Rusya-Ukrayna savaşında taraf seçiyorlar, daha önce fidye yazılımı gruplarını çalkalayarak bu grupların bir zamanlar azalan gücünü yeniden canlandırıyorlar.
Yeraltı siber suçlarda bir sürtüşme meydana geldi: Fidye yazılımlarının siber saldırıya maruz bırakması yerine güçlendirebilecek bir sürtüşme.
Ukrayna'daki savaş patlamasından bu yana Pazartesi günü yayınlanan bir rapora (PDF) göre, "önceden var olan ve mali açıdan motive olan tehdit aktörleri ideolojik gruplar arasında bölünmüş durumda."
Accenture'un Siber Tehdit İstihbaratı'ndan (ACTI) araştırmacılar, “Ukraynalı profesyonel oyuncular Rusya'nın uyumlu aktörleri satmayı, satın almayı veya onlarla işbirliği yapmayı reddediyorlar ve giderek artan bir şekilde Ukrayna'yı desteklemek için Rus kuruluşlarını hedef almaya çalışıyorlar,” diye yazdılar. “Ancak Rus yanlısı aktörler, Batı savaşı iddiaları nedeniyle ‘Rusya'nın düşmanlarını,’ özellikle de Batı taraflarını hedef alan, hacktivist benzeri faaliyetlerle giderek daha uyumlu hale geliyor.”
Aksi takdirde iyi bir şey gibi görünebilir; kötü adamlar kötü adamlarla savaşıyor, aslında Batı için daha fazla tehdit oluşturabilir.
Rusya-Ukrayna Siber Savaş Bölgesi
Tarihsel olarak, dünyanın en önde gelen siber suç forumları Rus dilinde olmuştur. Bu karanlık web pazarları, gelişmiş kalıcı tehdit (APT) ve fidye yazılımı grupları, botmasters ve kötü amaçlı yazılım yazarlarından oluşan karmaşık bir ağı bir araya getirir. Bu siber suçlular, düşük seviyeli arabaların, dolandırıcıların ve komut dizisi katillerinin bile dahil olduğu bir dizi siber suçludur.
Tehdit aktörleri birlikte kendi başlarına yapabileceklerinden daha fazlasını yapabilir. Örneğin, botmasters zaten risk altında olan cihazlara erişim sunar, yazılım geliştiriciler kötü amaçlı yazılımları geliştirir ve uzak Masaüstü Protokolü (RDP) gibi durumlarda arka kapılar veya güvenlik açığı açıklarından yararlanılarak ağ erişimi sağlama konusunda uzmanlaşmış ilk erişim aracıları.
Bu üretkenlik yalnızca ortak bir dil değil, aynı zamanda ortak bir kültürel ve siyasi uyumla da elde edilir. ACTI raporunda da belirtildiği gibi, “Bu forumlar daha önce sıkı bir ‘CIS'de çalışma yok’ politikası uyguladı.” CIS – Bağımsız Devletler Topluluğu – Rusya ve orta Asya devletlerinin Sovyet sonrası birleşimidir.
Ancak savaş patlamasıyla birlikte bu uyum parçalanıyor.
Mart 2'te siteler arası komut dosyası çalıştırma (XSS) forumunda yayınlanan bir ankette şu soru yer alıyordu: "RU ve CIS'deki çalışmalara karşı mısınız?" Katılımcıların yüzde 82.6'i “Evet”, fakat şaşırtıcı derecede büyük bir azınlık – yüzde 17.4 – “Hayır” yanıtını verdi.
Moskova'ya sevgi yok
27 Şubat'ta, RaidForums'dan bir yönetici (yüksek profilli veritabanı sızıntılarından veri kaçakçılığı için çevrimiçi bir platform) “RUSYA'YA yönelik RAIDFORUMS YAPTIRIMLARI” başlıklı bir bildiri yayınladı.
Açıklama yayınlandıktan kısa bir süre sonra RaidForums'un ana sunucusu bilinmeyen düşmanlar tarafından ele geçirildi. ACTI'ye göre, Mart 4'ten itibaren bu durum devam etti.
