Trend Micro’nun Yeni Raporu: Siber Paralı Asker Grubu “Voidbalaur” İle İlgili Bilinmeyenleri Ortaya Koyuyor

Trend Micro’nun Yeni Raporu: Siber Paralı Asker Grubu “Voidbalaur” İle İlgili Bilinmeyenleri Ortaya Koyuyor

Trend Micro Kamu Teknik Lideri Burak İnce

VoidBalaur adlı kiralık hacker grubu, hem finansal zarar hem de casusluk hedefleriyle 2015'ten bu yana 3 bin 500'den fazla işletmeyi ve son kullanıcıyı hedef aldı. Trend Micro’nun yeni raporu, kullandığı saldırı taktiklerinden elde ettikleri gelirlere kadar VoidBalaur’un faaliyetlerinin detaylarına dair çok önemli bulgular içeriyor.

Gelişen teknoloji ile siber risk ekosisteminde yeni saldırı tipleri hızla genişliyor. Bununla birlikte çevrim içi saldırılardan faydalanmaya çalışan kişilerin sayısı da hızla artıyor. Siber suçlar sadece bireyler ve işletmeler için değil, devletler için de büyük bir risk teşkil ediyor. Özellikle siber savaşlar günümüzde ülkelerin ulusal güvenliğine yönelik en önemli tehditlerden biri haline gelmiş durumda. Bu noktada tüm dünyada siber paralı askerlerin pek çok saldırıda öne çıktığını ve yükselişte olduğunu görüyoruz.

Ödemeye hazır olan herkese saldırı uzmanlığı sunan siber paralı askerler, günümüzün geniş siber suç ekonomisinin talihsiz bir sonucu olarak karşımıza çıkıyor. Sundukları hizmete giderek artan ilgi ve bazılarının ulus-devletler tarafından desteklendiğini göz önüne alırsak, yakın zamanda hayatımızdan çıkmaları pek mümkün görünmüyor. Birleşmiş Milletler’in Paralı Askerlerin Kullanımına İlişkin Çalışma Grubu tarafından 2020'de yayınlanan bir rapor, devletlerin giderek daha fazla siber operasyonları üçüncü taraf gruplar aracılığıyla yürütme eğiliminde olduğunu ortaya koyuyor.

2015’ten bu yana en az 3 bin 500 kişi ve kurumu hedef aldı

Değişen güvenlik konjonktüründe giderek daha belirgin bir yere oturan siber paralı asker grupları içerisinde yüksek profilli kişi ve işletmeleri hedeflemesi ile öne çıkan VoidBalaurson yıllarda adından çok fazla söz ettiriyor. Kiralık hacker grubu, 2015 yılından bu yana aralarında insan hakları aktivistleri, gazeteciler, politikacılar ve kıdemli telekomünikasyon mühendislerinin de olduğu en az 3 bin 500 kişi ve kurumu hedef aldı.

Küresel siber güvenlik pazarının lider şirketi Trend Micro’nun yeni araştırması VoidBalaur’un faaliyetlerinin detaylarına dair çok önemli bulgular içeriyor. Rapor, kendilerini "Rockethack" olarak tanıtan, Trend Micro'nun ise Doğu Avrupa halk biliminden gelen çok başlı şeytani bir yaratık olan "VoidBalaur" adını verdiği bir grup paralı siber tehdit aktörünün faaliyetlerinin detaylarını gözler önüne seriyor.

Hassas ve potansiyel olarak kazançlı verileri olan kurumları hedefliyorlar

2018 yılından beri sadece Rusça yeraltı forumlarında reklam veren VoidBalaur, para kazanmak için iki ana alana odaklanmış durumda: İlki, e-posta ve sosyal medya hesaplarına girme. Diğeri ise telekomünikasyon verileri, yolcu uçuş kayıtları, bankacılık verileri ve pasaport bilgileri dahil olmak üzere son derece hassas kişisel ve finansal bilgilerin satılması.

