Rusya bağlantılı grubun yeni yöntemleri deşifre oldu
Siber güvenlik dünyasının en tehlikeli gruplarından biri olarak kabul edilen Sednit, Ukrayna'daki askeri personeli hedef alan yeni bir casusluk dalgasıyla ortaya çıktı.
Siber güvenlik dünyasının en çok bilinen ve takip edilen oluşumlarından biri olan Sednit grubu, modern teknolojiyle güncellenmiş yeni bir casusluk operasyonuyla sahalara dönmüş durumda. ESET Research tarafından paylaşılan veriler, grubun özellikle Ukrayna'daki askeri personeli ve stratejik hedefleri mercek altına alan, karmaşık ve uzun vadeli bir gözetleme stratejisi izlediğini ortaya koyuyor. Nisan 2024’te başlayan bu yeni dalganın, 2026 yılı itibarıyla güncel güvenlik açıklarını da kullanarak genişlediği gözlemleniyor.
Çift implant stratejisiyle kesintisiz gözetim
Sednit'in bu yeni operasyon döneminde en dikkat çekici yaklaşımı, "BeardShell" ve "Covenant" adı verilen iki farklı yapıyı aynı anda kullanması olarak görülüyor. Farklı bulut sağlayıcıları üzerinden yönetilen bu ikili sistem, birinin deşifre olması durumunda diğerinin yedek olarak devreye girmesine olanak tanıyacak şekilde kurgulanmış. Bu yöntemin, yüksek değerli hedeflere olan erişimin sürekliliğini sağlamak ve uzun vadeli veri sızıntısı gerçekleştirmek amacıyla tercih edildiği belirtiliyor.
Grubun cephaneliğindeki bir diğer önemli parça ise "SlimAgent" olarak adlandırılan casusluk aracı. Tuş vuruşlarını kaydetme ve ekran görüntüsü alma gibi temel yeteneklere sahip olan bu aracın, grubun geçmişte kullandığı yazılımların evrilmiş bir versiyonu olduğu düşünülüyor. Yapılan teknik analizler, bu kod yapılarının geçmiş yıllarda Avrupa’daki devlet kurumlarına yönelik saldırılarda da kullanıldığını gösteren izler taşıyor.
Bulut depolama ve açık kaynak araçların hibrit kullanımı
Sednit, saldırılarını daha gizli hale getirmek için meşru bulut depolama hizmetlerinden faydalanmayı sürdürüyor. BeardShell implantının, komuta kontrol kanalı olarak bilinen Icedrive hizmetini kullanması, saldırı trafiğinin normal internet trafiği arasında fark edilmesini zorlaştırmayı hedefliyor. Ayrıca, 90’dan fazla yerleşik görev sunan açık kaynaklı "Covenant" çerçevesinin de grup tarafından kendi ihtiyaçlarına göre ciddi şekilde modifiye edildiği görülüyor.
2026 yılının başında tespit edilen oltalama saldırılarında, güncel bir güvenlik açığının (CVE 2026 21509) da sürece dahil edilmesi, grubun teknik kabiliyetlerini sürekli güncel tuttuğuna işaret ediyor. Analiz edilen bulut sürücüleri, bazı makinelerin altı ayı aşkın süredir kesintisiz olarak izlendiğini ortaya koyuyor.
Geçmişten bugüne süreklilik
ESET’in paylaştığı bulgular, grubun 2010’lu yıllardaki ilk faaliyetlerinden bugüne kadar kod yapısında ve kullandığı tekniklerde belirli bir süreklilik olduğunu gösteriyor. Gelişmiş özel implantlar üretme kapasitesini koruyan grubun, teknolojik altyapısını modern bulut sistemlerine ve açık kaynaklı yazılımlara entegre ederek daha esnek bir yapıya büründüğü değerlendiriliyor. Bu durum, siber casusluk faaliyetlerinin artık sadece yazılımsal değil, altyapısal bir yedekleme stratejisiyle yürütüldüğünü kanıtlar nitelikte.