İranlı siber aktörlerden oluşan karanlık bir grup, fidye yazılımı çetelerine erişim aracısı olarak hareket ediyor ve ABD ile müttefiklerini hedef almak için bağlı kuruluşlarla işbirliği yapıyor; sağlık hizmetlerinden yerel yönetimlere kadar birçok sektördeki güvenlik açıklarından yararlanıyor.
FBI, CISA ve Savunma Bakanlığı Siber Suç Merkezi (DC3), bugün, devlet destekli olduğuna inanılan bu aktörlerin, erişim aracılığı ve fidye yazılımı saldırılarına aktif olarak odaklandıkları konusunda uyardı.
‘Pioneer Kitten’ Kritik Sektörleri Hedefliyor
“Pioneer Kitten”, “Fox Kitten” ve “Lemon Sandstorm” gibi çeşitli takma adlar altında izlenen bu İran devlet destekli siber operatörler, 2017’nin başlarında başlamış ve faaliyetlerini Ağustos 2024’e kadar yoğunlaştırmışlardır. Bu tehdit aktörleri, kritik ABD altyapısına erişimlerini kullanarak fidye yazılımı gruplarıyla iş birliği yaparak bir tehdit ağı oluşturmuşlardır.
Grubun odak noktası, eğitim, finans, sağlık ve savunma gibi birçok kritik ABD endüstrisinin yanı sıra hükümet kuruluşlarını da kapsıyor. Bu siber aktörler yalnızca ağları ihlal etmekle kalmıyor, aynı zamanda NoEscape ve BlackCat (ALPHV olarak da bilinir) gibi fidye yazılımı iştiraklerine erişim de satıyor ve bu grupların fidye yazılımı saldırılarını daha etkili bir şekilde gerçekleştirmesini sağlıyor. İranlı aktörler ve fidye yazılımı grupları arasındaki ortaklık, yalnızca erişim satışlarının ötesine geçiyor; ağları kilitlemek ve fidye ödemelerini en üst düzeye çıkarmak için aktif olarak strateji geliştiriyorlar.
Devlet Destekli Serbest Çalışanlar mı?
FBI, bu aktörlerin İran Hükümeti (GOI) ile ilişkili olduğunu değerlendirirken, faaliyetlerinin iki cephede işlediği görülüyor. Bir yandan, hassas teknik verileri çalmak için özellikle İsrail, Azerbaycan ve BAE’yi hedef alan devlet destekli operasyonlar yürütüyorlar. Diğer yandan, İran hükümeti tarafından onaylanmamış gibi görünen fidye yazılımı etkinleştirme faaliyetlerinde bulunuyorlar ve bu da bağımsızlıklarının gerçek boyutu hakkında sorular ortaya çıkarıyor.
Microsoft ayrıca bugün İranlı bir tehdit aktörü olan “Peach Sandstorm” hakkında da bir rapor yayınladı. Bu tehdit aktörü, ABD ve BAE’deki uydu, iletişim, enerji ve hükümet sektörlerini hedef alıyor. Casusluk faaliyetleri ise devlet tehdit aktörlerinden daha çok bekleniyor.
Taktikler Arasında Fidye Yazılımı Ortakları İçin Erişim Aracıları
Bu İranlı aktörler ile fidye yazılımı grupları arasındaki iş birliği, devlet destekli aktörlerin çalışma biçiminde önemli bir gelişmedir. Ortaklarına tam alan denetimi ve alan yönetici kimlik bilgileri sunarak fidye yazılımı gruplarının saldırılarını gerçekleştirmesini kolaylaştırırlar. Bağlı kuruluşlar da karşılığında, İranlı aktörlerin kripto para biriminde aldıkları fidyenin bir kısmını onlara öderler; bu yöntem, faaliyetlerinin izlenmesini daha da zorlaştırır.
Tarihsel olarak, bu aktörler ağlara erişim elde etmeye ve bu erişimi yeraltı pazar yerlerinde satmaya odaklandılar. Şimdi, daha aktif bir yaklaşım benimsiyorlar. Bu iş birliği yalnızca erişim satmakla ilgili değil; bu aktörler artık fidye yazılımı saldırılarını kendileri yürütme, ağları kilitleme ve kurbanlarla pazarlık yapma konusunda derinlemesine yer alıyorlar.
Güvenlik Açıklarından Yararlanma
Bu İranlı aktörlerin yaygın olarak kullanılan ağ aygıtlarındaki bir dizi güvenlik açığını istismar ettiği bilinmektedir. Örneğin, Citrix Netscaler’ı (CVE-2019-19781 ve CVE-2023-3519), F5 BIG-IP’yi (CVE-2022-1388), Pulse Secure/Ivanti VPN’leri (CVE-2024-21887) ve en sonuncusu Palo Alto Networks’ün PAN-OS’unu (CVE-2024-3400) hedef aldılar. Palo Alto, Nisan ayında bu RCE hatasını aktif olarak istismar edildiğini açıklamıştı. Tehdit aktörü, ilk erişimi elde etmek için bu güvenlik açıklarını kullanır ve istismar edilebilir aygıtları belirlemek için genellikle IP adreslerini Shodan gibi araçlarla tarar.
İçeri girdiklerinde, kalıcılığı sürdürmek için web kabuklarını kullanırlar, arka kapılar dağıtırlar ve kötü amaçlı zamanlanmış görevler oluştururlar. Ayrıca, kurbanın ağındaki ayrıcalıkları artırmak için tehlikeye atılmış kimlik bilgilerini yeniden kullanırlar ve bu da operasyonlarının tespit edilmesini ve durdurulmasını zorlaştırır. Hatta güvenlik yazılımlarını devre dışı bırakıp uzaktan erişim için AnyDesk gibi meşru araçlar kullandıkları ve savunucuların kötü amaçlı faaliyetleri tespit etmesini zorlaştırdıkları bile gözlemlenmiştir.
Hack-and-Leak Kampanyaları
Bu İranlı aktörler ayrıca, 2020 sonlarında İsrail’i hedef alan Pay2Key kampanyası gibi hack-and-leak operasyonlarına da dahil oldular. Verileri çalıp bunları karanlık web’de sızdırarak İsrail’in siber altyapısını zayıflattılar. Tipik fidye yazılımı kampanyalarının aksine, bu operasyonlar finansal kazançtan çok politik ve sosyal bozulmaya yol açmayı hedefliyor.
İran Tehditlerinin Azaltılması ve Önerileri
Bu tehditlere karşı koymak için FBI ve CISA, kuruluşların bilinen kötü amaçlı IP adresleriyle ilişkili herhangi bir trafiğe ilişkin günlüklerini incelemelerini, CVE-2024-3400 gibi güvenlik açıklarına yamalar uygulamalarını ve bu aktörlerle bağlantılı benzersiz tanımlayıcıları kontrol etmelerini önermektedir. MITRE ATT&CK çerçevesine eşlenen davranışlara karşı güvenlik kontrollerinin düzenli olarak doğrulanması da önerilir.
İran siber aktörleri ile fidye yazılımı grupları arasındaki artan karmaşıklık ve iş birliği, özellikle ulusal güvenlik açısından kritik olan tüm sektörlerde daha fazla dikkat gerektiriyor. Bu aktörler evrimleşmeye devam ettikçe, siber suç ile devlet destekli casusluk arasındaki çizgi daha da belirsizleşiyor. Bu saldırıların sonuçları finansal kaybın ötesine geçtiğinden, dikkatli olmak bir zorunluluktur; ulusal güvenliğin kalbine saldırır.