Temmuz ortasında bir Arnavutluk hükümetine yönelik siber saldırı, devlet web sitelerini ve kamu hizmetlerini saatlerce devre dışı bıraktı. Rusya’nın Ukrayna’daki savaşı şiddetlenirken, Kremlin en olası şüpheli gibi görünebilir. Ancak Perşembe günü tehdit istihbarat firması Mandiant tarafından yayınlanan araştırma, saldırıyı İran’a bağlıyor. Ve Tahran’ın casusluk operasyonları ve dijital müdahaleleri tüm dünyada kendini gösterirken, Mandiant araştırmacıları İran’dan bir NATO üyesine yönelik yıkıcı bir saldırının kayda değer bir tırmanış olduğunu söylüyor.
17 Temmuz’da Arnavutluk’u hedef alan dijital saldırılar, 23 ve 24 Temmuz’da Arnavutluk’un batısındaki Manez kasabasında toplanması planlanan bir konferans olan “Özgür İran Dünya Zirvesi”nden önce geldi. Zirve, İranlı muhalif grup Mücahidler ile bağlantılıydı. e-Khalq veya İran Halkın Mücahitleri Örgütü (genellikle MEK, PMOI veya MKO olarak kısaltılır). Konferans, bildirilmiş, belirtilmemiş “terörist” tehditler nedeniyle başlamasından bir gün önce ertelendi.
Yetkili araştırmacılar, saldırganların Roadsweep ailesinden fidye yazılımı dağıttığını ve ayrıca Chimneysweep adlı daha önce bilinmeyen bir arka kapıyı ve Zeroclear silecek yeni bir türünü kullanmış olabileceklerini söylüyor. Mandiant, benzer kötü amaçlı yazılımların geçmişte kullanımı, saldırıların zamanlaması, Roadsweep fidye yazılımı notundan diğer ipuçları ve Telegram’a yönelik saldırıların sorumluluğunu üstlenen aktörlerin faaliyetlerinin hepsinin İran’ı işaret ettiğini söylüyor.
Mandiant’ın istihbarattan sorumlu başkan yardımcısı John Hultquist, “Bu, kabul etmemiz gereken agresif bir tırmanıcı adım” diyor. “İran casusluğu dünyanın her yerinde her zaman oluyor. Buradaki fark, bunun casusluk olmamasıdır. Bunlar, NATO ittifakı içinde yaşayan sıradan Arnavutların hayatlarını etkileyen yıkıcı saldırılardır. Ve esasen hükümetin elini zorlamak için zorlayıcı bir saldırıydı.”
İran, Orta Doğu’da ve özellikle İsrail’de agresif hackleme kampanyaları yürüttü ve devlet destekli bilgisayar korsanları, üretim, tedarik ve kritik altyapı kuruluşlarına sızdı ve araştırdı. Kasım 2021’de ABD ve Avustralya hükümetleri, İranlı bilgisayar korsanlarının diğerlerinin yanı sıra ulaşım, sağlık ve halk sağlığı kuruluşlarıyla ilgili bir dizi ağa erişmek için aktif olarak çalıştıkları konusunda uyardı. İç Güvenlik Bakanlığı’nın Siber Güvenlik ve Altyapı Güvenliği Ajansı o sırada, “İran hükümetinin desteklediği bu APT aktörleri, veri hırsızlığı veya şifreleme, fidye yazılımı ve gasp gibi takip eden işlemler için bu erişimden yararlanabilir” dedi.
Tahran, küresel sahnede büyük ölçüde veri hırsızlığı ve keşifle ilgili olarak, saldırılarının ne kadar ileri gittiğini sınırladı. Ancak ülke, nüfuz operasyonlarına, dezenformasyon kampanyalarına ve ABD’yi hedef almak da dahil olmak üzere yabancı seçimlere karışma çabalarına katıldı.
Hultquist, “İran’ın bu faaliyetlerin hiç durmadığı Ortadoğu’da saldırgan olduğunu görmeye alıştık, ancak Orta Doğu’nun dışında çok daha kısıtlandılar” diyor. “Yeteneklerini bölge dışında kullanmaya daha istekli olabileceklerinden endişeliyim. Ve açıkçası NATO devletlerini hedef almaktan çekinmiyorlar, bu da bana, bizimle onlar arasında olduğuna inandığımız caydırıcılıkların hiç var olmayabileceğini düşündürüyor.”
İran’ın artık nükleer savaş başlığı üretme kabiliyetine sahip olduğunu iddia etmesi ve ülke temsilcilerinin Viyana’da ABD’li yetkililerle iki ülke arasındaki 2015 nükleer anlaşmasının yeniden canlandırılması hakkında bir araya gelmesiyle, İran’ın olası niyetleri ve risk toleransı hakkında herhangi bir sinyal geldiğinde. NATO ile anlaşmak önemli.