Microsoft Rusya’nın Casusluk Yöntemini Açıkladı
Microsoft, Rusya merkezli bir siber casusluk operasyonunun detaylarını paylaştı. Casusluk yöntemi Moskova’daki altyapıyla bağlantılı çıktı.
Microsoft, Rusya’nın yabancı diplomatlara yönelik yeni bir dijital izleme yöntemini ortaya çıkardı. Yapılan araştırmaya göre, bu siber operasyon uzun süredir aktif durumda ve özellikle Moskova’daki yabancı elçilikleri hedef alıyor. Casusluk faaliyeti, yerel internet servis sağlayıcıları üzerinden dağıtılan özel bir zararlı yazılımla gerçekleştiriliyor.
“Secret Blizzard” adı verilen bu devlet destekli grup, kurbanların cihazlarına sahte bir yazılım aracılığıyla root sertifikaları yüklüyor. Böylece şifreli internet trafiği çözülebiliyor ve hassas veriler izinsiz şekilde elde edilebiliyor. Microsoft, bu operasyonun önemli güvenlik açıklarını gözler önüne serdiğini ve küresel diplomatik yapılar için ciddi riskler taşıdığını belirtiyor.
Microsoft, Sertifika Tabanlı Casusluk Yöntemini Deşifre Etti
Microsoft’un açıkladığı rapora göre, “Secret Blizzard” adlı Rus siber casusluk grubu, diplomatların cihazlarına zararlı yazılım yüklemek için Moskova’daki internet servis sağlayıcılarını kullanıyor. Bu yöntemle çalışan yazılım, kullanıcıları sahte bir Kaspersky antivirüs güncellemesi gibi kandırarak root sertifikalarını sisteme yükletiyor. Böylece HTTPS şifreleme sistemi aşılabiliyor ve ziyaret edilen siteler ile giriş bilgileri gibi veriler okunabilir hale geliyor.
Kurbanlar genellikle otel ya da havalimanı gibi kamuya açık ağlara bağlandıklarında sahte bir internet bağlantı sayfasına yönlendiriliyor. Bu portal, cihazın internete bağlı olmadığını gösteren bir sistem aracılığıyla açılıyor ve kullanıcıdan sahte bir uygulama indirmesi isteniyor. Uygulamanın içinde yer alan CertificateDB.exe adlı dosya, sisteme yetkisiz root sertifikası yüklüyor ve böylece siber saldırganlara tam erişim sağlanıyor.
Microsoft, bu yöntemlerin Rusya’nın Federal Güvenlik Servisi’ne (FSB) bağlı Center 16 ile bağlantılı olduğunu belirtiyor. Aynı aktör daha önce de sahte Adobe Flash yükleyicileri gibi yöntemlerle konsoloslukları hedef almıştı. Uzmanlara göre, kamuya açık sertifika sisteminin zayıflığı, kök sertifikalara erişimi olan grupların trafiği izleyebilmesini mümkün kılıyor. Bu da ağ güvenliği açısından ciddi bir açık yaratıyor.
Şirket, kullanıcıların Rusya’daki ağlara bağlanırken mutlaka şifreli bir tünel ya da bağımsız bir VPN servisi kullanmalarını tavsiye ediyor. Microsoft ayrıca bu saldırı türlerinin uzun zamandır sürdüğünü ve diplomatlar başta olmak üzere hassas kurumları hedef almaya devam ettiğini vurguluyor. Kaspersky ise adının kötüye kullanıldığını belirterek, saldırılarda hiçbir dahli olmadığını açıkladı.