Rusya, işgalinin ardından komşusuna yönelik siber saldırılarını büyük ölçüde hızlandırdı.
Rusya'nın Ukrayna'yı acımasız ve yıkıcı işgalinin trajik bedelinin ortasında, Kremlin'in komşusuna karşı uzun süredir devam eden yıkıcı siber saldırı kampanyasının etkileri genellikle - haklı olarak - sonradan düşünüldü. Ancak bir yıllık savaşın ardından, Ukrayna'nın son bir yıldır katlandığı siber savaşın, bazı ölçütlere göre tarihteki en aktif dijital çatışmayı temsil ettiği ortaya çıkıyor. Gezegenin hiçbir yerinde, tek bir yıl içinde daha fazla veri yok eden kod örneği hedef alınmadı.
Rusya'nın işgalinin birinci yıl dönümü öncesinde, Slovakya siber güvenlik firması ESET, ağ güvenlik firması Fortinet ve Google'ın sahibi olduğu olaylara müdahale firması Mandiant'ın siber güvenlik araştırmacıları, bağımsız olarak, 2022'de Ukrayna'nın çok daha fazla "silecek" örneği gördüğünü keşfettiler. kötü amaçlı yazılım, Rusya'nın Ukrayna'yı hedef alan uzun süredir devam eden siber savaşının önceki herhangi bir yılındaki veya bu nedenle herhangi bir yıldaki herhangi bir yıldan daha kötü amaçlı yazılım. Bu, Ukrayna'nın Rus siber saldırılarından geçmiş yıllara göre daha fazla darbe aldığı anlamına gelmez; 2017'de Rusya'nın Sandworm olarak bilinen askeri istihbarat bilgisayar korsanları, büyük ölçüde yıkıcı NotPetya solucanını serbest bıraktı. Ancak artan yıkıcı kod hacmi, Rusya'nın Ukrayna'yı fiziksel işgaline eşlik eden, benzeri görülmemiş bir hız ve çeşitliliğe sahip siber saldırılara eşlik eden yeni bir tür siber savaşa işaret ediyor.
ESET'in kıdemli kötü amaçlı yazılım araştırmacısı Anton Cherepanov, "Farklı silecek kötü amaçlı yazılım örneklerinin çokluğu açısından, bu, tüm bilgisayar tarihinde silicilerin en yoğun kullanımıdır" diyor.
Araştırmacılar, Rusya'nın devlet destekli bilgisayar korsanlarının, bir tür Kambriyen silici patlamasıyla Ukrayna'ya benzeri görülmemiş çeşitlilikte veri yok eden kötü amaçlı yazılımlar fırlattığını gördüklerini söylüyorlar. Orada, yalnızca Windows makinelerini değil, Linux aygıtlarını ve hatta Solaris ve FreeBSD gibi daha az yaygın işletim sistemlerini hedefleyen kötü amaçlı silici örnekleri buldular. Veritabanlarını düzenlemek için kullanılan bölüm tablolarını bozmaktan Microsoft'un SDelete komut satırı aracını başka bir amaca uygun hale getirmeye, önemsiz verilerle toptan dosyaların üzerine yazmaya kadar, çok çeşitli farklı programlama dillerinde ve hedef makinelerin kodunu yok etmek için farklı tekniklerle yazılmış örnekler gördüler. .
Toplamda, Fortinet son 12 ayda Ukrayna'da 16 farklı silici kötü amaçlı yazılım "ailesi" saydı, önceki yıllarda Rusya'nın tam kapsamlı işgalinden önceki siber savaşın zirvesinde bile bir veya ikiydi. Fortinet'in tehdit istihbarat ekibi başkanı Derek Manky, "İkiye veya üçe katlamaktan bahsetmiyoruz" diyor. "Bu bir patlama, başka bir büyüklük sırası." Araştırmacılara göre bu çeşitlilik, Rusya'nın Ukrayna'yı hedeflemek için atadığı çok sayıda kötü amaçlı yazılım geliştiricisinin veya Rusya'nın, özellikle Ukrayna siber güvenlik savunmasını sertleştirdiği için, Ukrayna'nın tespit araçlarının önünde kalabilecek yeni varyantlar oluşturma çabalarının bir işareti olabilir. .
Fortinet ayrıca, Ukrayna'yı vuran silici kötü amaçlı yazılım örneklerinin artan hacminin aslında daha küresel bir yayılma sorunu yaratabileceğini keşfetti. Bu kötü amaçlı yazılım örnekleri kötü amaçlı yazılım deposu VirusTotal'da ve hatta açık kaynak kod deposu Github'da görüldüğünden, Fortinet araştırmacıları, ağ güvenlik araçlarının dünya çapında 25 ülkede bu silecekleri yeniden kullanan başka bilgisayar korsanlarını tespit ettiğini söylüyor. Manky, "Bu yük geliştirildiğinde, herkes onu alıp kullanabilir" diyor.
Bu büyük hacimli silici kötü amaçlı yazılıma rağmen, Rusya'nın 2022'de Ukrayna'ya yönelik siber saldırıları, oradaki çatışmanın önceki yıllarına kıyasla bazı açılardan nispeten etkisiz göründü. Rusya, ülkenin 2014 devriminden bu yana Ukrayna'ya karşı tekrar tekrar yıkıcı siber savaş kampanyaları başlattı ve bunların hepsi görünüşe göre Ukrayna'nın savaşma kararlılığını zayıflatmak, kaos ekmek ve Ukrayna'yı uluslararası topluma başarısız bir devlet olarak göstermek için tasarlanmıştı. Örneğin, 2014'ten 2017'ye kadar, Rusya'nın GRU askeri istihbarat teşkilatı bir dizi benzeri görülmemiş siber saldırı gerçekleştirdi: Ukrayna'nın 2014 cumhurbaşkanlığı seçimlerini kesintiye uğrattı ve ardından yanıltmaya çalıştı, bilgisayar korsanları tarafından tetiklenen ilk elektrik kesintilerine neden oldu ve sonunda NotPetya'yı serbest bıraktı. Ukrayna'yı vuran, devlet kurumları, bankalar, hastaneler ve havaalanlarındaki yüzlerce ağı yok eden, kendi kendini kopyalayan bir silici kötü amaçlı yazılım parçası, dünya çapında yayılarak hala benzersiz bir 10 milyar dolarlık hasara neden oldu.
