Google Tehdit Analizi Grubu, “Doğu Avrupa'da siber aktivite takibi” başlıklı bir yazı yayınladı. İçinde Google uzmanları, Rus bilgisayar korsanlarının bir NATO yeterlilik merkezine çok hedefli kimlik avı saldırıları gerçekleştirdiklerini anlatıyor. COLDRIVER grubu bundan sorumlu olmalıdır.
Bazen Calisto olarak anılan Rusya merkezli bir tehdit aktörü olan COLDRIVER grubu, ABD merkezli birkaç STK'yı ve düşünce kuruluşunu, bir Balkan ülkesinin ordusunu ve Ukrayna merkezli bir savunma şirketini hedef alan kimlik bilgilerine dayalı kimlik avı kampanyaları başlattı. Grup, yıllar önce F-Secure uzmanları (şimdi WithSecure) tarafından saldırılarında gözlemlendi ve kaydedildi.
NATO'ya yönelik hedef odaklı kimlik avı
Ancak TAG, ilk kez bir NATO mükemmeliyet merkezinin yanı sıra birkaç Doğu Avrupa ülkesinin ordularını hedef alan COLDRIVER kampanyalarını gözlemledi. Bu kampanyalar, yeni oluşturulan Gmail hesapları aracılığıyla Google dışı hesaplara gönderildiğinden, bu kampanyaların başarı oranı bilinmemektedir. Bu kampanyalar sırasında hiçbir Gmail hesabının ele geçirildiği gözlemlenmedi.
Google'a göre, COLDRIVER kimlik bilgilerini kullanan aşağıdaki kimlik avı alan adları gözlemlendi
- koruma bağlantısı[.]çevrimiçi
- drive-share[.]canlı
- Koruma Ofisi[.]canlı
- proton görüntüleyici[.]com
Reuters haber ajansına göre NATO, yetenek merkezine yönelik bilgisayar korsanı saldırısını doğruladı. Askeri ittifak, Reuters haber ajansına verdiği demeçte, "NATO yeterlilik merkezleri ittifakla birlikte çalışır, ancak NATO'nun kendisinin bir parçası değildir." Ancak NATO saldırıyla ilgili daha fazla ayrıntı vermek istemiyor. Ancak, “Günlük olarak kötü niyetli siber faaliyetler görüyoruz” dedi.
Blog.google'da daha fazlası