Kritik altyapı güvenliği, siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
İran, İsrail, sektöre yönelik saldırılar için olgunlaşan jeopolitik çatışma
Marianne Kolbasuk McGee (Healthinfosec) •
24 Haziran 2025
ABD federal yetkilileri, İran siber riskinin artması ve sağlık ve halk sağlığı sektörü kuruluşlarına karşı fidye yazılımı, dağıtılmış hizmet reddi ve o ülkenin İsrail ve Amerika Birleşik Devletleri ile artan çatışmalarıyla ilgili diğer saldırılar dahil olmak üzere ilgili tehditler konusunda uyarıyor.
Ayrıca bakınız: 2024 Sahtekarlık Anlaşmaları Raporu
Artan jeopolitik gerilimler nedeniyle, sağlık hizmeti sağlayıcıları “sağlık kuruluşlarına karşı artan siber saldırılar olasılığına hazırlanmaya teşvik edilmektedir”, ABD Sağlık ve İnsan Hizmetleri Dairesi Salı günü yayınlanan bir danışma ve yanıt için uyarılmış stratejik hazırlık ve yanıt için.
HHS ASPR’nin Siber Güvenlik ve Altyapı Koruması Ofisi, sağlık hizmeti sağlayıcılarına ve diğer sektör kuruluşlarına güvenlik açığı yönetimi stratejilerini ve beklenmedik durum planlamalarını gözden geçirmeleri ve artan siber savunma duruşunu benimsemeleri tavsiye ediliyor.
HHS ASPR, “Sağlık ve halk sağlığı sektörü kuruluşlarına karşı özel bir hedefleme kanıtı olmasa da, sektörün tarihsel olarak çatışma dönemlerinde çok çeşitli siber tehdit aktörlerinden siber saldırıların kurbanı olduğunu biliyoruz.” Dedi.
Danışma, “Ulus-devlet tehdit aktörleri, sempatik hack grupları, fidye yazılımı grupları ve diğer siber tehdit aktörleri bilinen çatışmalardan yararlanmaya çalışıyorlar.” Dedi.
Yetkililer, “İran hükümetine bağlı siber tehdit aktörlerinin, özellikle parola püskürtme ve çok faktörlü kimlik doğrulama ‘bombalama’ gibi kabarık kuvvet yöntemlerini kullandıkları, ağlardan ödün vermek ve kimlik bilgileri elde ettikleri bilinmektedir.”
HHS ASPR, DDOS saldırıları, mızrak aktı, kamuya açık olan güvenlik açıklarından yararlanmak ve birden fazla açık kaynaklı araçtan yararlanmak da gözlemlenen yaygın taktiklerdir.
HHS ASPR, sağlık ve halk sağlığı sektörü altyapısının birbirine bağlı doğasının özellikle kuruluşları riske attığını söyledi.
“HPH altyapısının tüm sahipleri ve operatörleri, büyüklükten bağımsız olarak, güvenlik açığı yönetimi stratejilerini ve beklenmedik durum planlamalarını gözden geçirmelidir.”
HHS ASPR, kuruluşların erişim kısıtlamaları, saldırı algılama sistemlerinin uygulanması ve kritik varlıkların düzenli olarak yedeklenmesi gibi önemli önlemler almaları gerektiğini söyledi.
Daha önceki uyarılar
HHS ASPR uyarısı, son günlerde FBI, Siber Güvenlik ve Altyapı Ajansı ve Savunma Bakanlığı Siber Suç Merkezi dahil olmak üzere son günlerde yayınlanan uyarıları takip eder (bkz: bkz: Uyarılar İran siber saldırıları üzerinde).
Pazar günü İç Güvenlik Bakanlığı, ABD’nin üç İran nükleer tesisinde ABD hava saldırılarını takiben ulusal bir terör danışma sistemi bültenini yayınladı. 22 Eylül’e kadar geçerli olan NTAS bülteninin, hem hacktivistlerin hem de İran hükümetine bağlı aktörlerin rutin olarak “zayıf güvenli ABD ağlarını ve yıkıcı siber saldırılar için internet bağlantılı cihazları” hedefledikleri konusunda da uyarıyor.
HHS ASPR, daha önce yayınlanan iki ABD Devlet Ajansı uyarısının, biri kaba kuvvet saldırıları ve diğeri gelişmiş ısrarlı tehdit grubu Muddywater dahil olmak üzere, mevcut jeopolitik iklimle ilgili olduğunu söyledi (bakınız: bkz: bkz: bkz: Feds, İran’ın sağlık sektörüne yönelik tehditleri uyarıyor).
