Rus Turla hacker’ları Ukrayna’da Starlink’e bağlı cihazları vurdu

Rus siber casusluk grubu Turla, namıdiğer “Secret Blizzard”, Starlink üzerinden bağlanan Ukrayna askeri cihazlarını hedef almak için diğer tehdit aktörlerinin altyapısını kullanıyor.

Rus siber casusluk grubu Turla, diğer adıyla “Gizli Kar Fırtınası”, Starlink üzerinden bağlanan Ukrayna askeri cihazlarını hedeflemek için diğer tehdit aktörlerinin altyapısını kullanıyor.

Microsoft ve Lumen yakın zamanda, Rusya Federal Güvenlik Servisi’ne (FSB) bağlı olan ulus-devlet aktörünün, Pakistanlı tehdit aktörü Storm-0156’nın kötü amaçlı yazılımını ve sunucularını nasıl ele geçirdiğini ve kullandığını ifşa etti.

Microsoft bugün, Mart ve Nisan 2024 arasında askeri operasyonlarda kullanılan Ukrayna’daki cihazları hedef alan ayrı Turla operasyonlarına odaklanan başka bir rapor yayınladı.

Turla, son kampanyada Amadey botnet’i ve “Storm-1837” olarak bilinen başka bir Rus hacker grubunun altyapısını kullandı. Bu altyapı, Tavdig ve KazuarV2 dahil olmak üzere Turla’nın özel kötü amaçlı yazılım ailelerini Ukrayna sistemlerine dağıtmak için kullanıldı.

Microsoft, Turla’nın Amadey’i ele geçirip geçirmediğinden veya botnet’e erişim satın alıp almadığından emin değil, ancak kampanya, belirli tehdit aktörünün diğer hacker gruplarının arkasına saklanmasının başka bir örneğini oluşturuyor.

“Microsoft, Secret Blizzard’ın Amadey kötü amaçlı yazılımını bir hizmet olarak (MaaS) kullandığını veya hedef cihazlara bir PowerShell dropper’ı indirmek için Amadey komut ve kontrol (C2) panellerine gizlice eriştiğini değerlendiriyor,” diye açıklıyor Microsoft.

“PowerShell dropper, Secret Blizzard C2 altyapısına bir istekte bulunan kodla eklenen Base64 kodlu bir Amadey yükü içeriyordu.”