Siber Savaş / Ulus Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suç
Bilgisayar Devi, Kimlik Avı E-postalarının ‘Küçük Ama İstikrarlı Ritiminin’ Arkasında APT42 Olduğunu Söylüyor
David Perera (@daveperera) •
14 Ağustos 2024
Google, Çarşamba günü yaptığı açıklamada, İranlı ulus devlet bilgisayar korsanlarının, kampanya ve seçim yetkililerinin e-posta kutularına girerek ABD başkanlık seçimlerine sızma kampanyasını sürdürdüğünü duyurdu.
Ayrıca bakınız: Web Semineri | 2024 Kimlik Avı İçgörüleri: 11,9 Milyon Kullanıcı Davranışının Riskiniz Hakkında Gösterdikleri
Grup, “üst düzey bir siyasi danışmanın” kişisel Gmail hesabına erişmeyi başardı. Ana akım medya kuruluşlarının bildirdiğine göre, İranlı bilgisayar korsanları uzun süredir Cumhuriyetçi Parti üyesi ve Trump’ın operasyon sorumlusu olan Roger Stone’un kişisel e-posta hesabını ele geçirdi.
Kampanya sona ermedi, dedi Google. Şirket “APT 42’nin Başkan Biden, Başkan Yardımcısı Harris ve eski Başkan Trump ile bağlantılı kişilerin, mevcut ve eski hükümet yetkilileri ve kampanyalarla ilişkili kişiler dahil, kişisel hesaplarını tehlikeye atma yönündeki başarısız girişimlerini gözlemlemeye devam ediyor.” FBI araştırıyor.
Google’a ait tehdit istihbarat şirketi Mandiant, APT42’nin İslam Devrim Muhafızları İstihbarat Örgütü adına faaliyet gösterdiğini söyledi. Microsoft, Mint Sandstorm ve daha önce İranlı ajanların başkanlık kampanyasına “eski bir kıdemli danışmanın” e-posta hesabını hackleyerek kampanya içindeki “üst düzey bir yetkiliye mızraklı kimlik avı e-postası” gönderdiği konusunda uyardığı sırada örtüşen bilgisayar korsanlığı faaliyetlerini izliyor. Trump kampanyası Cumartesi günü bilgisayar korsanlarının Trump’ın başkan yardımcısı adayı, Ohio’dan bir senatör olan JD Vance’e ait 271 sayfalık bir inceleme raporu da dahil olmak üzere birden fazla belgeyi çaldığını doğruladı (bkz: Trump Sızıntısı Muhtemelen Gelecek Daha Fazla Müdahalenin Habercisi).
The Associated Press’e yaptığı açıklamada, Birleşmiş Milletler’deki İran misyonu başkanlık kampanyalarını hedef aldığını reddetti. “İran hükümeti, Amerika Birleşik Devletleri başkanlık seçimlerine müdahale etme niyetine veya amacına sahip değil veya bunu barındırmıyor.”
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, bu yılın başlarında, yabancı seçimlere müdahale çabalarının “ABD’nin küresel duruşunu zayıflatma, ABD içinde anlaşmazlık yaratma ve ABD seçmenlerini ve karar alma süreçlerini etkileme yönündeki daha geniş çabaların” bir parçası olarak yoğunlaştığını uyardı. Federal savcılar, 2021’de 2020 başkanlık seçimleri sırasında Amerikan seçmenlerini sindirmek ve etkilemek için siber destekli bir kampanya yürüttükleri gerekçesiyle iki İran vatandaşını suçladı.
İranlı bilgisayar korsanlarının, İsrail’e yönelik geniş çaplı Amerikan desteği de dahil olmak üzere, ABD altyapısını hedef alma geçmişi var. İsrail, 10 aydır İran destekli militanlarla savaş halinde ve bu savaş Gazze Şeridi’ni harap etti (bkz: İnternete Açık Su PLC’leri İran İçin Kolay Hedef). Hiçbir ülkenin siber savaşın etkilerinden güvende olmadığının bir işareti olarak, Londra merkezli Farsça haber kuruluşu Iran International Perşembe günü sosyal medyada İran Merkez Bankası’nın siber saldırıya uğradığını söyledi. Suudi bağlantılı kuruluş, saldırının ülkenin bankacılık sisteminde yaygın kesintilere yol açtığını söyledi.
İran’ın Kimlik Avı Hedefleri Cumhurbaşkanlığı Kampanyalarının Ötesine Geçiyor
APT42’nin kimlik avı kampanyalarının yakın geçmişi başkanlık kampanyalarıyla sınırlı değil. Google, Nisan ayında İsrailli kullanıcıları hedef alma eylemlerini yoğunlaştırdığını, askeri ve savunma sektörüyle bağlantıları olan kişileri, diplomatları, akademisyenleri ve sivil toplum kuruluşlarını aradığını söyledi.
Washington, DC merkezli İsrail yanlısı bir düşünce kuruluşu olan Washington Yakın Doğu Politikası Enstitüsü’nü İsrailli diplomatları ve gazetecileri hedef almak için defalarca taklit etti. Ayrıca, kimlik avı e-postalarına itibar kazandırmak için, meşru bir siteden sadece birkaç karakter uzakta olan web alan adları olan typosquatted alan adlarını da kullanıyor, örneğin brookings.email Brookings Enstitüsü’nü taklit etmek için.
APT42, sosyal mühendislik kurulumlarıyla uğraşır, bazen yalnızca çevrimiçi bir toplantı planlamak için yeterli güveni kazandıktan sonra kötü amaçlı bağlantılar sunar. Toplantıya giden bir bağlantı, kullanıcıyı bir açılış sayfasına yönlendirebilir, sözde Google Meet’e veya başka bir platforma giriş yapması için. Diğer cazibeler OneDrive, Drobox ve Skype’ı içeriyordu.
İranlı hackerlar ayrıca hangi ikinci faktör kimlik doğrulama hedeflerinin kullanabileceğini bulmaya dikkat ettiler. Hesap kurtarma süreci aracılığıyla bir hesabın kontrolünü ele geçirmeye çalıştıklarında, istek genellikle “doğru kimlik bilgilerine ve kullanıcı kimlik doğrulaması için doğru ikinci faktöre sahip doğru coğrafi konumdan” gelir.
Hacking grubunun en azından Ocak 2023’ten beri faaliyette olan GCollection, LCollection veya YCollection adlı “karmaşık” bir kimlik bilgisi toplama aracı var. En son sürüm çok faktörlü kimlik doğrulama kodu, cihaz PIN’leri ve tek seferlik kurtarma kodları iletiyor. Grubun ayrıca GCollection’dan daha az özelliğe sahip DWP adlı tarayıcıda tarayıcı kimlik avı kiti de var.