FBI, CISA ve DC3’ün ortak siber güvenlik danışma raporu (CSA), İranlı bilgisayar korsanlarının ABD’li kuruluşları hedef almak ve siber suçlulara ağ erişimi satmak için fidye yazılımı çeteleriyle ortaklık kurduğu konusunda uyarıyor.
ABD Federal yetkililerine göre, İran destekli devlet destekli tehdit aktörleri, eğitim, sağlık ve savunma gibi kritik sektörlerdeki kuruluşlar da dahil olmak üzere ABD ve küresel kuruluşlara siber saldırılar düzenlemek için fidye yazılımı çeteleriyle iş birliği yapıyor.
İranlı bilgisayar korsanlarının yeni siber saldırı dalgası, Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve Savunma Bakanlığı Siber Suç Merkezi’nden (DC3) oluşan ortak bir Siber Güvenlik Danışma Kurulu’nun (CSA) başlatılmasına neden oldu.
Danışmaya göre, bu İran grupları İran hükümeti için tipik siber casusluk yapmıyor. Ayrıca, kuruluşlar içinde aktif olarak ağ erişimi geliştiriyorlar ve ardından yıkıcı saldırılar düzenlemek için NoEscape, Ransomhouse ve ALPHV (diğer adıyla BlackCat) gibi fidye yazılımı çeteleriyle iş birliği yapıyorlar.
Bu “hizmet olarak erişim” (AaaS) modeli, fidye yazılımı gruplarının başlangıçtaki güvenlik engellerini aşmasını sağlayarak hedeflenen sistemlerin tehlikeye atılmasına yol açıyor.
FBI, söz konusu İranlı aktörleri İran hükümetiyle ilişkilendirerek, bu aktörlerin faaliyetlerinin fidye yazılımı iş birliğinin ötesine geçerek Birleşik Arap Emirlikleri, İsrail ve Azerbaycan gibi ülkelerdeki kuruluşlardan hassas teknik verilerin çalınmasını da kapsadığını belirtti.
CSA ayrıca, İran merkezli bu aktörlerin erişimlerini ağlara sızmak ve ardından bu erişimi fidye yazılımı iştirakçilerine satmak için kullandıklarını vurguluyor. Bu yeni taktik, siber casusluk yapmalarına, hassas bilgileri çalmalarına ve ardından fidye yazılımı saldırıları yoluyla felç edici mali kayıplara yol açmalarına olanak sağlıyor.
Daha önce hiç görülmemiş bu strateji, devlet destekli bilgisayar korsanlığı ile geleneksel siber suç arasındaki çizgiyi bulanıklaştırabilir ve yetkililerin failleri tespit etmesini zorlaştırabilir.
Closed Door Security CEO’su William Wright, “Bu, devlet destekli aktörlerin hasarı en üst düzeye çıkarmak için siber suç çeteleriyle bağlantı kurduğu çok ilginç bir senaryo” diyor. “Bu ulus-devlet aktörleri kritik ağlara erişim sağladığında, temel amaçları siber casusluk ve hassas bilgilere erişim sağlamak olacak, ancak daha sonra erişimini fidye yazılımı gruplarına satarak bir adım öteye gidiyorlar, hedefe felaket boyutunda hasar veriyorlar ve ayrıca saldırı yolunu bulanıklaştırıyorlar, böylece suçluyu tespit etmek çok daha zor oluyor.”
Ortak bildiride ayrıca, söz konusu İranlı grupların kullandığı taktikler, teknikler ve prosedürler (TTP’ler) hakkında ayrıntılı bilgiler ve kuruluşların olası tehditleri tespit edip bunlara yanıt vermesine yardımcı olacak tehlike göstergeleri (IoC) yer alıyor.
Kurumlar, özellikle hedef sektörlerdeki tüm kuruluşları, tavsiyeleri dikkatlice incelemeye ve siber güvenlik önlemlerini sürdürmek için derhal adım atmaya çağırıyor.
İLGİLİ KONULAR
- İranlı Hackerlar LinkedIn Kimlik Avı Saldırısında İsrailli Gibi Davrandı
- FIN7 Siber Suç Çetesi Fidye Yazılımı ve Hackleme Araçlarıyla Gelişiyor
- İran’ın Yaralı Manticore’u LIONTAIL Kötü Amaçlı Yazılımıyla Orta Doğu’yu Hedef Alıyor
- İran’ın Şeftali Kum Fırtınası Savunma Sektöründe Sahte Yazı Tipi Arka Kapı Kullandı
- İranlı Stalkerware ‘Spyhide’ 60.000 Android Cihazdan Veri Çaldı