VoidBalaur'un bu tür faaliyetlere ilişkin kazancı, örneğin çalıntı bir kredi kartının geçmiş işlem özeti için 20 dolar iken trafik izleme kamera kayıtları için 69 dolar civarında. Siber korsanların talep ettikleri ücretler, baz istasyonu konumları ve telefon görüşmesi kayıtları için ise 800 dolara kadar çıkabiliyor.

Küresel hedefleri arasında Rusya'daki telekomünikasyon şirketleri, ATM makineleri tedarikçileri, finansal hizmet şirketleri, tıbbi sigorta şirketleri ve tüp bebek klinikleri gibi son derece hassas ve potansiyel olarak kazançlı verileri depoladığı bilinen kurumlar yer alıyor. Grup ayrıca gazetecileri, insan hakları aktivistlerini, politikacıları, bilim adamlarını, doktorları, telekomünikasyon mühendislerini ve kripto para kullanıcılarını da hedef alıyor.

Genellikle kimlik avı taktikleri kullanıyorlar

Yıllar içerisinde bir istihbarat teşkilatının eski başkanı, yedi aktif devlet bakanı ve Avrupa ülkelerinde görev yapan çok sayıda parlamento üyesinin de aralarında olduğu önemli isimlerin hedef alınması VoidBalaur’un cesaretinin artmasını sağladı. Hacker grubunu, hedefleri arasında dini liderlerin, diplomatların ve gazetecilerin de olması nedeniyle, Rus hükümeti tarafından desteklenen bir diğer kötü şöhretli korsan grubu PawnStorm’a (APT28, FancyBear) benzetenler de var.

Trend Micro bu çalışmada, kapsamlı tehdit istihbaratının bir parçası olarak kurumlara sunduğu binlerce farklı göstergeyi VoidBalaur ile ilişkilendirdi. VoidBalaur saldırıları, amaçlarına ulaşmak için genellikle kimlik avı taktikleri kullanırken, bazen Z*Stealer veya DroidWatcher gibi kötü amaçlı yazılımları da kullanıyorlar.

Grup ayrıca, nasıl başardığı tam olarak bilinmese de içeriden kişilerin yardımıyla veya ihlal edilmiş bir e-posta sağlayıcısı aracılığıyla kullanıcı etkileşimi olmadan e-posta hesaplarını da hackleyebiliyor.

İşletmeler siber paralı askerlere karşı kendilerini nasıl koruyabilirler?

Trend Micro siber tehdit uzmanlarına göre siber paralı askerlere karşı en iyi savunma, sebep oldukları risklerle ilgili detayları ortaya koyan raporlar ile sektörün bu konudaki farkındalığını artırmak ve faaliyetlerini engelleme konusunda caydırıcı olabilecek siber güvenlik uygulamalarının kullanımı konusunda kurum ve kişileri teşvik etmektir. VoidBalaur gibi siber paralı askerlere karşı kendilerini koruyabilmeleri için Trend Micro, işletmelere ve diğer kuruluşlara şunları öneriyor:

- Yüksek gizlilik standartlarına sahip saygın bir servis sağlayıcıdan sağlam bir e-posta hizmeti alın.

- E-posta ve sosyal medya hesaplarınız için tek seferlik SMS şifresi yerine Yubikey veya aynı işi yapan başka bir uygulama aracılığıyla çok faktörlü kimlik doğrulama çözümü kullanın.

- İletişimlerinizde uçtan uca şifrelemeye sahip uygulamaları tercih edin.

- Hassas verileri içeren iletişimler için PGP gibi şifreleme çözümleri kullanın.

- Saldırı riskini azaltmak için artık ihtiyacınız olmayan mesajları kalıcı olarak silin.

- Tüm bilgi işlem cihazlarında sürücü şifrelemesini kullanın.

- Kullanmadığınız zamanlarda dizüstü bilgisayarları ve diğer bilgisayarları kapatın.

- Tüm saldırı zincirini algılayabilen ve yanıt verebilen bir siber güvenlik çözümü edinin.