Google, ulus-devlet destekli olduğu düşünülen bir tehdit aktörü tarafından düzenlenen bir hedef odaklı kimlik avı saldırısının, şüpheli hedefi olabileceği düşündüğü yaklaşık 14 bin Gmail kullanıcısına (daha fazla da olabilir) bu hafta içi Perşembe günü bir güvenlik bildirimi gönderdi.
Google’ın Tehdit Analizi Grubu (TAG) Başkanı Shane Huntley’nin The Record ile paylaştığı bilgiye göre, Eylül ayının son haftasına doğru çok çeşitli endüstride yer alan çok sayıda Gmail kullanıcısını (yaklaşık 14 bin) hedefleyen bir APT28 kimlik avı kampanyası keşfedilmiş. Shane Huntley’nin Twitter’da paylaştığı bilgilere göre, Perşembe günü kullanıcılara gönderilen hükümet destekli güvenlik uyarıları ortalamanın üstündeymiş.
Kullanıcılara gönderilen uyarıya göre , devlet kaynaklı kimlik avı saldırıları, tüm Gmail kullanıcılarının “%0,1’inden daha azına” geliyor. Uyarı, Microsoft Word’ü güncel tutmakla ilgili bir ipucu da içeriyor.
Perşembe günü kullanıcılara gönderilen uyarılar yeni bir Gmail özelliği olmamakla birlikte Google tarafından 2012’den bu yana kullanıcılara gönderiliyor.
APT28 yada diğer adıyla Fancybear kimdir?
Rusya destekli olduğu iddia edilen bir tehdit aktörü olan APT28 (diğer adıyla Fancybear), son 10 yılda en aktif gruplardan biri olmuştur. MITRE’ye göre APT28, Rusya’nın Genelkurmay Ana İstihbarat Müdürlüğü (GRU) 85. Ana Özel Hizmet Merkezi (GTsSS ) askeri birimi 26165 adına en az 2004’ten beri faaliyet gösteriyor. Genel itibariyle hedef odaklı saldırılar gerçekleştirip, bunu yaparken de aktif olarak kimlik avı saldırı teknikleri kullanıyorlar. Saldırganlar, bir kurbanın e-postasını ele geçirdikten sonra ilk olarak hassas belgeler ve erişim bilgilerine sahip olup, daha sonrasında başka kişilere yönelmek ve dahili ağlara yönelmek ana amaçları olarak belirtilebilir.
Bu tehdit aktörünün 2016 yılındaki ABD Başkanlık seçimlerine müdahale etmek için saldırılar düzenlediği belirtiliyor. Ayrıca GRU ile bağlantılı 26165 adlı askeri birimdeki 5 memur, bir ABD nükleer tesisi de dahil olmak üzere çeşitli kuruluşlara karşı 2014 ve 2018 yılları arasında gerçekleştirilen siber operasyonlar iddiasıyla 2018 yılında ABD tarafından suçlandı.
