Araştırmacılar, Ukrayna’yı hedef alan siber suçluların aslında Rus hükümetinin bilgisayar korsanları olduğunu söylüyor

Yıllardır Rus hükümet bilgisayar korsanları birkaç uydurma karakter kullanmış izlerini gizlemek ve güvenlik araştırmacılarını ve devlet kurumlarını suçu yanlış yöne yönlendirmeleri için kandırmaya çalışmak.

Onlar sahip yalnız bir Rumen bilgisayar korsanı gibi davrandı Demokratik Ulusal Komite’yi hacklediklerinde Guccifer 2.0 adını verdiler; başıbozuk yıkıcı bir kötü amaçlı yazılım sıradan bir fidye yazılımı gibi görünecek şekilde tasarlanmış; sunucuların içinde saklandı İranlı bir bilgisayar korsanlığı grubu tarafından kullanılıyor; iddiaya göre Cyber ​​Caliphate adlı İslamcı bir bilgisayar korsanlığı grubu; 2018 Kış Olimpiyatlarını hackledi ekmek kırıntıları bırakmak Kuzey Kore ve Çin’i işaret eden; ve belgelerin içine yanlış kanıtlar kaydırdı hack ve sızıntı operasyonu olarak yayınlandı güya Cyber ​​Berkut adlı bir bilgisayar korsanlığı grubu tarafından yürütülüyor.

Şimdi, güvenlik araştırmacıları yeni bir Rus hükümeti sahte bayrağı bulduklarını iddia ediyorlar.

BlackBerry’deki güvenlik araştırmacılarına göre, siber suç grubu olarak bilinen Küba Fidye YazılımıDaha önce RomCom RAT olarak bilinen bir kötü amaçlı yazılım türüne bağlı olan , kesinlikle bir siber suç grubu değildir. Araştırmacılar, aslında Ukrayna askeri birimlerini ve yerel yönetimleri hedef alan Rus hükümeti için çalışan bir grup olduğunu söyledi.

BlackBerry’nin siber tehdit İstihbarat ekibinin kıdemli direktörü Dmitry Bestuzhev, RomCom RAT ile Küba arasındaki bağlantılara atıfta bulunarak, “Bu yanıltıcı bir atıf,” dedi. “Rus hükümeti için çalışan başka bir birim gibi görünüyor” dedi.

Washington DC’deki Rusya Büyükelçiliği yorum talebine yanıt vermedi.

RomCom RAT bir uzaktan erişim truva atıdır ilk olarak Unit 42 tarafından keşfedildiPalo Alto Networks güvenlik araştırma grubu, Mayıs 2022’de. Şirketin güvenlik araştırmacıları, kötü amaçlı yazılımı “finansal hizmetler, devlet tesisleri, sağlık hizmetleri ve halk sağlığı, kritik üretim, ve bilgi teknolojisi” ABD siber güvenlik ajansı CISA’ya göre.

İsim, kullanan grubun kendisinden geliyor. Fidel Casto ve Che Guevara’nın çizimleri Karanlık web sitesinde, hiçbir araştırmacı grubun ada ülkesiyle herhangi bir ilgisi olduğuna dair herhangi bir kanıt bulamamasına rağmen.

RomCom RAT bildirildi popüler uygulamaların sahte sürümlerini kullandı şifre yöneticisi KeePass, BT yönetim aracı SolarWinds, Gelişmiş IP Tarayıcı ve Adobe Acrobat okuyucu gibi kurbanlarını hedeflemek. Bestuzhev ve meslektaşlarına göre, son birkaç ay içinde RomCom RAT, Ukrayna askeri birimlerini, yerel hükümet kurumlarını ve Ukrayna parlamentosunu da hedef aldı.

Bestuzhev, vardıkları sonucun yalnızca hedeflere değil, aynı zamanda bilgisayar korsanlarının operasyonlarının zamanlamasına da dayandığını açıkladı.

Ekibi bir yıl boyunca grubu takip etti ve izini internet üzerinden takip etti. Araştırmalarının bir parçası olarak araştırmacılar, bilgisayar korsanlarının hedeflere kötü amaçlı yazılım yerleştirmek için kullandıkları sahte etki alanlarını kaydetmek için farklı dijital sertifikalar kullandıklarını gözlemlediler.

Bir vakada araştırmacılar, Ukrayna Devlet Başkanı Volodymyr Zelensky’den bir hafta önce, 23 Mart’ta bilgisayar korsanlarının bubi tuzaklı bir web sitesini imzalamak için Avusturya’yı sunan bir dijital sertifika oluşturduklarına tanık oldular. Avusturya parlamentosuna seslendi görüntülü görüşme yoluyla.