Aynı durum ters yönde de geçerlidir. Araştırmacılar, çatışmanın “bazı oyuncuların ağ erişimi gibi hizmetlerini Rus yanlısı aktörlere özel olarak satmalarına yol açtığını” yazdılar ve Batılı hedeflere yönelik artan saldırılara ilham kaynağı oldu.
Bu Batı'ya nasıl zarar verir
İlk bakışta, siber yeraltı dünyasındaki iç savaşın iyi bir şey olduğu görülebilir. Ne de olsa, birbirleriyle mücadele ederlerse geri kalanımızı rahatsız etmek için zamanları olmaz, değil mi?
Aslında tam tersi doğrudur.
Araştırmacılar “Bu siyasi bölünmenin şimdiye kadar ana etkisi”, “Batı hedeflerine yönelik yeraltı aktörlerinin, Rus yanlısı aktörlerin galvanize edilmeleri ve ‘Rusya'nın düşmanlarına' odaklanan hedeflenen çabalarından kaynaklanan artan ve uzun süreli bir tehdittir”, diyor.
Milliyetçi fervor, siber suçluları silahlarını açmaya ve daha önce parıldamış fidye yazılımı gruplarını karşılamaya bile motive ediyor.
Geçen Mayıs ayında düzenlenen Koloni Boru Hattı saldırısına tepki olarak, Batılı hükümetler ve yasa uygulama kuvvetleri fidye yazılımı gruplarına her zamankinden daha sert bir şekilde saldırmaya başladı. Buna yanıt olarak – yeraltındaki yöneticiler de kötü kokuları önlemek için bu grupları yasakladı.
Araştırmacıları “Fidye yazılımı oyuncuları yeraltından kaybolmamışken, bu yasak onların araç edinmelerini, bağlı kuruluşları işe almalarını veya girişimlere veya erişmelerine zorladı ve böylece fidye yazılımı aktörlerinin operasyonlarını ölçeklendirmelerini azalttı” yazdı.
“Birçok yeraltı oyuncusu fidye yazılımı gruplarının ana akım yeraltı dünyasına geri dönmesini istiyor.”
Raporda, fidye yazılımı gruplarının tekrar tekrar katlanmaları sonucunda “yalnızca bu oyuncuların Batılı kuruluşları daha verimli hedef almalarına olanak sağlamakla kalmayıp, aynı zamanda onları da cesaretlendirdiği, diğer yeraltı aktörleri muhtemelen fidye yazılımı aktörlerinin geri dönmesini sağlayabileceği ve bu fidye yazılımı oyuncularına saldırıların gerçekleşmesinin ahlaki bir nedeni olarak algılanabileceği” sonucuna varılıyor.
Gittikçe daha çok önem taşıyan Altyapı Hedefleme
Raporda, Batı'ya yönelik saldırıların, “özellikle kaynaklar, hükümet, medya, finans ve sigorta sektörlerinde” giderek arttığı belirtiliyor. “FİNANSAL ve SİGORTA SAVAKLARI hedef alma, Western FİNANSAL yaptırımlarının faaliyet kolları oldukları algısına bağlı, hizmet ve kaynak kuruluşlarının hedeflenmesi ise bu kuruluşların kritik ulusal altyapı olarak taşıdığı önemden kaynaklanmaktadır.”
Özellikle fidye yazılımı gruplarının siyasi güdüye ve yeraltı topluluğunun geri kalanının araçlarına sahip olması durumunda kritik altyapı özellikle endişe verici olacaktır.
KnowBe4'ten James McQuiggan e-posta yoluyla Threatpost'a verdiği demeçte, "Telekomünikasyon, BT, hükümet ve kritik altyapı alanlarındaki örgütlerin, jeopolitik ortamdaki mevcut olaylarda artan güvenlik düzeyi konusunda şüpheleri yok," dedi. ancak “çeşitli ajansların son yıllarda ele aldığı saldırı sayısı göz önüne alındığında, siber güvenlik devlet için önemli bir konu haline geldi.”
Ukrayna'da siber saldırıya maruz kalırsanız ABD ve Avrupa Birliği hazır olacak mı?
Bu sorunun yanıtı yakında gelebilir.
