Bu ay bir araştırma ekibi, Irak’ın Bağımsız Yüksek Seçim Komisyonu’na (IHEC) yönelik açık bir saldırı sırasında çalınan seçmen verilerinin satışını ortaya çıkardı; ancak bu olay, Orta Doğu ve ötesindeki seçimleri hedef alan artan kötü niyetli faaliyetlerin bir modeliydi.
Resecurity, Iraklı seçmen kartlarını ve kişisel bilgileri içeren 21,58 GB’lık bir veritabanının yanı sıra IHEC’in “Operasyon ve Veri Yönetimi Departmanı” için tasarlanmış özelleştirilmiş bir yazılım istemcisini ortaya çıkardı.
Araştırmacılar, 2015’te %10’dan 2022’de %26’ya yükselen seçim siber tehditlerinin dünya çapında demokratik süreçlerin bütünlüğünü tehlikeye attığını söylüyor. Seçimlere yönelik tehditler arasında seçmen verilerinin sızdırılması, nüfuz kampanyalarını yönlendiren olaylar ve seçim sistemlerinin kullanılamaz olduğunu varsayan saldırılar yer alıyor.
Resecurity ekibi, sızıntının 2019 civarında meydana geldiğini doğrulamak için “bu dijital kayıt depolarına aşina kaynaklarla” çalıştıklarını söyledi. Resecurity ayrıca 2022’den kalma benzer bir Dark Web gönderisini de ortaya çıkardı, ancak bu verilerin bozuk olduğu tespit edildi.
En son yasadışı dilim ise tam tersine gerçek anlaşmadır.
Resecurity CEO’su Gene Yoo, “Edinilen veriler geçerlidir ve Irak’taki kolluk kuvvetleri ortaklarımızla doğrulanan geçerli bilgileri içermektedir” dedi.
Anahtar alanların Arapça çevirisi, veri tabanının diğer bilgilerin yanı sıra seçmenler (isimler, doğum tarihleri), oy verme yerleri ve oy toplamak için kayıt merkezleri hakkında ayrıntılar içeren oylama bilgilerini içerdiğini doğruladı.
“Bağımsız Yüksek Seçim Komisyonu IHEC’den veri sızıntısı [of Iraq] Yoo, yalnızca bir veritabanını değil aynı zamanda muhtemelen bir BT yüklenicisi tarafından geliştirilen ilgili yazılımı da içeriyor” diye açıklıyor.
“Yazılımda tanımlanan bağlantı ayarlarına göre, [the leaked software] Paket, veritabanlarını yöneten BT yöneticilerinin iş istasyonlarına yerel olarak kuruldu” diyor.
Tedarik Zinciri Uzlaşması
Resecurity, ihlalin büyük olasılıkla, tehdit aktörlerinin hacklediği üçüncü taraf tedarikçilerin teknolojisini içeren bir BT tedarik zinciri ihlalinin sonucu olduğuna inanıyor. Alternatif olarak sızıntının IHEC altyapısına erişimi olan bir içeriden gelmiş olabileceği de belirtiliyor. Seçim altyapı sistemleri genellikle internetten izole olduğundan uzaktan saldırı olasılığı daha düşüktür.
Sırada Iraklılar sandık başına gidecek parlamento seçimleri Ekim 2025’te planlanıyor.
Kötü niyetli kişiler, sızdırılan seçmen verilerini belirli seçmen kesimlerine yönelik hedefli propaganda ve kampanyalar oluşturmak için kullanabilir. Her ikisi de bir saldırı sonucu değiştirilebilen, ele geçirilen ödeme kartı verileri veya şifrelerinden farklı olarak, sızdırılan seçmen verileri, ilk sızıntıdan yıllar sonra bile kullanılabilir durumda kalıyor.
Resecurity’nin raporuna göre, “Ulus devlet aktörlerinin yönetimi altında faaliyet gösteren siber casusluk grupları, seçmen kişisel bilgilerini hedef alıyor ve bunu seçim müdahalesi için uzun vadeli bir silah olarak kullanmayı planlıyor.” “Bu veriler, hem seçim öncesi hem de seçim sonrası aşamalarda hedef kitlelerle ilgili önemli demografik bilgileri ve bağlamı ortaya koyuyor.”
Seçmen Veri Hırsızlığının Arkasında Kim Var?
Saldırının potansiyel şüphelileri arasında Irak’ın istikrarsızlaştırılmasıyla ilgilenen ulus devlet aktörleri veya protesto faaliyetlerine katılan yerel bir aktör yer alıyor. Resecurity’e göre İran ve muhalif Kürt milliyetçileri en muhtemel iki şüpheli ve bazı kanıtlar ikincisini işaret ediyor.
Resecurity, “Bu kampanyaya katılan birçok tehdit aktörünün Kürdistan bölgesinden geldiğine ve Kürtçenin bir lehçesi olan Sorani konuştuğuna inanılıyor” dedi. “Araştırmacılarımız bazı tehdit aktörlerinin IP adreslerinin izini Kuzey Irak’taki bir şehir olan Kerkük’e kadar sürdü.”
Geçtiğimiz hafta bir raporda ayrıntılı olarak açıklandığı gibi, ABD, Irak, Endonezya, İsrail, Türkiye ve Afrika ülkeleri de dahil olmak üzere birçok ülkede seçmen bilgileri sızdırıldı ve seçimlere müdahale edildi. Güvenlik blog yazısı bulguları üzerine.
Siber tehditler, seçim altyapısına yönelik saldırılardan kamuoyunu ve politika yapıcıların kararlarını şekillendirmeyi amaçlayan kampanyaları etkilemeye kadar çeşitlilik göstermektedir.
Örneğin, R00Tk1T SİBER EKİBİ olarak bilinen bir grup, Ocak 2024’te Lübnan’daki geçmiş Parlamento Seçimlerinden 90.000 seçmenin yer aldığı bir JSON dökümü yayınlanmadan önce yakın zamanda Katar ve Malezya’yı hedef aldı.
Resecurity’e göre, “Bu veriler daha önce Dark Web’de yayınlanmadı ve muhtemelen 2026 için planlanan yaklaşan seçimlerde toplumsal belirsizliği tetiklemek amacıyla yayınlandı.”
Resecurity’in Hunter biriminden analistler daha önce Eleaks siber suç forumunda 6,4 milyon İsrailli seçmen kaydının veri sızıntısını tespit etmişti.
İlk olarak 2021 civarında işaretlenen veri sızıntısı, en son İsrail-Gazze çatışmasının başlangıcı da dahil olmak üzere birçok kez yeniden kullanıldı ve kötü aktörler, bunu İsrailli askeri personelin ailesi de dahil olmak üzere belirli kişileri hedef almak için silah haline getirdi. Resecurity, bu sızıntının izini, siyasi kampanyaları yönetmek için kullanılan bir İsrail yazılım uygulaması olan Elector’daki bir ihlale dayandırdı.
Dikkatli Kalın
Resecurity araştırmacıları, tehdit aktörlerinin aktif olarak seçmen verilerini elde etmeye ve kullanmaya çalıştığından, ulusların hem savunmalarını güçlendirmeleri hem de tetikte kalmaları gerektiğini tavsiye ediyor.
“Kuruluşların ve bireylerin Dark Web veri ayak izlerini izlemeleri hayati önem taşıyor” dediler. “Sistem yönetiminde yer alan yükleniciler ve ilgili sağlayıcılar da dahil olmak üzere seçimlerde BT tedarik zincirinin güvence altına alınması da önemlidir.”