DHS’nin en son uyarısı, İran’ın liderliği ABD hedeflerine karşı dini kararnameler verirse siber riskin artabileceği konusunda da uyarıyor.
Sağlık Bilgi Paylaşımı ve Analiz Merkezi’nde tıbbi cihaz güvenliği başkan yardımcısı Phil Englert, “İran hacktivist grupları, İran’ın ABD ve İsrail eylemlerine asimetrik yanıtları araştırdığı için devlet kuruluşlarıyla daha yakın faaliyet gösteriyor olabilir.” Dedi.
Diyerek şöyle devam etti: “Bu, İran yanlısı grupların İran ulus-devlet aktörlerinden araç ve kaynak aldığı devlet destekli hacktivizmi de içeriyor. Tersine, İran devlet destekli gruplar, bizi ve İsrail kritik altyapısını hedeflerken ilişkilendirmeyi gizlemek için hacktivistler olarak poz verebilir.”
İran sempatik hacktivist grupları destekleyebilir veya devlet operasyonları için cepheler olarak sahte olanları yaratabilir. Bir örnek, 2023’ün sonlarında İsrail firması Unitronics tarafından yapılan bize su arıtma PLC’lerine saldıran İran ordusuyla bağlardan şüphelenilen Cyberav3ngers.
Bilinen bir İran tehdit oyuncusu olan APT35, atıfta bulunmak için taban aktivizmi olarak gizlenmiş operasyonlar yürüttüğünü söyledi.
ABD sağlık sektöründeki önceki İran bağlantılı olaylar, 2021’de Boston Çocuk Hastanesinde engellenmiş bir siber saldırı içeriyor (bkz:: FBI: Hastane önlendi ‘aşağılık’ İran siber saldırısı).
Son birkaç yılda, hacktivism diğer bölgesel çatışmalarda da daha merkezi bir rol oynamıştır. Rusya Ukrayna’yı işgal ettiğinde, sağlık-ISAC çok sayıda hacktivist grubun kritik altyapı organizasyonlarında saldırı başlattı.
Sağlık-ISAC başkanı Denise Anderson, “Sağlık sektörü modern kritik altyapının temel sütunlarından biri olduğu için, genellikle bir ulusa saldırmayı amaçlayan siyasi olarak motive olmuş hacktivist kampanyalarda hedefleniyor.” Dedi.
Mevcut İran tehditlerinin sadece doğrudan ABD’deki sağlık ve kamu sektörü kuruluşlarını değil, aynı zamanda tedarik zincirlerinin yanı sıra ABD dışındaki kritik sağlık kuruluşlarını da etkilemediğini söyledi.
Anderson, “Geçmişte böyle jeopolitik gerginlikler gördüğümüzde, tipik tehditler DDOS saldırıları ve web sitesi bozulmaları etrafında toplanıyor.” Dedi.
“Birçok yazılım güvenlik satıcısının İsrail’den faaliyet gösterdiği göz önüne alındığında, hizmetlerinde aksaklıklar da bir faktör olabilir.” Dedi.
Harekete geçmek
Anderson, bölgedeki operasyonları olan sağlık kuruluşlarının fiziksel güvenlik önlemleri alması gerektiğini ve sektörün ağlar, web sitesi trafiği ve siber operasyonlardaki herhangi bir anormallik için uyanık olması gerektiğini söyledi.
Sağlık-ISAC, tüm sağlık kuruluşlarını güçlü siber güvenlik çerçeveleri benimsemeye ve yüksek alarmda kalmaya şiddetle teşvik etmektedir.
Bazı adımlar, bir siber saldırı veya protestolar gibi diğer aksamalar durumunda, özellikle büyük şehirlerde potansiyel olarak büyük bir hasta akışına hazırlanmayı içerir.
Englert, “EMS personeline olası gösteriler hakkında bilgi verin ve ani yeniden yönlendirmeye hazırlanmalarını tavsiye edin.” Dedi. “Yüksek tehdit manzarasını bildiklerinden emin olmak için DDOS Azaltma Servis Sağlayıcınıza proaktif olarak iletişime geçin. Profillerinizin doğru yapılandırıldığını doğrulayın. Kamuoyu bakan web sitenize karşı başarılı bir DDOS saldırısı olması durumunda bir yedekleme sitesi tutun.”