Microsoft: Rusya bağlantılı hacker grubu, Moskova’daki büyükelçilikleri ISP düzeyinde yürütülen AiTM saldırılarıyla hedef alıyor
Microsoft, Rusya Federal Güvenlik Servisi (FSB) ile bağlantılı Secret Blizzard isimli hacker grubunun, Moskova’daki diplomatik misyonları yerel internet servis sağlayıcıları (ISP) üzerinden düzenlenen "adversary-in-the-middle" saldırılarıyla hedef aldığını açıkladı. Grup, sahte antivirüs yazılımı yoluyla kötü amaçlı ApolloShadow zararlı yazılımını sistemlere sızdırıyor.
Microsoft, Secret Blizzard Siber Casusluk Grubunun Yeni AiTM Kampanyasını Açıkladı
Microsoft, Rusya merkezli siber casusluk grubu Secret Blizzard’ın, Moskova’daki diplomatik temsilcilikleri hedef alan yeni bir siber kampanya yürüttüğünü açıkladı. Grup, yerel internet servis sağlayıcılarının altyapısını kullanarak adversary-in-the-middle (AiTM) saldırıları gerçekleştiriyor.
Microsoft’un daha önce Turla, Waterbug ve Venomous Bear gibi adlarla da takip ettiği bu grup, hedef kullanıcıları sahte Kaspersky antivirüs yükleyicisiyle kandırarak ApolloShadow adlı özel zararlı yazılımı sistemlere yerleştiriyor. Saldırının temel yöntemi, kurbanları captive portal’lara yönlendirmek ve buradan kötü amaçlı dosyaları indirmeye zorlamak.
ApolloShadow sistemlere yüklendikten sonra, sahte bir Kaspersky root sertifikası da kuruyor. Bu sertifika, saldırganların zararlı siteleri meşru gibi göstermesini sağlıyor ve sistemde kalıcı erişim elde etmelerine imkân tanıyor.
Microsoft, “Bu, Secret Blizzard grubunun ISP düzeyinde istihbarat toplama yeteneğini ilk kez doğruladığımız bir örnektir. Rusya’daki yerel internet sağlayıcılarını kullanan diplomatik personel, yüksek risk altındadır.” açıklamasında bulundu.
Saldırı zincirinin Şubat 2025'te tespit edildiği, ancak kampanyanın en azından 2024’ten bu yana aktif olduğu belirtiliyor. Microsoft ayrıca, saldırganların Rusya’daki resmi gözetim altyapısı SORM (System for Operative Investigative Activities) üzerinden AiTM saldırılarını yaygınlaştırdığını belirtti.
Yüksek Profilli Hedeflere Yönelik Sıra Dışı Taktikler
Secret Blizzard, 1996'dan bu yana dünya genelinde 100'den fazla ülkede elçilikleri, devlet kurumlarını ve araştırma merkezlerini hedef alan siber casusluk faaliyetleri yürütüyor. Grup, iki yıl önce ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından FSB’nin 16. Merkezi ile ilişkilendirilmişti.
Geçmişte, Britney Spears’ın Instagram gönderilerine yazılan yorumlar üzerinden kötü amaçlı yazılımları kontrol ettikleri ve İranlı APT grubu OilRig'in altyapısını kullanarak saldırılarını gizlemeye çalıştıkları tespit edilmişti. Ayrıca, yakın zamanda Pakistanlı Storm-0156 grubunun altyapısını ele geçirerek Ukrayna askeri cihazlarını Starlink bağlantıları üzerinden hedef aldıkları bildirildi.
Secret Blizzard grubunun, ABD Merkez Kuvvetler Komutanlığı (CENTCOM), NASA, Pentagon, Finlandiya Dışişleri Bakanlığı, AB devletleri ve büyükelçiliklerini de hedef aldığı biliniyor.
Microsoft, özellikle diplomatik kurumlar ve yerel ağ altyapısına bağlı çalışan tüm kuruluşlar için ciddi güvenlik önlemleri alınması gerektiğini vurguladı.
Kaynak: CUMHA - CUMHUR HABER AJANSI
Tepkiniz Nedir?
