Google'ın siber güvenlik uzmanlarından oluşan Threat Analysis Group (TAG), Rusya ile bağlantılı olduğu iddia edilen Cold River adlı hacker grubunun bir dizi siber saldırı düzenlediğini bildirdi. Cold River, NATO ülkelerinde, özellikle ABD ve Birleşik Krallık'ta, uluslararası ve savunma alanında faaliyet gösteren yüksek rütbeli kişileri ve kuruluşları hedef alan uzun vadeli casusluk kampanyaları yürütüyor. Grubun saldırıları, 2022'nin Kasım ayında ilk kez tespit edilen bir phishing (oltalama) şeması üzerinden gerçekleştiriliyor.
Ana Noktalar:
Cold River'ın Saldırı Yöntemi: Potansiyel kurbanlara, yazarın geri bildirim istediği bir makale gibi gösterilen zararsız bir PDF dosyası gönderiliyor. Kurban dosyayı açtığında, metin şifrelenmiş gibi görünüyor. Kurban, dosyayı okuyamadığını belirtirse, hacker ona bir "şifre çözme aracı" olarak gizlenmiş SPICA adlı bir backdoor (arka kapı) programının bağlantısını gönderiyor. Bu program, hackerlara kurbanın bilgisayarına sürekli erişim sağlıyor.
SPICA Backdoor'un Kullanımı: Google'ın TAG mühendisi Billy Leonard, SPICA'nın ne kadar başarılı olduğu konusunda net bir bilgiye sahip olmadıklarını, ancak bu backdoor'un çok sınırlı ve hedef odaklı saldırılarda kullanıldığını belirtiyor. SPICA'nın geliştirilmesinin devam ettiği ve hala aktif saldırılarda kullanıldığı düşünülüyor.
Google'ın Önlemleri: Google, Cold River ile ilişkili tüm alan adlarını, sitelerini ve dosyalarını Safe Browsing hizmetinin veritabanına ekleyerek kullanıcılarını korumaya çalışıyor.
İlginç Bilgiler
- Cold River, geçmişte Birleşik Krallık'tan AB'den ayrılma yanlısı yüksek rütbeli kişilerin e-postalarını ve belgelerini sızdıran bir operasyonla ilişkilendiriliyor.
- Grup, NATO ülkelerindeki hedeflere odaklanıyor ve son aylarda aktivitelerini artırdı.
