Bir siber gรผvenlik firmasฤฑnฤฑn รarลamba gรผnรผ yayฤฑnladฤฑฤฤฑ rapora gรถre, Rusya‘nฤฑn dฤฑล istihbarat teลkilatฤฑ iรงin รงalฤฑลtฤฑฤฤฑndan ลรผphelenilen bilgisayar korsanlarฤฑ, bilgisayarlarฤฑna girmek amacฤฑyla sahte bir ikinci el araba ilanฤฑyla Ukrayna‘daki bรผyรผkelรงiliklerde รงalฤฑลan dรผzinelerce diplomatฤฑ hedef aldฤฑ.
Palo Alto Networks’รผn Unit 42 araลtฤฑrma bรถlรผmรผndeki analistler raporda, geniล kapsamlฤฑ casusluk faaliyetinin Ukrayna’nฤฑn baลkenti Kiev’deki yaklaลฤฑk 80 yabancฤฑ misyondan en az 22’sinde รงalฤฑลan diplomatlarฤฑ hedef aldฤฑฤฤฑnฤฑ sรถyledi.
ฤฐlk olarak Reuters tarafฤฑndan yayฤฑnlanan raporda, “Kampanya zararsฤฑz ve meลru bir olayla baลladฤฑ” denildi ve ลu sรถzler kaydedildi:
“Nisan 2023’รผn ortalarฤฑnda Polonya Dฤฑลiลleri Bakanlฤฑฤฤฑ’ndaki bir diplomat, Kiev’de bulunan kullanฤฑlmฤฑล bir BMW 5 serisi sedanฤฑn satฤฑลฤฑnฤฑ ilan eden yasal bir broลรผrรผ รงeลitli bรผyรผkelรงiliklere e-posta ile gรถnderdi”.
Gรผvenlik kaygฤฑlarฤฑnฤฑ gerekรงe gรถstererek isminin aรงฤฑklanmasฤฑnฤฑ istemeyen Polonyalฤฑ diplomat, reklamฤฑnฤฑn dijital izinsiz giriลteki rolรผnรผ doฤruladฤฑ.
Birim 42, APT29 ya da “Cozy Bear” olarak bilinen bilgisayar korsanlarฤฑnฤฑn bu broลรผrรผ ele geรงirip kopyaladฤฑฤฤฑnฤฑ, kรถtรผ niyetli bir yazฤฑlฤฑm yerleลtirdiฤini ve ardฤฑndan Kiev’de รงalฤฑลan dรผzinelerce yabancฤฑ diplomata gรถnderdiฤini sรถyledi.
Raporda, genellikle devlet destekli siber casusluk gruplarฤฑnฤฑ tanฤฑmlamak iรงin kullanฤฑlan bir kฤฑsaltma kullanฤฑlarak, “Bu, genellikle dar kapsamlฤฑ ve gizli geliลmiล kalฤฑcฤฑ tehdit (APT) operasyonlarฤฑ iรงin ลaลฤฑrtฤฑcฤฑ bir kapsamdฤฑr” denildi.
2021 yฤฑlฤฑnda ABD ve ฤฐngiliz istihbarat kurumlarฤฑ APT29’un Rusya’nฤฑn dฤฑล istihbarat servisi SVR’nin bir kolu olduฤunu tespit etti. SVR, Reuters’ฤฑn bilgisayar korsanlฤฑฤฤฑ kampanyasฤฑyla ilgili yorum talebine yanฤฑt vermedi.
Nisan ayฤฑnda Polonyalฤฑ karลฤฑ istihbarat ve siber gรผvenlik yetkilileri aynฤฑ grubun NATO รผyesi รผlkelere, Avrupa Birliฤi’ne ve Afrika’ya yรถnelik “yaygฤฑn bir istihbarat kampanyasฤฑ” yรผrรผttรผฤรผ uyarฤฑsฤฑnda bulunmuลtu.
Unit 42’deki araลtฤฑrmacฤฑlar sahte araba reklamฤฑnฤฑ SVR ile iliลkilendirebildiler รงรผnkรผ bilgisayar korsanlarฤฑ daha รถnce casusluk teลkilatฤฑyla iliลkilendirilen bazฤฑ araรง ve teknikleri yeniden kullandฤฑlar.
Birim 42 raporunda “Diplomatik misyonlar her zaman yรผksek deฤerli bir casusluk hedefi olacaktฤฑr” denildi ve raporda ลu sรถzlere yer verildi: “Rusya’nฤฑn Ukrayna’yฤฑ iลgalinin รผzerinden 16 ay geรงmiลken, Ukrayna ve mรผttefiklerin diplomatik รงabalarฤฑna iliลkin istihbarat Rus hรผkรผmeti iรงin neredeyse kesin olarak yรผksek รถncelikli bir konudur.”
Polonyalฤฑ diplomat, orijinal ilanฤฑ Kiev’deki รงeลitli bรผyรผkelรงiliklere gรถnderdiฤini ve birisinin fiyat “cazip” gรถrรผndรผฤรผ iรงin kendisini geri aradฤฑฤฤฑnฤฑ sรถyledi.
Reuters’a konuลan diplomat, “Kontrol ettiฤimde biraz daha dรผลรผk bir fiyattan sรถz ettiklerini fark ettim.” dedi.
Reuters, SVR bilgisayar korsanlarฤฑnฤฑn, daha fazla insanฤฑ cihazlarฤฑna uzaktan eriลim saฤlayacak kรถtรผ amaรงlฤฑ yazฤฑlฤฑmฤฑ indirmeye teลvik etmek amacฤฑyla, reklamฤฑn sahte versiyonunda diplomatฤฑn BMW’sini daha dรผลรผk bir fiyatla (7.500 Euro) listelediklerini ortaya รงฤฑkardฤฑ.
Birim 42, bu yazฤฑlฤฑmฤฑn kullanฤฑlmฤฑล BMW’nin fotoฤraflarฤฑndan oluลan bir albรผm olarak gizlendiฤini sรถyledi. Raporda, bu fotoฤraflarฤฑ aรงma giriลimlerinin hedefin makinesine virรผs bulaลtฤฑracaฤฤฑ belirtildi.
Bilgisayar korsanlarฤฑ tarafฤฑndan hedef alฤฑnan ve daha sonra Reuters tarafฤฑndan iletiลime geรงilen 22 bรผyรผkelรงilikten 21’i yorum yapmadฤฑ. Hangi bรผyรผkelรงiliklerin, eฤer varsa, ele geรงirildiฤi net deฤildi.
ABD Dฤฑลiลleri Bakanlฤฑฤฤฑ sรถzcรผsรผ, “sรถz konusu faaliyetten haberdar olduklarฤฑnฤฑ ve Siber ve Teknoloji Gรผvenliฤi Mรผdรผrlรผฤรผ’nรผn analizine dayanarak bunun Bakanlฤฑk sistemlerini veya hesaplarฤฑnฤฑ etkilemediฤini” sรถyledi.
Polonyalฤฑ diplomat Reuters’a verdiฤi demeรงte, arabanฤฑn hรขlรข mevcut olduฤunu sรถyledi ve ekledi:
“Muhtemelen Polonya’da satmaya รงalฤฑลacaฤฤฑm. Bu durumdan sonra daha fazla sorun yaลamak istemiyorum”.
