Microsoft: Rus casusluk grubu, Moskova’daki büyükelçilikleri hedef alıyor

Microsoft Tehdit İstihbaratı, 31 Temmuz 2025 tarihinde “Secret Blizzard” (Gizli Kar Fırtınası) olarak izlenen, Rusya'nın devlet destekli büyük siber casusluk grubunun, Moskova'daki yabancı büyükelçilikleri hedef aldığı doğrulandı.

Şirketin açıklamasına göre, Rusya bağlantılı siber casusluk grubu Secret Blizzard, “ApolloShadow” adlı kötü amaçlı yazılımla diplomatik cihazlara güvenilir bir kök sertifika yüklemeyi başardı.

ORTADAKİ DÜŞMAN TEKNİĞİ KULLANILIYOR

Grubun, istihbarat toplamak amacıyla özel kötü amaçlı yazılımı "ApolloShadow"u hedef cihazlara dağıtmak için gelişmiş bir "adversary-in-the-middle” (ortadaki düşman) tekniği kullandığı belirtildi. Bu yöntemle saldırganlar, kurbanların trafiğini manipüle ederek kendi kontrol ettikleri sistemleri meşru siteler gibi gösteriyor. Böylece kullanıcılar, farkında olmadan kötü amaçlı içeriklere erişim sağlıyor ve cihazlara sürekli erişim imkânı doğuyor.

BÜYÜKELÇİLİKLER HEDEF ALINDI

En az 2024 yılından beri devam eden bu saldırılar, Rusya'nın başkentinde faaliyet gösteren diplomatik kuruluşlar ve diğer hassas kuruluşlar, özellikle de yerel internet sağlayıcılarına güvenenler için yüksek riskli olarak değerlendiriliyor.

Microsoft tarafından yapılan açıklamada, Secret Blizzard'ın İnternet Servis Sağlayıcısı (İSS) düzeyinde faaliyet gösterme kapasitesine sahip olduğunu doğrulanıyor. Bu da yerel Rus İSS'lerini veya telekomünikasyon hizmetlerini kullanan diplomatik personelin yüksek olasılıkla hedef olabileceği anlamına geliyor.

Microsoft, daha önce Secret Blizzard'ın Rusya sınırları içinde siber casusluk faaliyetleri yürüttüğüne dair bir değerlendirme yapmıştı. Öte yandan yapılan yeni doğrulama, grubun kötü amaçlı faaliyetleri kolaylaştırmak için doğrudan ağlar arasında konumlanabileceğini teyit ediyor.

YEREL DİNLEME SİSTEMLERİ TARAFINDAN DESTEKLENİYOR

Microsoft, bu operasyonların büyük ölçekli olması göz önüne alındığında, bunun muhtemelen Rusya'nın Operatif Soruşturma Faaliyetleri Sistemi (SORM) gibi yerel dinleme sistemleri tarafından desteklendiğini söylüyor.

Yüklenen kök sertifika sayesinde hedef cihazlar, saldırganların kontrolündeki sahte web sitelerini güvenilir olarak algılıyor. Bu yöntem, siber casusluk grubunun cihazlara kalıcı erişim sağlamasına ve muhtemelen diplomatik iletişimlerden istihbarat toplamasına olanak tanıyor.

FSB İLE İLİŞKİSİ KESİN OLARAK BİLİNİYOR

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Secret Blizzard grubunu Rusya Federal Güvenlik Servisi’nin (FSB) 16. Merkezi ile ilişkilendiriyor. Grup, siber güvenlik camiasında VENOMOUS BEAR, Turla, Uroburos, Snake, Blue Python, Wraith, ATG26 ve Waterbug gibi farklı adlarla da biliniyor.

Microsoft raporuna göre, siber casusluk öncelikli olarak Rusya içindeki kuruluşları hedef alsa da önerilen savunma önlemleri (tüm trafiğin şifreli tüneller üzerinden yönlendirilmesi veya Rus altyapısı tarafından kontrol edilmeyen alternatif, uydu tabanlı internet sağlayıcılarının kullanılması dâhil) dünya çapında benzer siber tehditleri azaltmak için yaygın olarak uygulanabilir.