Siber Casuslukta Sednit Hortladı: Ukrayna Ordusuna Karşı "Çift İmplant" Tuzağı
Dünyanın önde gelen siber güvenlik şirketlerinden ESET, siber casusluk dünyasının en tehlikeli aktörlerinden biri olan Sednit (nam-ı diğer APT28 veya Fancy Bear) grubunun modern araç setini gün yüzüne çıkardı. 2016 yılında ABD Adalet Bakanlığı tarafından Rus askeri istihbaratı (GRU) ile ilişkilendirilen grubun, özellikle Ukrayna askeri personelini hedef alan "çift implant" stratejisiyle siber operasyonlarını 2026 yılında da kararlılıkla sürdürdüğü tespit edildi.
Casuslukta "Yedekli" Strateji: BeardShell ve Covenant
Sednit’in 2024 yılından bu yana kullandığı yeni stratejinin temelinde, her biri farklı bir bulut sağlayıcısını kullanan iki ayrı yazılımın (implant) aynı anda sisteme sızdırılması yatıyor. Bu yöntemle saldırganlar, bir kanal kapatılsa bile diğeri üzerinden casusluk faaliyetine devam edebiliyor.
-
BeardShell: .NET tabanlı, meşru bulut depolama hizmeti Icedrive'ı komuta merkezi olarak kullanan oldukça sofistike bir araç.
-
Covenant: Açık kaynaklı bir çerçeveden evrilen, 90'dan fazla yerleşik görevle veri sızdıran ve hedefi 6 aydan uzun süre aralıksız izleyebilen birincil silah.
Altı Yıllık İz: Xagent’tan SlimAgent’a
ESET’in telemetri verileri, 2024’te Ukrayna’da keşfedilen SlimAgent adlı casusluk aracının köklerinin 2018 yılına kadar uzandığını ortaya koydu. SlimAgent’ın, grubun efsanevi aracı Xagent’ın bir evrimi olduğu ve tuş vuruşu kaydetme (keylogger), ekran görüntüsü alma gibi klasik ama etkili yöntemlerle veri topladığı belirlendi. Bu benzerlik, Sednit’in geliştirme ekibindeki sürekliliği de kanıtlar nitelikte.
2026’da Yeni Bir Tehdit: Spearphishing Kampanyaları
Ocak 2026 itibarıyla Sednit’in faaliyetlerini artırdığı gözlemlendi. CERT-UA tarafından raporlanan verilere göre grup, CVE-2026-21509 kodlu güvenlik açığını kullanarak hedefli oltalama (spearphishing) saldırıları düzenliyor. Özellikle Ukrayna askeri personeline ait makinelerin bu yöntemle altı aydan uzun süre kontrol altında tutulduğu analiz edildi.
Sednit Araç Seti Karşılaştırma Tablosu
| Bileşen |
Görevi |
Kullandığı Altyapı |
Özelliği |
| SlimAgent |
Veri Toplama |
Yerel Kayıt / Komuta |
Tuş kaydı ve pano verisi toplama |
| BeardShell |
Yedek Erişim |
Icedrive (Meşru Bulut) |
PowerShell komutlarını yürütme |
| Covenant |
Birincil İzleme |
Çeşitli Bulut Sürücüleri |
90+ görev, uzun süreli gözetim |
Siber Savunma İçin Kritik Not
Sednit grubunun 2010’lu yıllardan gelen teknikleri modern bulut altyapılarıyla birleştirmesi, grubun hala yüksek kapasiteli geliştirme gücüne sahip olduğunu gösteriyor. Meşru bulut hizmetlerini komuta kanalı olarak kullanmaları, saldırıların standart güvenlik duvarları tarafından fark edilmesini zorlaştırıyor. |
