yaptıkları birkaç olay gördük.

Bu iki grubun işleyişinde büyük bir fark var. Gamaredon son yıllarda Ukrayna’daki en aktif APT grubudur, yüksek hacimli kaba kuvvet saldırıları düzenliyorlar. Zararlı yazılımları sürekli geliştiriliyor ve sürekli yeni sürümler tespit ediyoruz.

InvisiMole grubu ise tam aksine operasyonlarını gizli tutmak için elinden geleni yapıyor. 

Öncelikle, Gamaredon grubu en ilginç hedefleri seçerek bunlara sızmayı amaçlıyor. 

Gamaredon, ilk vektör olarak hedefli kimlik avı e-postalarını kullanır. Bu e-postanın ekinde zararlı bir belge bulunur. (Kötü amaçlı makro içeren bir yem) Belge açıldığında ve makrolara izin verildiğinde, Pterodo olarak algıladığımız Gamaredon zararlısını indiren bir VBS indiricisini sessizce başlatır. İçeriye sızdıktan sonra, bağlı tüm ağlarda keşif gerçekleştirir ve en ilginç hedefleri belirler.

Süreç daha sonra casusluk üzerine odaklanan InvisiMole’a aktarılır.

Saldırganların özellikle belirlediği az sayıda fakat görece önemli hedefler, daha ayrıntılı zararlı yazılım olan InvisiMole’a yükseltilir. Hükümet ve diplomatik kurumlar gibi yüksek profilli kuruluşların bu grupların hedefinde olduğunu gördük.

Ukrayna’ya saldırı düzenleyen daha birçok APT grubu var. Bu gruplara ve saldırılarına daha önce çeşitli makalelerimizde değindik:

Son olaylara bakalım…

23 Şubat’ta Rus askeri işgalinden bir gün önce, bir dizi DDoS saldırısı oldu. Ukrayna’daki birçok önemli web sitesi, Dışişleri Bakanlığı, Savunma Bakanlığı, İçişleri Bakanlığı, Güvenlik Servisi (SBU) ve Bakanlar Kurulu da dahil olmak üzere bankalar ve devlet kurumları hedef alındı.

Hermetic Kampanyası

Sadece birkaç saat sonra Ukrayna’daki bilgisayarları hedef alan çok daha yıkıcı bir saldırı daha keşfettik. HermeticWiper dediğimiz zararlı yazılım saldırısı, Ukrayna yerel saatiyle 17:00’den Rus işgalinden sadece birkaç saat önce başladı. 

HermeticWiper’ı en az beş Ukrayna kuruluşunda yüzlerce sistemde bulduk… verilerini bozmaya ve erişilmez hale getirmeye çalışıyordu. 

Teknik düzeyde, ana önyükleme kaydının, ana dosya tablosunun, kayıt defteri anahtarlarını içeren dosyaların üzerine yazıyor ve diskteki diğer birkaç konumu rasgele baytlarla siliyordu. Ayrıca, kullanıcıların kurtarma çabalarını engellemek için Birim Gölge Kopyası Hizmeti’ni (VSS) devre dışı bırakıyordu.

HermeticWiper yürütülebilir dosyanın zaman damgası, eğer kurcalanmadıysa 28 Aralık 2021’de derlendiğini gösteriyor.

Zaman damgası ve diğer bulgularımız, saldırganların bu saldırıyı aylar öncesinden planladıklarını ve bir süredir sistemlerde olduklarını gösteriyor.

HermeticWiper bu yıkıcı kampanyadaki tek kötü niyetli kod değildi.

İkinci zararlı yazılım parçası, yerel ağda diğer ulaşılabilir makineleri bulmaya çalışan ve HermeticWiper’ı yerel ağa dağıtan bir solucan olan HermeticWizard’dı. Bunu yapmak için WMI ve SMB kullanıyordu. 

Kötü amaçlı yazılımın üçüncü parçası HermeticRansom adlı fidye yazılımıydı. Go dilinde yazılmıştı ve HermeticWiper ile aynı anda dağıtıldı.

