Mandiant, özellikle İsrail’deki yabancı istihbarat servislerinin muhtemel ajanlarına odaklanan, İran’ın sıra dışı karşı istihbarat faaliyetlerinden birini keşfetti.
Operasyon, İran devlet destekli bilgisayar korsanları tarafından 2017 ile Mart 2024 arasında yürütüldü ve İsrail devletiyle ilgili iş tekliflerini ve içerikleri izleyen 35’ten fazla Farsça sahte işe alım sitesini kapsadı.
Bu sayfalar, olası HUMINT adaylarını belirlemek için kişisel, mesleki ve eğitim bilgilerini hedef aldı ve sistematik bir şekilde topladı.
Teknik Analiz
Bu operasyonda, İran Devrim Muhafızları Ordusu (IRGC) ile bağlantılı, muhaliflere, aktivistlere ve gurbetçilere yönelik sosyal medyayı hedef alan APT42 adlı İranlı grubun izleri yer alıyor.
Özellikle, kampanya ile birlikte hedefler genişletildi ve failler Suriye ve Lübnan ile bağlantılı Arapça konuşan istihbarat topluluklarına karşı harekete geçti. Mandiant’ın değerlendirmesi, ABD seçimlerine müdahale ile ilgili herhangi bir girişim tespit etmedi.
Şirket, ilgili hesapları kapatarak ve web sitesi kullanıcılarına koruyucu önlemler sağlayarak operasyonu baltalamaya çalıştı.
Bu kampanya, İran hükümetinin istihbarat servislerini koruma çabalarını sürdürdüğünü ve muhtemelen bu tehditleri hükümet baskısına nasıl dahil ettiğini gösteriyor.
Yapısı itibariyle karmaşık olan bu siber casusluk kampanyasında, sahte İsrailli eleman alım siteleri Farsça konuşan kişilere odaklanıyor ve onları sosyal mühendislik stratejileri kullanarak eleman alımına yönlendiriyor.
Bağlantılar X (diğer adıyla Twitter) ve bazı viral siteler ile topwor4u gibi kötü amaçlı sitelere yayılıyor[.]com ve beparas[.]com.
Bu siteler WordPress üzerinde barındırılıyor ve İsrail, siber güvenlik ve istihbaratla ilgili içerik ve kariyer fırsatlarıyla “Optima HR” veya “Kandovan HR” gibi İK ajanslarını taklit ediyor.
Sitelerin yapılarının aynı olduğu, bazılarının “IL” (İsrail) yazan telgraf bağlantıları içerdiği, örneğin hxxps://t[.]ben/PhantomIL13 ve hxxps://t[.]ben/getDmIL.
Beparas’ın araştırılması[.]com ayrıca, sha256 formlu e-posta kayıtlarına sahip bir avatar resmine bağlı olan “miladix” adlı WordPress giriş adresini tespit etti ve kaldırdı.
Kampanyada, İsrail site ve grafiklerinin yer aldığı sitelerin hem masaüstü hem de mobil versiyonları kullanılıyor.
Bu web sitelerinde kişilerin adları, doğum tarihleri, e-postaları, fiziksel adresleri, eğitim geçmişleri ve iş geçmişleri gibi kişisel ve işle ilgili bilgilerinin istendiği formlar bulunmaktadır.
Saldırı döngüsünde bir bağlantının dağıtılması, sahte içerik sağlanması ve bilgi toplanması yer alıyor.
Miladix aracılığıyla İranlı bir yazılım geliştiricisine bağlantı üçgenlendi[.]com’da ise böyle bir bağlantı doğrulanamadı.
Bu faaliyetin, siber güvenlik becerilerine sahip İran uyruklu kişilerin casusluk veya eleman toplama amacıyla hareketlerinin izlenmesine yönelik olduğu anlaşılıyor.
“Direniş Ekseni” operasyonu, Suriye ve Hizbullah’ı hedef alan gelişmiş siber casusluk taktiklerini içeriyordu.
Soruşturmada, ana dili Farsça ve Arapça olan, güvenlik ve istihbarat geçmişine sahip kişileri işe alan “Optima HR”, “VIP Human Solutions” gibi sahte işe alım siteleri ortaya çıkarıldı.
Sitelerde birincil görüntüler için sahte içeriklerin İsrail’e bağlılığıyla ilişkili komuta ve kontrol yapıları ve şablonlar, ayrıca (+972) numaralı telefon numaraları, telgraf grup sohbetleri (hxxps://t) vardı[.](ben/joinchat/AAAAAFgDeSXaWr2r_AQImw).
Mandiant’ın araştırması vipjobsglobal gibi alan adlarına bağlantılar ortaya çıkardı[.]com ve çeşitli Telegram hesapları. İsrail Mossad’ıyla bağlantılı olduğundan şüphelenilen kampanya en az 2018’den 2023’e kadar faaliyet gösterdi.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!