Rusya’nın en acımasız hacker gruplarından Sandworm, Ukrayna’ya karşı devam eden savaşta yıkıcı siber saldırılar düzenledi. ESET araştırmacıları, grubun Nisan ayında bir Ukrayna üniversitesini hedef aldığını bildirdi. Saldırıda iki silme yazılımı kullanıldı: Bunlardan biri Sting adlı yazılımdı ve Windows bilgisayarlarında *DavaniGulyashaSdeshka* adlı bir görev planlayarak veri silmeyi amaçladı. Bu ifade Rusça argo kökenli olup kabaca “biraz gulash ye” anlamına geliyor. Diğer yazılım ise Zerlot olarak izlendi.
Haziran ve Eylül aylarında Sandworm, birden fazla silme yazılımı varyantını Ukrayna’nın kritik altyapı hedeflerine karşı kullandı. Hedefler arasında hükümet, enerji ve lojistik örgütleri yer aldı. Bu sektörler uzun süredir Rus hacker’ların odak noktası. Ancak dördüncü bir hedef, Ukrayna’nın tahıl endüstrisi oldu ki bu alışılmadık bir seçim. ESET, “2022’den beri silme saldırılarında belgelenmiş olsa da tahıl sektörü nadir hedeflerden biri” dedi. Tahıl ihracatı Ukrayna’nın ana gelir kaynaklarından olduğu için bu saldırı, ülkenin savaş ekonomisini zayıflatma amacını taşıyor.
Silme yazılımları, Rus hacker’ların en sevdiği araçlardan biri. En az 2012’den beri kullanılıyor ve NotPetya solucanıyla yayıldı. Bu kendini kopyalayan yazılım başta Ukrayna’yı hedef aldı ama saatler içinde küresel kaosa yol açtı. Binlerce örgütü günler veya haftalarca kapattı ve on milyarlarca dolar zarara neden oldu.
2016 ve 2017’de Sandworm, Ukrayna’nın elektrik şebekesinin kısımlarını yıkıcı yazılımlarla devre dışı bıraktı. Bu yazılımlar silme araçlarıyla benzer özellikler taşıyor. Kışın ortasında birçok Ukraynalı ısınmasız kaldı. Daha yakın tarihlerde Kremlin bağlantılı ondan fazla silme saldırısı Ukrayna’yı hedef aldı. 2022’de bir saldırı 10.000 uydu modimini etkisiz hale getirdi. Aynı yıl Kiev’deki bir TV istasyonuna başka bir silme saldırısı düzenlendi.
Rus devlet hacker’larının diğer son silme saldırıları arasında WhisperGate izlenen bir saldırı var. Bu, Ukrayna hükümeti ve BT sektör ağlarını hedef aldı. Başka bir saldırı ise yüzlerce benzer Ukrayna örgütü etkiledi. Tüm saldırılar Sandworm’a atfedilmedi. Grup, GRU’nun yani Rusya askeri istihbarat biriminin parçası ve neredeyse yirmi yıldır aktif.
Bazı silme yazılımları, Rus hükümetinin diğer kolları için çalışan gruplar tarafından yayıldı. ESET, bu yıl benzer saldırıları gözlemledi. Örneğin RomCom grubu, WinRAR dosya sıkıştırma aracındaki sıfırıncı gün açığını sömürerek Ukrayna hedeflerine yazılım yükledi. Gamaredon grubu da son 11 ayda ayrı silme saldırıları gerçekleştirdi.
Bazı durumlarda gruplar birlikte çalıştı. Sandworm’un bazı silme saldırılarında UAC-0099 grubu, hedeflere mızrak phishing saldırılarıyla ilk erişimi sağladı. ESET, Rus gruplar arasındaki şiddetli rekabete rağmen bu işbirliğinin nadir olduğunu belirtti. Sandworm, 2022-2024 arası Ukrayna hükümeti, BT ve diğer sektörleri hedef alan WhisperGate gibi saldırılarda rol aldı. Diğer gruplar da RomCom ve Gamaredon silme kampanyaları yürüttü.
2024’te casusluk odaklı bir kayma rapor edildi ama ESET, Sandworm’un silme faaliyetlerini sürdürdüğünü gözlemledi. Nisan 2025’te Sandworm, Ukrayna üniversitesine Sting ve Zerlot ile saldırdı. Sting, Windows’ta veri yok etmeyi planladı. Haziran 2025’te birden fazla silme varyantı hükümet, enerji ve lojistik altyapılarına karşı kullanıldı. Eylül 2025’te tahıl endüstrisi hedeflendi.
2025 boyunca Sandworm düzenli silme saldırıları yaptı. Genellikle diğer Rus gruplarıyla işbirliği içinde, örneğin UAC-0099’un phishing desteğiyle. ESET, “Sandworm’un yıkıcı saldırıları, silme araçlarının Rusya bağlantılı tehdit aktörleri için Ukrayna’da sık kullanılan bir araç olduğunu hatırlatıyor” dedi. 2024 sonlarında casusluğa odaklanma raporlarına rağmen 2025 başından beri düzenli saldırılar gözlendi.
2012’de Rus hacker’lar ilk kez NotPetya ile silme tarzı yazılım kullandı ve küresel yıkıma yol açtı. 2016-2017’de Sandworm Ukrayna elektrik şebekesini vurdu. 2022’de 10.000 uydu modemi ve Kiev TV istasyonu etkilendi. 2022-2024 arası WhisperGate, RomCom ve Gamaredon gibi gruplar tarafından silme kampanyaları düzenlendi.
