İran’la bağlantısı olan tehdit aktörleri, Amazon’un siber etkin kinetik hedefleme olarak adlandırdığı bir trend olan fiziksel, gerçek dünya saldırılarını kolaylaştırma ve geliştirme çabalarının bir parçası olarak siber savaşa girişti.
Teknoloji devinin tehdit istihbarat ekibi The Hacker News ile paylaştığı bir raporda, bu gelişmenin, devlet destekli siber saldırılar ile kinetik savaş arasındaki çizginin giderek bulanıklaştığının ve yeni bir savaş kategorisine ihtiyaç duyulduğunun bir işareti olduğunu söyledi.
Geleneksel siber güvenlik çerçeveleri dijital ve fiziksel tehditleri ayrı alanlar olarak ele alırken Amazon Integrated Security’nin CISO’su CJ Moses, bu tanımlamaların yapay olduğunu ve ulus devlet tehdit aktörlerinin kinetik hedeflemeyi mümkün kılmak için siber keşif faaliyetleri yürüttüğünü söyledi.
Moses, “Bunlar yalnızca fiziksel hasara yol açan siber saldırılar değil; bunlar dijital operasyonların özellikle fiziksel askeri hedefleri desteklemek üzere tasarlandığı koordineli kampanyalardır” diye ekledi.
Örnek olarak Amazon, İran’ın İslam Devrim Muhafızları Birliği’ne (IRGC) bağlı olduğu değerlendirilen bir bilgisayar korsanlığı grubu olan Imperial Kitten’ın (diğer adıyla Tortoiseshell) Aralık 2021 ile Ocak 2024 arasında dijital keşif gerçekleştirdiğini ve kritik nakliye altyapısına erişim sağlamak amacıyla bir geminin Otomatik Tanımlama Sistemi (AIS) platformunu hedef aldığını gözlemlediğini söyledi.
Daha sonra, tehdit aktörünün ek deniz gemisi platformlarına saldırdığı, hatta bir vakada gerçek zamanlı görsel istihbarat sağlayan bir deniz gemisine takılı CCTV kameralarına bile erişim sağladığı belirlendi.
Saldırı, 27 Ocak 2024’te Imperial Kitten’ın belirli bir nakliye gemisi için AIS konum verileri için hedefli aramalar gerçekleştirmesiyle hedefli bir istihbarat toplama aşamasına ilerledi. Sadece birkaç gün sonra aynı gemi, İran destekli Husi militanları tarafından gerçekleştirilen başarısız bir füze saldırısıyla hedef alındı.
Husi güçlerinin, İsrail ile savaşında Filistinli militan grup Hamas’ı desteklemek amacıyla Kızıldeniz’deki ticari gemileri hedef alan bir dizi füze saldırısına atfedildiği belirtiliyor. 1 Şubat 2024’te Yemen’deki Husi hareketi, KOI adlı bir ABD ticaret gemisini “birkaç uygun deniz füzesi” ile vurduğunu iddia etti.
Moses, “Bu vaka, siber operasyonların, küresel ticaret ve askeri lojistiğin kritik bir bileşeni olan deniz altyapısına yönelik hedefli fiziksel saldırılar gerçekleştirmek için gereken hassas istihbaratı düşmanlara nasıl sağlayabileceğini gösteriyor” dedi.
Bir başka vaka çalışması, Mayıs 2025’te bir siber ağ operasyonu için altyapı oluşturan ve daha sonra bu sunucuyu, potansiyel hedeflerin gerçek zamanlı görsel istihbaratını toplamak için Kudüs’ten canlı CCTV akışlarını içeren başka bir ele geçirilmiş sunucuya erişmek için kullanan, İran İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlı bir tehdit aktörü olan MuddyWater ile ilgilidir.
23 Haziran 2025’te, İran’ın şehre karşı yaygın füze saldırıları başlattığı sıralarda, İsrail Ulusal Siber Müdürlüğü, “İranlıların ne olduğunu ve hassasiyetini artırmak için füzelerin nereye çarptığını anlamak için kameralara bağlanmaya çalıştığını” açıkladı.
Bu çok katmanlı saldırıları gerçekleştirmek için tehdit aktörlerinin, trafiklerini anonimleştirici VPN hizmetleri aracılığıyla yönlendirerek gerçek kökenlerini gizledikleri ve ilişkilendirme çabalarını karmaşık hale getirdikleri söyleniyor. Bulgular, casusluk odaklı saldırıların sonuçta kinetik hedefleme için bir fırlatma rampası olabileceğini vurgulamaya hizmet ediyor.
Amazon, “Ulus devlet aktörleri, dijital keşif ile fiziksel saldırıları birleştirmenin kuvvet çarpanı etkisini kabul ediyor” dedi. “Bu eğilim, siber ve kinetik operasyonlar arasındaki geleneksel sınırların ortadan kalktığı savaş alanında temel bir evrimi temsil ediyor.”