Batı istihbaratı, Yandex'i hesaplarda casusluk yapmak için hacklendi

WASHINGTON / LONDRA / SAN FRANCISCO (Reuters) 27.06.2019

- Konuyla ilgili Reuters’e demeç veren casuslar; istihbarat teşkilatları için çalışan hackerlar, 2018 yılının sonlarında, kullanıcı hesaplarını gözetmek için dört kişi tarafından casusluk yapmak amacıyla nadir bulunan bir kötü amaçlı yazılım türünü dağıtmak için Rus İnternet arama şirketi Yandex'e (YNDX.O) girdi.

Kaynaklara göre, Regin adı verilen kötü amaçlı yazılımın, ABD, İngiltere, Avustralya, Yeni Zelanda ve Kanada’nın “Beş Göz” istihbarat paylaşım ittifakı tarafından kullanıldığı biliniyor. Bu ülkelerdeki istihbarat teşkilatları yorum yapmaktan kaçındı.

Rusya’ya karşı Batı siber saldırıları nadiren kamuoyu tarafından kabul edilmiyor veya konuşulmuyor. Beş ülkeden hangisinin Yandex'e yönelik saldırının arkasında olduğu, Rusya ve diğer ülkelerdeki kaynakların üçünün hack hakkında doğrudan bilgi sahibi olduğu tespit edilemedi. İhlal Ekim ve Kasım 2018 arasında gerçekleşti.

Yandex sözcüsü Ilya Grabovsky, olayı Reuters’e yaptığı açıklamada kabul etti, ancak daha fazla bilgi vermeyi reddetti. “Bu özel saldırı Yandex güvenlik ekibi tarafından çok erken bir aşamada tespit edildi. Herhangi bir zarar vermeden önce tamamen nötralize edildi ”dedi.

Şirket ayrıca, “Yandex güvenlik ekibinin cevabını hiçbir saldırıda kullanıcı verisinin tehlikeye atmadığını” söyledi.

İnternet aramadan e-postaya ve taksi rezervasyonlarına kadar çevrimiçi hizmetler dizisi için yaygın olarak “Rusya’nın Google” olarak bilinen şirket, Rusya’da aylık 108 milyondan fazla kullanıcısına sahip olduğunu söylüyor. Aynı zamanda Belarus, Kazakistan ve Türkiye'de de faaliyet göstermektedir.

Reuters'e yapılan saldırıyı açıklayan kaynaklar, bilgisayar korsanlarının Yandex'in kullanıcı hesaplarını nasıl doğruladığını açıklayabilecek teknik bilgiler aradıklarını söyledi. Bu bilgiler bir casus acentesinin Yandex kullanıcısını kimliğine bürünmesine ve özel mesajlarına erişmesine yardımcı olabilir.

Kaynaklar, Yandex’in araştırma ve geliştirme biriminin hack edilmesinin fikri mülkiyeti bozmak veya çalmak yerine casusluk amaçlı olduğunu söyledi. Hackerların, tespit edilmeden en az birkaç hafta boyunca gizlice Yandex'e erişim sağladıklarını söylediler.

Regin kötü amaçlı yazılımı, eski ABD Ulusal Güvenlik Ajansı (NSA) yüklenicisi Edward Snowden tarafından yapılan açıklamaların ardından 2014 yılında Beş Göz aracı olarak tanımlandı.
Intercept'ten bir Hollanda ve Belçika gazetesiyle ortaklaşa olan Raporlar, Regin'in önceki bir versiyonunu 2013'te Belçika telekom şirketi Belgacom'daki bir kesmeye bağladı ve İngiliz casus ajansı Hükümet İletişim Merkezi'nin (GCHQ) ve NSA'nın sorumlu olduğunu söyledi. O sırada GCHQ yorum yapmaktan kaçındı ve NSA katılımı reddetti.

RO CROWN JEWEL ’
Güvenlik uzmanları, bilgisayar korsanlarının kullandığı gizlenme yöntemleri nedeniyle siber saldırıların tanımlanmasının zor olabileceğini söylüyor.

Ancak Yandex’in sistemlerinde bulunan Regin kodlarından bazıları bilinen önceki siber saldırılarda kullanılmamıştı, kaynaklar, saldırganların izlerini örtmek için bilinen Batı saldırı araçlarını kullanmanın kasıtlı olarak kullanılma riskini azalttığını söyledi.

Üç kaynağa göre, saldırganların Yandex içerisindeki bir grup geliştiriciyi hedef aldıklarını belirten Rus siber güvenlik şirketi Kaspersky, Yandex’i çağırdı. Reuters’e tarif edilen Kaspersky’nin özel bir değerlendirmesi, Regin’i kullanarak Yandex’in İstihbarat Teşkilatı’nı ele geçirmesi muhtemel olan bilgisayar korsanlarının

Bir Kaspersky sözcüsü yorum yapmaktan kaçındı.

ABD Ulusal İstihbarat Direktörü ofisi yorum yapmaktan kaçındı. Beyaz Saray Ulusal Güvenlik Konseyi, yorum talebine cevap vermedi.

Kremlin hemen bir Reuters yorum talebine cevap vermedi.

ABD'de NASDAQ'da listelenen Moskova merkezli Yandex ve Moskova Borsası, yeni internet yasalarının yürürlüğe girmesinden sonra Rus hükümeti tarafından daha sıkı bir düzenleyici kontrol altına girmiştir. Eski Rus ekonomi ve ticaret bakanı Herman Gref, 2014 yılında Yandex yönetim kurulu üyeliği yaptı.

ABD siber güvenlik şirketi Symantec, yakın zamanda Regin'in yeni bir versiyonunu keşfettiğini söyledi. Symantec, müşterinin gizliliğini öne sürerek bu örneğin nerede keşfedildiğini tartışmayı reddetti.

“Regin, casusluk için kullanılan saldırı çerçevelerinin taç mücevheridir. Mimarisi, karmaşıklığı ve kabiliyeti kendine ait bir oyun parkında oturuyor, ”diyor Symantec Security Response teknik direktörü Vikram Thakur Reuters'e. “Son birkaç ay içinde Regin'in farklı bileşenlerini gördük.”

Thakur, “Regin'i oluşturmak, sürdürmek ve işletmek için gereken yatırımla birleştiğinde kurbanolojiye dayanarak, varlığının arkasında olabilecek bir avuç ülke olduğuna inanıyoruz” dedi. “Regin 2019’da radarda geri döndü.”