Güvenlik Dünyasında Gamaredon’un 2025 Yılındaki Yenilikleri ve Tehditleri
Rusya bağlantılı siber casusluk grubu Gamaredon, 2025 yılında saldırı taktiklerini ve araçlarını önemli ölçüde değiştirdi. Bu grubu yakından takip eden uzmanlar, yeni araçlar ve stratejilerle donatılmış olan grubun faaliyetlerinin, özellikle Ukrayna ve Rusya arasındaki jeopolitik gerilimlerde kritik bir rol oynadığını belirliyor. Diğer siber tehdit aktörlerinden farklı olarak, gamaredon, sürekli yenilenen teknik altyapısıyla dikkat çekiyor ve bu da onları tespit edip engellemeyi zorlaştırıyor.
Gamaredon’un Yeni Silahları ve Operasyonel Stratejisi
Grup, 2025’te toplam altı yeni PowerShell tabanlı araç geliştirerek siber savaş alanındaki etkinliğini artırdı. Bu araçlar PteroDee, PteroCache, PteroDum, PteroOdd, PteroPaste ve PteroEffigy olarak adlandırılıyor ve çoğu, kötü amaçlı yazılım geliştirme alanında ileri seviye özellikler içeriyor. Özellikle PteroPaste, zararlı içerikleri yaymak ve kalıcılığı sağlamak için gelişmiş fonksiyonlar sunuyor. Grup, bu yeni araçlarla birlikte, özellikle yanal hareket ve veri sızdırma mekanizmalarında büyük ivme kaydetti.
Saldırılarda Yeni Yöntemler ve Ağ Altyapısı
Gamaredon, saldırılarını desteklemek için meşru üçüncü taraf hizmetlerini ve güvenilir sosyal medya platformlarını kullanıyor. Söz konusu platformlar arasında Telegram, Dropbox, Mastodon ve DEV Community bulunuyor. Bu platformlar, gizli iletişim ve komuta kontrol (C&C) altyapısı olarak kullanılıyor ve siber operatörler, bu meşru hizmetleri “dead drop” yani gizli veri alışverişi yöntemiyle kullanıyor. Bu sayede, kötü amaçlı yazılım ve komutlar, genellikle görünürde masum içeriklerin arkasına gizlenerek takip edilmesi zorlu hale getiriliyor.
Veri Sızdırma ve Bulut Entegrasyonu
2025 yılında, Gamaredon’un en büyük yeniliklerinden biri de, bulut tabanlı veri sızdırma teknikleri oldu. PteroPSDoor ve PteroVDoor adlı dosya hırsızları, Amazon S3 uyumlu platformlar (Wasabi, Tebi ve Intercolo) üzerinden çalınan verileri gizlice yükleyebiliyor. Bu yeni yöntem, çalınan büyük hacimli veriyi, organizasyonlar üzerindeki izleri azaltarak, kolayca gizlenebilir hale getiriyor. Aynı zamanda, bu araçlar Dropbox ile de entegre olup, verilerin hem farklı platformlara hem de çeşitli bulut ortamlarına aktarımını mümkün kılıyor.
Operasyonel Amaçlar ve Hedefler
Gamaredon’un temel amacı, Ukrayna’daki hükümet ve askeri kurumları hedef alarak kritik bilgileri ve hassas verileri ele geçirmek. 2025’te de bu hedefleri doğrultusunda hareket ediyor ve özellikle spear phishing saldırılarını artırdı. Bu saldırılar, özellikle devlet görevlilerine ve askeri personellere yönelik, kişiselleştirilmiş ve yüksek başarı oranına sahip saldırılar içeriyor. Ayrıca, USB aygıtları ve iç ağlar üzerinden yanal hareket kabiliyetini güçlendiren özel araçlar da kullanılıyor, bu da organizasyon içi yayılımı hızlandırıyor.
Olağanüstü Güvenlik Tedbirleri ve Analizler
Uzmanlar, Gamaredon’un faaliyetlerinin özellikle Rusya Devleti’nin resmi politikalarıyla uyumlu olduğunu ve grup üyelerinin büyük olasılıkla devlet destekli kişilerden oluştuğunu vurguluyor. Grup, önemli bayramlar ve Rusya’daki kritik günler öncesinde düzenli olarak altyapı güncellemeleri yapıyor ve saldırı saldırı periyotlarını buna göre ayarlıyor. Bu strateji, hem tespit edilme riskini azaltıyor hem de operasyonların sürekliliğini sağlıyor. Ayrıca, C&C sunucularını ve yükleri barındırmak için, tüneller, DDNS ve PaaS platformları gibi çeşitli teknolojiler kullanıyorlar, bu da operasyonel güvenliği artırıyor.
İlk yorum yapan olun