HermeticRansom kullanımı biraz garipti. Sildikleri makinede neden fidye yazılımı çalıştırmak istediler bilinmiyor, belki de hareketlerini gizlemek içindi. Ancak ilginç olan, bu üç zararlı yazılımın kombinasyonunun etkili bir şekilde NotPetya’nın yaptığına benzer bir şey yapması. 

HermeticWizard’daki SMB’de yayılmasını sağlayan modüle romance.dll adı verilmiş. Belki de EternalRomance ve EternalBlue istismarlarına bir gönderme yapmak istediler.

Neden Hermetic?

HermeticWiper ve HermeticWizard, 13 Nisan 2021’de Hermetica Digital’e atanan bir kod imzalama sertifikası ile imzalanmıştı. Sertifikayı veren CA’dan (DigiCert) sertifikayı iptal etmesini talep ettik. 24 Şubat 2022’de iptal ettiler.

Reuters tarafından hazırlanan bir rapora göre, bu sertifika Hermetica Digital’den çalınmamış gibi görünüyor. Saldırganların bu sertifikayı DigiCert’ten almak için muhtemelen Kıbrıslı şirketi taklit ettiler.

Kısa bir süre sonra, Ukrayna’da konuşlandırılan başka bir zararlı tespit ettik: IsaacWiper 

IsaacWiper, Mersenne Twister rasgele sayı üreticisini kullanarak bulduğu her diskin ilk baytlarını siliyordu. Daha sonra mantıksal sürücüleri numaralandırıyor ve her diskin her dosyasını rasgele baytlarla siliyordu. Dosyaları tek bir iş parçacığında sildiği için büyük bir diski silmek uzun zaman alıyor. 

HermeticWiper’ın aksine, bu çok da karmaşık olmayan bir zararlı yazılım.

IsaacWiper ilk olarak Rus askeri işgalinin olduğu gün olan 24 Şubat 2022’de ortaya çıktı. ESET’in bulduğu en eski derleme zaman damgası 19 Ekim 2021.

Bu noktada, bilmediğimiz birkaç şey var: 

  • IsaacWiper ve HermeticWiper aynı zamanda dağıtılmış olsalar da ilişkili olduklarını gösteren başka bir delil yok.
  • IsaacWiper ve Hermetic zararlılarını bulaştırmak için kullanılan ilk vektör de bilinmiyor. Bildiğimiz şey, saldırganların bunu dağıtmadan önce ağların içinde oldukları. HermeticWiper Grup İlkesi Kuralı aracılığı ile dağıtılmış görünüyor. Bu da saldırganların önceden Active Directory sunucularına sızdıklarını gösteriyor. 
  • Hermetic zararlıları, ESET zararlı yazılım koleksiyonundaki diğer örneklerle önemli bir kod benzerliğini paylaşmıyor. 
  • Bildiğimiz bir tehdit aktörüyle somut bir bağlantı bulamadık. Ne Sandworm ile ne de takip ettiğimiz diğer gruplarla.

Ne olduğunu özetleyelim:

Saldırganların ana hedefleri:

  • CASUSLUK & VERI TOPLAMA: Dosya çalma, tuş kaydetme, ekran görüntüsü alma vb.
  • SABOTAJ: Farklı bileşenler kullanıldı
    • BlackEnergy pluginleri
    • KillDisk variantları
    • NotPetya ve diğer sahte fidye yazılımları
    • HermeticWiper, IsaacWiper ve diğerleri

Buraya kadar buzdağının sadece bildiğimiz kısmı. Ukrayna son 8 yıldır siber saldırılar açısından ağır ateş altındaydı.

Sırada ne var?

  • Saldırıların devam edeceği kesin. Öte yandan, savaş artık sahaya indiği için APT seviyesindeki siber saldırılarda bir artış olacağını düşünmüyoruz. Artmamasını fakat devam etmesini bekleyebiliriz.
  • Makale Ukrayna’ya odaklandı ancak grupların çoğu zaman içinde diğer ülkeleri de hedef aldı
  • Kullanıcıların ve BT yöneticilerinin tetikte olması gerekir
  • ESET hem uç nokta güvenlik çözümlerinde koruma sağlamak ve geliştirmek hem de özel raporlar yayınlamak için tehdit istihbaratı sağlamaya ve saldırganların faaliyetlerini izlemeye devam edecek.

İlgili Makaleler

Bir Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu