ABD ve Microsoft, Küresel Baskında 107 Alan Adına El Koyarak Rus Siber Dolandırıcılığına Büyük Darbe Vurdu
Siber dolandırıcılığa karşı büyük bir operasyonda Microsoft ve ABD Adalet Bakanlığı (DoJ) yakın zamanda Rusya devlet destekli siber suçlular tarafından kullanılan 107 internet alan adının ele geçirildiğini duyurdu. Bu çaba, özellikle hassas bilgi hırsızlığı ve dijital güvenin kötüye kullanımıyla bağlantılı olanlar olmak üzere siber saldırıları engellemek için devam eden bir mücadelenin parçasıdır.
İçindekiler
Rus Bağlantısı: Amerikalıların Verilerini Hedef Almak
Rus hükümetine bağlı siber tehdit aktörleri tarafından yönetilen bu alan adları, öncelikle bilgisayar dolandırıcılığı ve suistimalini kolaylaştırmak için kullanıldı. Grubun amacı? Sahte ancak ikna edici e-posta hesapları aracılığıyla kurbanları oturum açma kimlik bilgilerini ifşa etmeye kandırarak Amerikalıların hassas bilgilerini çalmak. Başsavcı Yardımcısı Lisa Monaco, "Rus hükümeti, kurbanları hesap kimlik bilgilerini ifşa etmeye kandırmak için görünüşte meşru e-posta hesaplarını kullanarak Amerikalıların hassas bilgilerini çalmak için bu planı yürüttü." dedi.
Bu siber saldırıların arkasındaki suçlular COLDRIVER olarak bilinen bir gruba atfediliyor. İsim ilk bakışta bir çağrışım yapmasa da, grup çeşitli takma adlarla kötü bir üne sahip : Blue Callisto, BlueCharlie, Dancing Salome, Gossamer Bear, Star Blizzard ve daha fazlası. TAG-53 ve UNC4057 olarak da anılan COLDRIVER'ın, en az 2012'den beri aktif olan Rusya Federal Güvenlik Servisi'ne (FSB) bağlı bir operasyonel birim olduğu bildiriliyor.
Yaptırımlar ve COLDRIVER Üzerindeki Artan Baskı
Son yıllarda, kolluk kuvvetlerinin gruba karşı çabaları arttı. Aralık 2023'te, İngiltere ve ABD hükümetleri COLDRIVER'ın önde gelen üyelerinden ikisi olan Aleksandrovich Peretyatko ve Andrey Stanislavovich Korinets'e yaptırım uyguladı. Bu kişiler, kimlik bilgilerini toplama ve zıpkınla kimlik avı kampanyaları başlatma rolleri nedeniyle seçildiler - ABD hükümet yetkililerinin, askeri personelin ve sivil toplum örgütlerinin sistemlerine sızmayı amaçlayan oldukça hedefli çabalar. Haziran 2024'te Avrupa Konseyi'nden daha fazla yaptırım geldi ve grup üzerindeki uluslararası baskı devam etti.
Alan Adları - Siber Saldırılara Bir Geçit
Ele geçirilen 107 alan adından 41'i saldırganlar tarafından öncelikle ABD hükümetine karşı spear-phishing kampanyaları yürütmek için kullanıldı. Bu kampanyalar kimlik bilgilerini çalmak ve değerli, genellikle gizli bilgilere erişmek amacıyla üst düzey e-posta hesaplarını hedef aldı. Bu taktik, kullanıcıları hassas sistemleri tehlikeye atmaya kandırmak için gizliliği ve sosyal mühendisliği harmanlayan COLDRIVER'ın operasyonel oyun kitabının önemli bir parçasıdır.
Adalet Bakanlığı, tehdit aktörlerinin hükümet sistemlerine ve korunan bilgisayarlara yetkisiz erişim de dahil olmak üzere birden fazla bilgisayar erişim yasasını ihlal ettiğini belirtti. Bu kötü niyetli eylemler önemli hasara yol açarak modern siber suçun sürekli ve gelişen doğasını vurguladı.
Microsoft'un COLDRIVER'ın Ağıyla Mücadelede Açtığı Hukuk Davası
Alan adı ele geçirmelerine paralel olarak Microsoft, COLDRIVER ile ilişkili 66 ek internet alan adını etkisiz hale getirmek için yasal adımlar attı. Bu alan adları, Ocak 2023 ile Ağustos 2024 arasında 30'dan fazla sivil toplum kuruluşu ve kuruluşunu hedeflemek için kullanıldı ve öncelikli olarak hükümet çalışanlarını, askeri personeli ve istihbarat yetkililerini destekleyen STK'lar ve düşünce kuruluşlarına odaklanıldı. Grubun operasyonları, İngiltere ve ABD gibi NATO ülkelerine yayıldı ve özellikle Ukrayna'ya destek sağlayan kuruluşlara ilgi gösterildi; bu, Rusya'nın jeopolitik hedeflerinin açık bir göstergesiydi.
Microsoft'un Dijital Suçlar Birimi'ndeki (DCU) yardımcı genel danışman Steven Masada, bu kampanyaların ciddiyetini vurguladı. "Star Blizzard'ın operasyonları amansız, günlük dijital etkileşimlerin güvenini, gizliliğini ve aşinalığını istismar ediyor," diye belirtti. Grubun özellikle eski istihbarat yetkililerini, Rus işleri uzmanlarını ve hatta ABD'de ikamet eden Rus vatandaşlarını hedef almada agresif olduğunu vurguladı
COLDRIVER'ın Verilere Yönelik Amansız Takibi
Ocak 2023'ten bu yana Microsoft, COLDRIVER tarafından hedef alınan 82 müşteriyi tespit etti; bu, grubun ısrarcılığının bir yansıması. Masada, "Sıklıkları, grubun yüksek değerli hedefleri tespit etme, kişiselleştirilmiş kimlik avı e-postaları hazırlama ve kimlik bilgisi hırsızlığı için gerekli altyapıyı geliştirme konusundaki titizliğini vurguluyor," diye ekledi. Bu amansız takip, grubun savunma önlemlerinin önünde kalmak için yöntemlerini sürekli olarak iyileştirdiğini gösteriyor.
Bu kimlik avı e-postalarının ardındaki kötü niyetli niyetin genellikle farkında olmayan kurbanlar, bu sahte mesajlarla farkında olmadan etkileşime girerler. Sonuç olarak, kimlik bilgileri tehlikeye atılır ve siber suçlulara hassas verilere ve yüksek değerli ağlara erişim sağlar.
Siber Suçla Mücadelede Bir Adım İleri
Microsoft ve ABD hükümetinin bu alan adlarını ele geçirme konusundaki ortak çabaları, devlet destekli siber saldırılara karşı devam eden savaşta kritik bir zafer anlamına geliyor. Bu baskı, COLDRIVER'ın operasyonlarını şimdilik aksatsa da, grubun geçmişi, hükümetlerin, kuruluşların ve bireylerin uyanık kalmasının hayati önem taşıdığını ve evrimleşmeye devam edeceklerini gösteriyor.
Bu alan adlarının ele geçirilmesi, hassas bilgileri koruma, dijital güveni sağlama ve siber suçluları sorumlu tutma yönündeki daha geniş bir çabanın sadece bir adımıdır. Siber tehditler gelişmeye devam ettikçe, sağlam güvenlik önlemlerinin ve koordineli küresel yanıtların önemi yeterince vurgulanamaz.