Ancak 2022'nin başından bu yana Rusya'nın Ukrayna'ya yönelik siber saldırıları farklı bir vitese geçti. Rusya'nın daha önceki saldırı kampanyalarında olduğu gibi, yaratılması ve konuşlandırılması aylar süren kötü niyetli kod şaheserleri yerine, Kremlin'in siber saldırıları hızlanarak hızlı, kirli, amansız, tekrarlanan ve nispeten basit sabotaj eylemlerine dönüştü.
Aslında Rusya, silici kodunda bir dereceye kadar niteliği nicelikle değiştirmiş gibi görünüyor. 2022'de Ukrayna'da piyasaya sürülen bir düzineden fazla silicinin çoğu, NotPetya, BadRabbit veya Olympic Destroyer gibi eski GRU silecek araçlarında görülen karmaşık kendi kendine yayılma mekanizmalarının hiçbiri olmadan, veri yok etme konusunda nispeten kaba ve basitti. Bazı durumlarda, aceleye getirilmiş kodlama işlerinin belirtilerini bile gösterirler. Şubat 2022 işgalinden hemen önce Ukrayna'yı vuran ilk silme araçlarından biri olan HermeticWiper, meşru görünmek ve tespit edilmekten kaçınmak için çalıntı bir dijital sertifika kullandı; bu, gelişmiş işgal öncesi planlamanın bir işareti. Ancak ESET'e göre, aynı kötü amaçlı yazılım ailesinin kurbanlarına fidye yazılımı olarak görünmek üzere tasarlanmış bir çeşidi olan HermeticRansom, özensiz programlama hataları içeriyordu. HermeticWiper'ı sistemden sisteme yaymak için tasarlanmış eşlik eden bir araç olan HermeticWizard da tuhaf bir şekilde yarı pişmişti. Sabit kodlanmış kimlik bilgileriyle oturum açmaya çalışarak yeni makinelere bulaşmak için tasarlandı, ancak yalnızca sekiz kullanıcı adı ve yalnızca üç parola denedi: 123, Qaz123 ve Qwerty123.
Rusya'nın 2022'de Ukrayna'ya yönelik tüm silici kötü amaçlı yazılım saldırıları arasında belki de en etkili olanı, Viasat uydu modemlerini hedef alan bir veri yok edici kod parçası olan AcidRain idi. Bu saldırı, Ukrayna'nın askeri iletişiminin bir kısmını devre dışı bıraktı ve hatta ülke dışındaki uydu modemlerine de sıçrayarak Almanya'daki binlerce rüzgar türbininden gelen verilerin izlenmesini engelledi. Bu modemlerde kullanılan Linux biçimini hedeflemek için gereken özelleştirilmiş kodlama, HermeticWiper'da kullanılan çalınan sertifika gibi, AcidRain'i başlatan GRU bilgisayar korsanlarının bunu Rusya'nın işgalinden önce dikkatlice hazırladığını gösteriyor.
Ancak savaş ilerledikçe - ve Rusya, içine saplandığı uzun vadeli çatışmaya giderek daha fazla hazırlıksız göründüğü için - bilgisayar korsanları, belki de fiziksel bir savaşın hızına sürekli değişen yeni teknolojilerle ayak uydurabilmek için daha kısa vadeli saldırılara yöneldi. ön saflar. Mayıs ve Haziran ayına gelindiğinde GRU, en basit silecek örneklerinden biri olan veri imha aracı CaddyWiper'ın tekrar tekrar kullanılmasını giderek daha fazla tercih etmeye başladı. Mandiant'a göre GRU, CaddyWiper'ı bu iki ayda beş kez ve Ekim ayında dört kez daha konuşlandırdı ve kodunu yalnızca virüsten koruma araçları tarafından algılanmayı önleyecek kadar değiştirdi.
Bununla birlikte, o zaman bile, yeni silecek çeşitlerinin patlaması yalnızca devam etti: Örneğin ESET, Prestige, NikoWiper, Somnia, RansomBoggs, BidSwipe, ZeroWipe ve SwiftSlicer'ı, genellikle fidye yazılımı gibi görünen yeni yıkıcı kötü amaçlı yazılım biçimleri olarak listeliyor. sadece Ekim ayından beri Ukrayna'da ortaya çıktı.
Ancak ESET, bu silecek selini bir tür akıllı evrim olarak değil, bir tür kaba kuvvet yaklaşımı olarak görüyor. Rusya, savunucularının önünde kalmak ve ezici bir fiziksel çatışmanın ortasında elinden gelen her türlü ek kaosu yaratmak için Ukrayna'ya olası her türlü yıkıcı aracı fırlatıyor gibi görünüyor.
ESET'in başlıca tehdit istihbaratı araştırmacısı Robert Lipovsky, "Teknik gelişmişliklerinin arttığını veya azaldığını söyleyemezsiniz, ancak tüm bu farklı yaklaşımları denediklerini söyleyebilirim" diyor. "Hepsi işin içindeler ve ortalığı kasıp kavurmaya ve aksamaya neden olmaya çalışıyorlar."