Tanınmış bir İranlı tehdit grubu olan Cobalt Illusion, İran’da Mahsa Amini’nin ölümünü çevreleyen protestoları yem olarak kullanan bir mızraklı kimlik avı kampanyasıyla bağlantılı.
Amini, hükümetin düzenlemelerine uygun olarak başörtüsü takmadığı için İran polisi tarafından dövülerek öldürüldüğü iddia edilen 22 yaşındaki İranlı bir kadındı. Ölümü, özellikle Amini’nin tutuklanmasına neden olan aynı kurallara alenen meydan okumak için onları kullanan kadınlar tarafından bir dizi protesto başlattı.
Secureworks’ten araştırmacılar, sahte bir Twitter hesabı kullanarak bu tür kadın protestocuları, siyasi aktivistleri ve insan hakları araştırmacılarını hedef alan kampanyayı tespit etti. Sara Shokouhi adını kullanan ve Twitter’da @SaShokouhi hesabı olan biri, iddiaya göre ABD’li düşünce kuruluşu Atlantic Council adına kurbanlara ulaşıyor. Gerçekte Sara, Cobalt Illusion gelişmiş kalıcı tehdidin (APT), diğer adıyla Charming Kitten, APT42, Phosphorous, TA453 ve Yellow Garuda’nın bir yaratımıdır.
Secureworks CTU’nun baş araştırmacısı ve İran tematik lideri Rafe Pilling bir basın açıklamasında, “Tehdit aktörleri sahte bir kişi yaratıyor ve kimlik bilgilerini ele geçirmeye veya hedefin cihazına kötü amaçlı yazılım yerleştirmeye çalışmadan önce hedeflerle yakınlık kurmak için kullanıyor” dedi. “İkna edici bir kişiliğe sahip olmak bu taktiğin önemli bir parçasıdır.”
Araştırmacılar, bugün yayınlanan bir blog yazısında, Twitter’da 24 Şubat’ta bildirilen bir dizi faaliyetin, olası kötü amaçlı siber faaliyetlere yönelik soruşturmaya yol açtığını, Orta Doğu siyasi meselelerine aktif olarak katılan bazı kadınların ve bu kişinin insan haklarıyla ilgili temas kurduğunu bildirdiğini ortaya çıkardı. Ekim ayından bu yana faaliyette olan @SaShokouhi Twitter hesabının, “protestocuların çıkarlarına ve taleplerine sempati duyuyormuş gibi görünmek ve ortak çıkarlar illüzyonu yaratmak” için İran’daki Mahsa Amini protestosunu destekleyen tweetler attığını veya bu tür gönderilerde yer aldığını keşfettiler. Secureworks Karşı Tehdit Birimi (CTU) araştırma ekibi gönderide yazdı.
Ortak Zemin Bulma
Araştırmacılar, Cobalt Illusion’ın protestoları hedeflerle ortak bir zemin bulmanın bir yolu olarak kullandığı görülüyor. Araştırmacılar, @SaShokouhi tarafından yapılan bazı gönderilerde “ölü çocukların görüntüleri, protestocuların maruz kaldığı fiziksel taciz, İran karşıtı hükümet yorumları ve İran karşıtı sembolizm gibi rahatsız edici içeriğin alaycı kullanımı” olduğunu yazdı.
Pilling, araştırmacıların sonunda, saldırganların Sara Shokouhi kişiliğini Rusya’da yerleşik bir psikolog ve tarot kartı okuyucusuna ait bir Instagram hesabından çalınan görüntüleri kullanarak yarattığını keşfettiklerini söyledi. APT ayrıca fotoğrafları kullanarak sahte bir Instagram hesabı kurdu, @sarashokouhii.
Kampanyada kullanılan taktikler, İran Devrim Muhafızları Birliği (IRC) ile bağlantılı olan ve yaklaşık 2014’ten beri aktif olan Cobalt Illusion APT’ye özgüdür.
Pilling, “Kimlik avı ve toplu veri toplama, Cobalt Illusion’ın temel taktikleridir,” dedi. “Son yıllarda bunun çeşitli şekillerde olduğunu gördük.”
Gerçekten de grup, İran’a odaklanan akademisyenleri, gazetecileri, insan hakları savunucularını, siyasi aktivistleri, hükümetler arası kuruluşları (IGO’lar) ve sivil toplum kuruluşlarını (STK’lar) hedef almak için sosyal medya platformlarını kullanmasıyla tanınıyor. Araştırmacılar, çalışma tarzlarının bu platformlar aracılığıyla güvenilir ilişkiler kurmak ve ardından siber casusluk amacıyla erişmek istedikleri sistemlerin kimlik bilgilerini çalmak için kimlik avı kampanyaları kullanmak olduğunu söyledi.
Pilling, Cobalt Illusion’ın bu faaliyet yoluyla çalınan bilgileri, İran askeri ve güvenlik operasyonlarını ilgili kişilerin faaliyetleri hakkında bilgilendirmek de dahil olmak üzere çeşitli şekillerde kullandığını söyledi. .
Bir Düşünce Kuruluşunu Taklit Etmek
Secureworks tarafından gözlemlenen son kampanyada, SaShokouhi kişiliği, Atlantic Council’de kıdemli bir üye olan Holly Dagres ile çalıştığını iddia ederek kurbanlara kur yaptı. Bir tweet’te – araştırmacıların gönderilerine dahil ettiği bir ekran görüntüsü – Dagres, kişiliğin meşru olmadığını belirterek Shokouhi ile çalıştığını reddetti.
Araştırmacılar, Atlantic Council ile olan bağlantının aynı zamanda Cobalt Illusion’ın da dahil olduğu bir eşantiyon olduğunu söyledi. Bunun nedeni, Eylül ayında Farsça Bilgisayar Acil Durum Müdahale Ekibi (CERTFA) tarafından onaylanan önceki faaliyette, APT’nin bir Atlantik Konseyi çalışanı gibi davrandığını söylediler. CERTFA, İran’ın dijital güvenlik alanındaki siber güvenlik uzmanlarından oluşmaktadır.
CTU araştırmacıları, “Bu kampanyada grup, görüntülü aramalarda hedeflerle etkileşime geçmeye çalıştı ve sohbet işlevi aracılığıyla konuşmanın uygun bir noktasında kimlik avı bağlantıları sağladı” diye yazdı.
CERTFA Lab bir dizi yayınladı kimlik avı göstergeleri geçmiş Cobalt Illusion etkinliğiyle uyumlu olan kampanyayla ilgili. Araştırmacılar, hedef alınabilecek kuruluşların, bir tarayıcıda açmadan önce kötü amaçlı içerik içerme olasılığına karşı dikkatli olarak, kampanyayla ilişkili IP adreslerini incelemek ve bunlara erişimi kısıtlamak için mevcut kontrolleri kullanmalarını önerdi.
Her zaman olduğu gibi, kimlik avı söz konusu olduğunda, kuruluşlar, kötü amaçlı iletileri çalışanlara ulaşmadan önce silmek için sektörde kanıtlanmış ve güvenilir e-posta tarama teknolojisini kullanmalı ve ayrıca çalışanları, etkileşimde bulunmaktan ve dolayısıyla riske girmekten kaçınmak için kimlik avı etkinliğinin ayırt edici özelliklerini nasıl tespit edecekleri konusunda eğitmelidir. araştırmacılar, hassas veriler ve sistemler dedi.