İsrail’in kritik altyapısı, Lübnan’da faaliyet gösteren İranlı bir vekil hack grubunun tehdidi altında.
İran’ın silahlı militan gruplarla ortaklık Orta Doğu’nun her yerinde iyi belgelenmiştir. Daha az bilineni ise, 2021’den bu yana yalnızca İsrail’e saldırmak amacıyla faaliyet gösteren “Polonium” (“Plaid Rain” olarak da bilinir) gibi uluslararası bilgisayar korsanlarıyla olan işbirliğidir.
Microsoft’a görePolonium, yalnızca 2022 baharında ulaşım, kritik üretim, BT, finans, tarım ve sağlık hizmetleri de dahil olmak üzere ticari, kritik ve kamu sektörlerinde 20’den fazla İsrail kuruluşunu gözetledi.
Şimdi grup bir adım atmış gibi görünüyor. 4 Aralık’ta İsrail Ulusal Siber Müdürlüğü uyardı Polonium’un su ve enerji de dahil olmak üzere diğer kritik altyapı sektörlerini hedeflediği belirtildi. Müdürlük, casusluğun yanı sıra “son zamanlarda yıkıcı saldırılar uygulama eğiliminin de tespit edildiğini” yazdı.
Dark Reading daha fazla ayrıntı için İsrail Savunma Bakanlığı’na ulaştı ancak henüz bir yanıt alamadı.
Polonyum’un MO’su
Yalnızca birkaç, nispeten sessiz APT grubunun bulunduğu bir ülkeden – Uçucu SedirBaştan Çıkarıcı Sedir ve Koyu Karakal – Polonyum’u küçümsemek cazip gelebilir.
Ancak Microsoft’un hedeflerine ilişkin bulgularının ötesinde, Ekim 2022’de ESET araştırmacıları, düzinelerce ek saldırı aynı grup tarafından aynı yıl içinde mühendislik, hukuk, iletişim, pazarlama, medya, sigorta ve sosyal hizmetler dahil olmak üzere çok daha fazla sektörde gerçekleştirildi.
Polonium, ilk erişim için çoğunlukla Fortinet cihazlarından yararlanıyor; sızdırılan Fortinet VPN kimlik bilgilerini kullanarak veya CVE-2018-13379Fortinet cihazlarında CVSS 9.8 “kritik” dereceli bir güvenlik açığı olan bu güvenlik açığı, grup daha ortaya çıkmadan önce yamalandı. Komuta kontrol (C2) için Microsoft OneDrive, Dropbox ve Mega gibi bulut servislerini tercih etti.
En önemlisi, operasyonlarının ilk yılında grup, hedeflerine karşı ters kabukları konuşlandırabilen, dosyaları dışarı sızdırabilen, ekran görüntüsü alabilen, tuş vuruşlarını günlüğe kaydedebilen, web kameralarının kontrolünü ele geçirebilen ve daha fazlasını yapabilen en az yedi özel arka kapı konuşlandırmıştı.
Bilgisayar korsanları, bu arka kapıları tek parça halinde paketlemek yerine, her biri sınırlı işlevselliğe sahip küçük dosyalar halinde parçalara ayırdı. Örneğin, bir dinamik bağlantı kitaplığı (DLL) dosyası ekran yakalamalardan sorumlu olacak ve ardından bir diğeri bunları bir C2 sunucusuna yüklemeyle ilgilenecekti. ESET kötü amaçlı yazılım araştırmacısı Matias Porolli, “Amaç, işlevleri çeşitli bileşenlere bölerek bireysel bileşenlerin güvenlik yazılımı açısından daha az şüpheli görünmesini sağlamaktır” diye açıklıyor.
Polonyum son aylarda araçlarını ve taktiklerini geliştirse de hâlâ bu formüle sadık kaldı.
Porolli, “2023’te çalıştırılabilir dosyalardan ve DLL dosyalarından uzaklaştılar ve kötü amaçlı yazılımları için komut dosyası dilleri kullanıyorlar. Python arka kapılarının yanı sıra LUA arka kapılarını da gözlemledik” diyor Porolli, ikincisinin oldukça nadir olduğunu belirtiyor.
“Kötü amaçlı yazılımlarının yapılandırmasını hâlâ ayrı bir dosyaya koyuyorlar. Bu, analistlerin saldırılarda kullanılan tüm dosyalara sahip olmadığı durumlarda, analistlerin yürütme akışını anlamasını zorlaştırıyor” diyor.
İran’ın Vekalet Siber Savaşı
Gazze’deki savaş ortamında İsrail, siber saldırılarda önemli bir artışla karşı karşıya kaldı.
Örneğin, savaşın başlamasından üç hafta sonra Siber Müdürlük, dijital hizmet ve depolama sağlayıcılarını tehlikeye atmaya yönelik 40’tan fazla girişim tespit etmişti. “Bu tür şirketlere yönelik girişimlerde artış oldu, hatta aynı anda birden fazla şirkete ciddi zarar veren olaylar yaşandı.” ajans bir uyarıda yazdı.
Daha büyük sorun, “hasar potansiyelinin, hastaneler, nakliye şirketleri, hükümet bakanlıkları ve daha fazlası dahil olmak üzere rutin ve acil durumlardaki rolleri daha da kritik olan bu şirketlerle bağlantılı hayati önem taşıyan kuruluşlara da ulaşabilmesi” olduğu açıklandı.
ReliaQuest tehdit araştırması direktörü Maria Cunningham, saldırganların her zaman ipleri elinde tutanlar olmamasının onlara karşı savunmayı daha da zorlaştırdığını söylüyor. “Burada akla gelen ilk ulus devlet genellikle Rusya’dır” diyor, ancak “Kuzey Kore’ye atfedilen tehdit aktörleri tarafından sıklıkla sergilenen ve doğası gereği ilk bakışta suç gibi görünebilecek ilginç bir işleyiş tarzı sergileniyor.”
“Bu, saldırgan için makul bir inkar edilebilirlik sağlayabilir; savunucu için ise atıfları sınırlayabilir ve daha da önemlisi, saldırganın cephaneliğinde bir sonraki adımın ne olabileceğinin anlaşılmasını engelleyebilir” diyor.