Trident Ursa veya APT Gamaredon tarafından yürütülen Rus siber savaş operasyonları, Ukrayna işgalinden bu yana aktif kaldı. Ayrıca, bir NATO üyesi ülkedeki büyük bir petrol rafinerisine saldırı girişiminde bulunuldu.
Ukrayna, Palo Alto Networks'ün Birim 42'nin APT grubu Trident Ursa (namı diğer Gamaredon, UAC-0010, Primitive Bear, Shuckworm) hakkında kapsamlı bir şekilde rapor verdiği Şubat ayının başından bu yana Rusya'dan artan siber tehditlerle karşı karşıya kaldı. Trident Ursa, Rus iç istihbarat teşkilatı FSB'ye bağlı bir gruptur. Çatışma karada ve siber uzayda devam ederken, Trident Ursa Ukrayna'yı hedef alan en yaygın, sürekli aktif ve hedefli APT'lerden biri olmaya devam ediyor.
Saldırı platformu olarak 500 yeni alan adı
Mevcut jeopolitik durum ve bu APT grubunun belirli hedef odağı göz önüne alındığında, Birim 42 araştırmacıları aktif olarak operasyon göstergelerini aramaya devam ediyor. Bunu yaparken, son on ayda Trident Ursa'nın çeşitli kimlik avı ve kötü amaçlı yazılım hedeflerini destekleyen 500'den fazla yeni etki alanı, 200 örnek ve diğer IoC'ler (Uzlaşma Göstergeleri) belirlediler. Araştırmacılar, bu alanları ve açık kaynak bilgilerini izlerken birkaç önemli etkinlik fark ettiler:
- 30 Ağustos 2022'de bir NATO üye ülkesindeki büyük bir rafineriyi ele geçirmeye yönelik başarısız bir girişim.
- Trident Ursa ile akraba olduğu anlaşılan bir kişi, ilk işgalin hemen ardından Ukraynalı bir siber güvenlik araştırmacısını tehdit etti.
- Birkaç Taktik, Teknik ve Prosedür (TTP) değişikliği.
soruşturmanın bulguları
Trident Ursa, operasyonlarında aşırı sofistike veya karmaşık teknikler kullanmayan çevik ve uyarlanabilir bir APT olmaya devam ediyor. Çoğu durumda, grup, operasyonları başarılı bir şekilde yürütmek için rutin kimlik avı girişimlerinin yanı sıra - önemli derecede gizleme ile birlikte - halka açık araçlara ve komut dosyalarına güvenir.
Bunlar, grubun etkilenmediği görünen araştırmacılar ve hükümet kuruluşları tarafından düzenli olarak keşfediliyor. Yalnızca ek karartmalar, yeni alanlar ve yeni teknikler ekler ve yeniden dener, hatta çoğu zaman önceki kalıpları yeniden kullanır. Trident Ursa, en az 2014'ten beri bu şekilde çalışıyor ve bu çatışma döneminde herhangi bir yavaşlama belirtisi göstermedi. Tüm bu nedenlerle Ukrayna ve müttefikleri için önemli bir tehdit olmaya devam ediyor.
Koruma ve İyileştirici Eylemler
Üç Dişli Mızrak Ursa'ya karşı en iyi savunma, önlemeyi destekleyen bir güvenlik duruşudur. Birim 42, şirketlerin aşağıdaki önlemleri almasını önermektedir:
- Bu tehdit grubuyla ilişkili tehlike göstergelerinin göstergeleri için ağ ve uç nokta günlükleri aranıyor.
- Siber güvenlik çözümlerinin aktif altyapı IoC'lerini etkili bir şekilde engellediğinden emin olun.
- Bilinen C2 altyapıları için DNS isteklerini algılamak ve azaltmak için bir DNS güvenlik çözümünün uygulanması. Bir şirketin iş ortamlarında Telegram mesajlaşma ve alan adı arama araçları gibi hizmetler için belirli bir kullanım durumu yoksa, bu alan adları engellenenler listesine eklenmelidir. Sıfır Güven ağlarında, etki alanları izin verilen etki alanları listesine dahil edilmemelidir.
- AS 197695(Reg[.]ru) ile iletişim kuran tüm ağ trafiğine ek bir kontrol uygulanıyor.
Palo Alto Ağları Hakkında Siber güvenlik çözümlerinde dünya lideri olan Palo Alto Networks, insanların ve işletmelerin çalışma şeklini değiştiren teknolojilerle bulut tabanlı geleceği şekillendiriyor. Misyonumuz, tercih edilen siber güvenlik ortağı olmak ve dijital yaşam biçimimizi korumaktır. Yapay zeka, analitik, otomasyon ve orkestrasyondaki en son atılımlardan yararlanan sürekli yenilikle dünyanın en büyük güvenlik sorunlarını çözmenize yardımcı oluyoruz. Entegre bir platform sunarak ve büyüyen bir iş ortağı ekosistemini güçlendirerek, bulutlar, ağlar ve mobil cihazlar genelinde on binlerce işletmeyi korumada lideriz. Vizyonumuz, her günün bir öncekinden daha güvenli olduğu bir dünyadır.