Aktif saldırılarda ulaşım ve imalat sektörlerini hedefleyen İran Apt Hacker’ları

Nozomi Networks Labs Siber Güvenlik Araştırmacıları, İran ile mevcut gerilimleri takiben Mayıs ve Haziran 2025’te tanınmış İranlı İranlı İleri Kalıcı Tehdit (APT) gruplarıyla bağlantılı siber saldırılarda% 133’lük bir artış bildirdiler.

Bu artış, siber güvenlik ve Altyapı Güvenlik Ajansı’ndan (CISA) 30 Haziran gerçek sayfası ve daha sonraki Ulusal Terörizm Danışma Sistemi Bülteni, ABD kuruluşlarını ana hedef olarak vurgulayan Ulusal Terörizm Danışma Sistemi Bülteni de dahil olmak üzere ABD yetkililerinin uyarılarıyla uyumludur.

Müşteriler tarafından paylaşılan anonimleştirilmiş telemetri verilerinden yararlanan Nozomi’nin analizi, iki aylık dönemde bu aktörlerle bağlantılı 28 olayı, Mart ve Nisan aylarında sadece 12’ye kıyasla, saldırgan siber operasyonlarda kasıtlı bir yükselişin altını çiziyor.

Birincil odak noktası, özellikle saldırganların ağlara sızmak ve duyarlı verileri dışarı atmak için sofistike taktikler kullandıkları Amerika Birleşik Devletleri’ndeki ulaşım ve imalat organizasyonları olmak üzere endüstriyel ve kritik altyapı sektörleri gibi görünmektedir.

Kilit Tehdit Oyuncuları

En aktif gruplar arasında, tohum kurdu olarak da bilinen Muddywater, önde gelen fail olarak ortaya çıktı ve en az beş ABD merkezli şirketi kalıcı casusluk kampanyaları yoluyla taşıma ve üretimden ödün verdi.

2017’den beri faaliyet gösteren bu İran destekli varlık, geleneksel olarak Orta Doğu hükümetlerini, telekomünikasyonları ve enerji sektörlerini hedefliyor, ancak jeopolitik çekişme ortasında Batı varlıklarına doğru ilerliyor.

En az üç Amerikalı firmaya çarpan APT33 (Elfin), 2013’teki kuruluşundan bu yana havacılık, enerji ve petrokimyasal alanlardan tescilli bilgiler için siber casusluk araçlarından yararlanıyor.

2014’ten beri aktif olan Oilrig (APT34 veya Helix Kitten), iki ABD varlığına yönelik saldırılarda gözlendi, Orta Doğu ve ötesindeki finans, enerji ve telekom sektörlerinde istihbarat toplama için mızrak aktı ve özel kötü amaçlı yazılım kullandı.

Diğer önemli aktörler, politik olarak motive olmuş bozulmalarla kritik altyapıyı hedeflemek için ilk olarak Aralık 2024’te belirlenen OT odaklı OrpaCrab (Iocontrol) kötü amaçlı yazılımları içeren önceki operasyonlardan yeniden kullanılan Cyberav3Ngers’ı içerir.

2017’den bu yana devlet destekli bir APT olan Fox Kitten (Pioneer Kitten), potansiyel sabotaj için uzun vadeli ağ kalıcılığına odaklanırken, vatan adaleti Arnavut sistemlerine 2022 saldırı için rezil kazandı ve küresel varlıklar için risk oluşturmaya devam ediyor.

Nozomi’nin tehdit istihbarat platformu, bu grupların çeşitli ülkelerdeki faaliyetlerini izleyerek İran çıkarlarını ilerletmek için stratejik olarak hayati sektörleri hedefleme örüntüsünü ortaya koyuyor.

Araştırmacılar, Cyberav3Ngers’ın bir IP adresinin önceki saldırılardan geri dönüştürülmesini, OT, IoT ve BT ortamlarındaki kalıcı güvenlik açıklarını vurguladığını kaydetti.

Azaltma stratejileri

Dünya çapında endüstriyel kuruluşların uyanıklığı artırması, güvenlik duruşlarını yeniden değerlendirmeleri ve bu gruplardan uzlaşma göstergelerini (IOC) tespit etmek için tehdit istihbarat yayınlarını entegre etmesi önerilmektedir.

Nozomi Networks müşterileri, mevcut siber güvenlik araçlarıyla gerçek zamanlı güncellemeler ve sorunsuz entegrasyon sağlayan Mantiant Ti Genişletme Paketi de dahil olmak üzere tehdit istihbarat aboneliklerinde önceden var olan imzalardan yararlanır.

Ulus-devlet aktörlerini günlük olarak izleyerek ve telemetriyi eyleme geçirilebilir algılama mantığına dönüştürerek Nozomi, bu gelişen tehditlere karşı toplu savunmaları geliştirir.

Küresel çatışmalar giderek siber uzaya döküldükçe, proaktif istihbarat paylaşımı, kritik altyapıyı yıkıcı uygun operasyonlardan korumak için çok önemlidir.

Uzlaşma Göstergeleri (IOCS)

Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.