Bir araştırma şirketi, İran’la müttefik olduğundan şüphelenilen bir tehdit grubunun kritik İsrail altyapısını hedef aldığını ve bunun iki ülke arasında artan siber savaşın bir işareti olduğunu söyledi.
Mandiant, UNC3890 tehdit grubunun geçen yıl İsrail’in denizcilik, havacılık, sağlık ve enerji sektörlerinin peşine düştüğünü ve askeri istihbarat operasyonları yürütme çabası olduğuna inandığı sosyal mühendislik saldırıları başlatmak için kötü amaçlı yazılımlar kullandığını tespit etti.
Grubun İran ile bağlantılı olduğunu “orta derecede bir güvenle değerlendirdiğini” ve “deniz taşımacılığına güçlü bir şekilde odaklanması ve İran ile İsrail arasında devam eden deniz çatışması göz önüne alındığında dikkate değer olduğunu” söylüyor.
Mandiant kanıt olarak, sözde UNC3890 bilgisayar korsanları tarafından bırakılan Farsça sözcükleri, örneğin bir atın yelesi için “yaal” ve tanrı anlamına gelen “khoda” kelimesini gösteriyor. Farsça veya Farsça, İran’ın batısında, ülkenin toplam nüfusunun yarısından fazlasının konuştuğu bir dildir.
Mandiant, “Bu aktörün istihbarat toplamaya odaklandığına inanıyoruz, ancak toplanan veriler, hack-ve-sızdırmadan, son yıllarda denizcilik endüstrisini rahatsız eden kinetik savaş saldırılarını mümkün kılmak için çeşitli faaliyetleri desteklemek için kullanılabilir” dedi. .
Kargo sitesi hacklendi
Bir siber saldırıya örnek olarak, UNC3890 tarafından güvenliği ihlal edilen bir İsrail nakliye şirketine ait bir web sitesinde kullanıcı verilerini “saldırgan tarafından kontrol edilen bir alana” göndermek için gerçek bir giriş sayfası bulduğunu söyledi.
Mandiant, UNC3890’ın faaliyetlerinin öncelikle İran’ın yıllardır bazılarının vekâlet savaşı olarak nitelendirdiği savaşta savaştığı İsrail’e odaklandığını ve İslamcı devletle bağlantılı diğer gruplar tarafından yürütülen siber kampanyalara benzediğini söylüyor.
“Etkinliğin bir İran-bağlantısı tarafından yürütüldüğünü öne süren birkaç bağlantı belirledik. [including] İranlı tehdit aktörleri, özellikle UNC757 tarafından yürütülen diğer faaliyet kümeleriyle tutarlı olarak, İsrailli varlık ve kuruluşların veya İsrail’de faaliyet gösteren kuruluşların odaklanmış hedeflenmesi” dedi.
İsrail ile iş yapan küresel firmalar da hedef alınabilir ve potansiyel olarak siber çatışmanın kapsamını diğer ülkeleri de kapsayacak şekilde genişletebilir.
Mandiant, “Gözlemlediğimiz hedefleme İsrail’e odaklanmış olsa da, UNC3890’ın özellikle denizcilik sektöründe hedeflediği bazı kuruluşlar küresel şirketlerdir” dedi. “Bu nedenle, UNC3890 faaliyetinin potansiyel etkisi […] İsrail’in ötesine geçebilir. Faaliyet, İran’ın bu hedeflere yönelik tarihsel ilgisiyle tutarlıdır.”
UNC3890 tarafından kullanılan taktikler, teknikler ve prosedürler, kötü niyetli saldırıların “meşru oturum açma etkinliği, meşru hizmetler ve sosyal ağ uygulamaları ve teknolojiyle ilgili görsel içerik” olarak gizlenmesini içerir.
İsrail için şekerli ama tatlı değil
UNC3890’ın gözlemlenen araç takımı, bir bilgisayar korsanı adına uzaktan kontrol komutları yürüten bir arka kapı kötü amaçlı yazılım programı olan Sugarush ve Chromium tarayıcılarından şifreleri toplamak için tasarlanmış bir kimlik bilgisi toplama aracı olan Sugardump’ı içerir.
İkinci programın yükseltilmiş bir sürümü, siber saldırganların Gmail, Yahoo ve Yandex e-posta adresleri aracılığıyla çalınan giriş verilerini sızdırmasına da olanak tanır. UNC3890 tarafından işletilen bu ve diğer kötü amaçlı yazılım programları, iş ilanları gibi sıradan reklamlardan tuhaf – “robot bebek reklamları”na kadar çeşitli sahte reklamları cazibe olarak kullanır.
Mandiant’ın tehdit istihbaratı başkan yardımcısı John Hultquist, raporun bulguları hakkında şunları söyledi: “Nakliye endüstrisi ve küresel tedarik zinciri, özellikle düşük seviyeli bir çatışma durumunun zaten mevcut olduğu yerlerde, aksamalara karşı özellikle savunmasızdır. Bu, küresel şirketlerin küresel tehditlerle karşı karşıya olduğunu hatırlatıyor.”
Cybernews’den daha fazlası:
Siber lejyonlar yükseldikçe kötü niyetli DDoS saldırıları %203 artıyor
Facebook’a ait ücretsiz uygulamalar verilere en aç, çalışma bulguları
HanesBrands, fidye yazılımı saldırısının ardından net satışlarda 100 milyon dolar kaybetti
Kapanan fidye yazılımı gruplarının çoğunun 2022’de yeniden ortaya çıkması bekleniyor
Çalışma, kadınların siber hastalığa daha yatkın olduğunu söylüyor
Abone olmak bültenimize