Dünyanın en acımasız ve gelişmiş hacker gruplarından biri olarak bilinen, Rusya devlet kontrolündeki Sandworm isimli grup, devam eden savaşta Ukrayna'ya yönelik bir dizi yıkıcı siber saldırı gerçekleştirdi. Yapılan araştırmalara göre, bu saldırılarla hassas verilerin ve barındıran altyapıların kalıcı olarak yok edilmesi hedefleniyor.
Nisan ayında, grubun bir Ukrayna üniversitesini hedef aldığı ve 'Sting' ile 'Zerlot' olarak adlandırılan iki farklı veri yok edici zararlı yazılım kullandığı belirtildi. 'Sting' isimli zararlı yazılımın, Rus argo dilinden türetilen ve "biraz güveç ye" anlamına gelen 'DavaniGulyashaSdeshka' adlı bir görev planlayarak Windows bilgisayar filolarını hedef aldığı bildirildi.
Her Zaman Görülen Bir Hedef Değil
Ardından, haziran ve eylül aylarında Sandworm, hükümet, enerji ve lojistik alanlarında faaliyet gösteren kuruluşlar da dahil olmak üzere Ukrayna'nın kritik altyapısına yönelik çeşitli veri yok edici zararlı yazılım varyantları yaydı. Rus hackerların bu tür hedefleri uzun süredir takibinde olduğu biliniyor. Ancak bu kez, daha az rastlanan dördüncü bir hedef de göze çarptı: Ukrayna'nın tahıl endüstrisi.
Yapılan açıklamalara göre, her ne kadar bu dört sektör de 2022'den bu yana veri yok edici saldırıların hedefi olsa da, tahıl sektörü daha seyrek karşılaşılan bir hedef olarak öne çıkıyor. Tahıl ihracatının Ukrayna'nın ana gelir kaynaklarından biri olduğu düşünüldüğünde, bu tür bir hedeflemenin ülkenin savaş ekonomisini zayıflatma girişimi olduğu değerlendiriliyor.
Veri yok edici yazılımlar, Rus hackerların en sevdiği araçlardan biri olmuştur. En bilinen örneklerden biri, 2012'de yayılan ve başlangıçta Ukrayna'yı hedef alan ancak kısa sürede küresel çapta yayılıp on milyarlarca dolarlık finansal hasara yol açan NotPetya solucanıdır. Bu solucan, binlerce kuruluşu günlerce veya haftalarca çevrimdışı bırakmıştı.
2016 ve 2017 yıllarında da Sandworm'un, veri yok edici yazılımlarla benzer özellikler taşıyan yıkıcı zararlı yazılımlar kullanarak Ukrayna'nın elektrik şebekelerinin bir kısmını devre dışı bıraktığı ve bu kesintilerin kış ortasında birçok Ukraynalıyı ısıtmasız bıraktığı kaydedildi.
Daha yakın zamanda ise, Kremlin'in Ukrayna'yı hedef alan bir düzineden fazla veri yok edici yazılımla bağlantısı kuruldu. 2022'de yaşanan bir saldırı, 10.000 uydu modemini kullanılamaz hale getirmişti. Aynı yıl başka bir saldırı ise Kiev'deki bir TV istasyonunu hedef aldı. Rus devlet hackerlarının gerçekleştirdiği diğer güncel veri yok edici saldırılar arasında, Ukrayna hükümet ve BT sektörü ağlarını hedef alan WhisperGate ve yüzlerce benzer Ukrayna kuruluşunu etkileyen bir saldırı da bulunuyor.
Tüm saldırıların, yaklaşık yirmi yıldır aktif olan ve Rusya'nın askeri istihbarat birimi GRU'nun bir parçası olan Sandworm'a atfedilmediği belirtildi. Bazı durumlarda, veri yok edici yazılımların Rus hükümetinin diğer kolları için çalışan gruplar tarafından yayıldığı da gözlemlendi. Bu tür grupların bu yıl da benzer saldırılar gerçekleştirdiği kaydedildi.
Bazı grupların birlikte çalıştığı da görüldü. Örneğin, Sandworm'un veri yok edici saldırılarından bazılarında, UAC-0099 olarak bilinen bir grubun, hedeflere yönelik oltalama saldırıları başlattıktan sonra ilk erişimi sağladığı belirtildi. Farklı Rus grupları arasındaki rekabet göz önüne alındığında, bu tür bir iş birliğinin nadir olduğu ifade ediliyor.
Son gözlemler, veri yok edici yazılımların, Kremlin'in uzun süredir tercih ettiği siber saldırı araçlarından biri olmaya devam edeceğini gösteriyor. Veri yok edici saldırılarla ilgili son raporlara rağmen, Sandworm'un 2025'in başından beri Ukrayna'daki kuruluşlara yönelik bu tür saldırıları düzenli olarak gerçekleştirdiği görülüyor.