Aynı model başka zamanlarda da oldu. RomCom RAT bilgisayar korsanları, Kasım 2022’de bir SolarWinds web sitesini taklit ettiğinde, Ukrayna kuvvetleriyle aynı zamana denk geldi. kuşatma altındaki Herson şehrine girdi. Bilgisayar korsanları, Temmuz 2022’de Advanced IP Scanner’ı taklit ettiğinde, tam da Ukrayna’nın başladığı gibiydi. HIMARS roketlerinin konuşlandırılması ABD hükümeti tarafından sağlandı. Ardından, Mart 2023’te, bilgisayar korsanları, Ukraynalı pilotlarla aynı dönemde Uzak Masaüstü Yöneticisi’ni taklit etti. F-16 savaş uçaklarını uçurmak için eğitim alıyorlardıve Polonya ve Slovakya sağlamaya karar verdi Askeri teknoloji ile Ukrayna.

Bestuzhev, “Yani, jeopolitikte ve özellikle askeri alanda büyük bir olay olduğunda, RomCom RAT tam orada, tam oradaydı” dedi.

Bununla birlikte, diğer güvenlik araştırmacılarının yanı sıra Ukrayna hükümetinin kendisi, RomCom RAT ve Cuba Ransomware’in aslında Rus hükümetinin bilgisayar korsanları olduğuna hala tam olarak ikna olmuş değil.

Palo Alto Networks Unit 42’de kıdemli bir araştırmacı olan Doel Santos, RomCom RAT kötü amaçlı yazılımının arkasındaki grubun, özel araçları kullanma açısından “geleneksel fidye yazılımı gruplarından daha karmaşık” olduğunu söyledi.

“Birim 42, Ukrayna’yı hedef alan faaliyeti gördü. Bununla ilgili bir casusluk açısı var ve bu nedenle bir ulus devletten talimat alıyor olabilirler, ”dedi Santos TechCrunch’a. “Ancak, bu ilişkinin boyutunu bilmiyoruz. Bir fidye yazılımı grubunun normal faaliyetlerinin dışına çıkıyor.”

Yine de Santos, “bazı gruplar ek iş almak için ay ışığı alıyor – bu durumda gördüğümüz şey bu olabilir” diye ekledi.

Bestuzhev, kendisinin ve ekibinin bu olasılığı değerlendirdiğini, ancak bilgisayar korsanlarının ısrarı, saldırıların zamanlaması ve hedeflerini temel alarak dışladıklarını ve bunun da gerçek amaçlarının suç değil casusluk olduğunu gösterdiğini söyledi.

için bir sözcü Ukrayna Devlet Özel İletişim Servisiveya SSSCIP, şunu söyledi RomCom RAT’ın Ukrayna’daki operasyonlarından biri DELTA adlı belirli bir durumsal farkındalık yazılımının kullanıcılarını hedef aldı ve “hedefe ve kullanılan kötü amaçlı yazılıma göre, amacın Ukrayna ordusundan istihbarat toplamak olduğu varsayılabilir.”

Bir SSSCIP sözcüsü, “Ancak Rusya ile bağlantı kurmak için yeterli kanıt yok (Rusya’nın bu tür bilgilerle en çok ilgilenen hükümet olması dışında),” diye ekledi.

Hacker grubunu takip eden Google’ın tehdit istihbaratı ekiplerinin sözcüsü Mark Karayan, “Ekibimiz bu bulguları görmeden güvenle onaylayamaz veya reddedemez” dedi. [BlackBerry’s] tam araştırma.”

Bestuzhev, grubunun, RomCom RAT bilgisayar korsanlarına ellerini göstermemek ve stratejilerini ve tekniklerini değiştirmelerini engellemek amacıyla bulgularının tüm teknik ayrıntılarını yayınlamayı planlamadığını söyledi. Bestuzhev, bu şekilde bilgisayar korsanlarını izlemeye devam edebileceklerini ve bundan sonra ne yapacaklarını görebileceklerini açıkladı.

Jüri, RomCom RAT ve Cuba Ransomware’in gerçekte kimin arkasında olduğunu hâlâ bilmiyor, ancak Bestuzhev ve diğer şirketlerden araştırmacılar grubu izlemeye devam edecek.

“O adamlar, diyelim ki, bizim bildiğimizi biliyorlar. Birbirimizi seviyoruz. Ve bu yüzden uzun vadeli bir ilişki gibi, ”dedi Bestuzhev gülerek.

---

Bu bilgisayar korsanlığı grubu hakkında daha fazla bilginiz var mı? Veya Ukrayna’daki savaşa katılan diğer bilgisayar korsanlığı grupları? Sizden haber almak isteriz. Lorenzo Franceschi-Bicchierai ile +1 917 257 1382 numaralı telefondan Signal üzerinden veya Wickr, Telegram ve Wire @lorenzofb aracılığıyla veya [email protected] adresine e-posta göndererek güvenli bir şekilde iletişime geçebilirsiniz. TechCrunch aracılığıyla da iletişime geçebilirsiniz. GüvenliDrop.