Hamas’ın İsrail sınırındaki Gazze saldırısının binlerce İsrailli ve on binlerce Filistinlinin ölümüyle sonuçlanan bir savaşı tetiklemesinden dört ay sonra Microsoft, tehdit aktörlerinin Hamas ile nasıl bağlantılı olduğu veya desteklediğine dair yeni istihbarat paylaştı. İran hükümeti İsrail’e yönelik siber saldırı operasyonlarını artırdı.
Hamas’ın müttefiki olan İran, vekilini desteklemek ve İsrail’i, müttefiklerini ve iş ortaklarını zayıflatmak amacıyla çoğu aceleci ve kaotik bir şekilde gerçekleştirilen bir dizi siber saldırı ve nüfuz operasyonları başlattı.
“İran devlet medyasının bazı iddialarının aksine, İran siber ve IO [influence operations] Microsoft Tehdit Analiz Merkezi (MTAC) genel müdürü Clint Watts, aktörlerin İsrail-Hamas savaşının ilk aşamasında tepkisel olduklarını yazdı.
“MTAC, İran devlet medyasının iddia edilen saldırılarla ilgili yanıltıcı ayrıntılar yayınladığını ve İranlı grupların tarihi operasyonlardan kalma eski materyalleri yeniden kullandığını ve iddia edilen siber saldırıların genel kapsamını ve etkisini abarttığını gözlemledi. Üç ay sonra, verilerin çoğunluğu İranlı siber aktörlerin tepkisel olduğunu, siber güçlerini hızla artırdığını ve Hamas’ın İsrail’e karşı saldırılarının ardından operasyonları etkilediğini gösteriyor.
“İsrail-Hamas savaşının 7 Ekim’de patlak vermesinden bu yana İran, İsrail’e karşı nüfuz operasyonlarını ve hackleme çabalarını artırdı ve ‘herkesin hazır olduğu’ bir tehdit ortamı yarattı” dedi.
“Savaşın ilk günlerinde bu saldırılar tepkisel ve fırsatçıydı, ancak Ekim ayı sonlarında neredeyse tüm nüfuzu ve büyük siber aktörleri İsrail’i hedef alıyordu. Siber saldırılar giderek hedefli ve yıkıcı hale geldi ve IO kampanyaları, sosyal medya ‘çorap kuklası’ hesap ağlarını kullanarak giderek daha karmaşık ve özgün olmayan bir hale geldi.”
Ancak Watts, İran’ın Hamas adına yaptığı çalışmanın, küresel etkiye sahipmiş gibi görünmenin yanı sıra, somut ve zarar verici bir etki yaratmakla ilgili olduğunu belirterek, İran’ın gelişmiş kalıcı tehdit (APT) gruplarının da benzer yöntemleri kullanabileceğini belirtti. yaklaşan ABD başkanlık seçimlerine karşı taktikler.
Gazze savaşında İran’ın siber taktikleri
MTAC’a göre İran’ın siber destekli nüfuz operasyonları 7 Ekim’den bu yana üç önemli aşamadan geçti. Raporunda bu aşamalar şöyle adlandırılıyor:
- Reaktif ve Yanıltıcı;
- Herkes iş başına;
- Genişletilmiş Coğrafi Kapsam.
İlk aşamada İran, Birleşik Krallık’ta 2012’den bu yana yasaklanan Press TV ağı gibi devlete bağlı yayıncıların erişimi gibi önceden var olan erişimden yararlandı, ancak sızıntılar için eski materyallere güvenme eğilimindeydi ve çorapları minimum düzeyde kullandı. kuklalar ve toplu SMS veya e-posta kampanyalarından alıkonuluyor.
Bu ilk aşamada öne çıkan bazı noktalar arasında, İran Devrim Muhafızları Birliği’ne (IGRC) bağlı bir haber ajansı olan Tasnim’in, Siber Yenilmezler adlı bir grubun (var olan) 7 Ekim saldırısı sırasında İsrail’in enerji altyapısına saldırdığı iddiası yer alıyor. Sunulan deliller, haftalardır süren elektrik kesintileri raporları ve sözde kurbanın web sitesinde yer alan tarihsiz bir kesintinin ekran görüntüsüydü.
Muhtemelen Tahran İstihbarat ve Güvenlik Bakanlığı (MOIS) tarafından yönetilen Malek Ekibi olarak bilinen başka bir operatör, 8 Ekim’de bir İsrail Üniversitesinden çalınan verileri sızdırdı, ancak bu verilerin o noktada Gazze’de olup bitenlerle gerçek bir ilgisi yoktu. Hedefleme fırsatçıydı ve önceden var olan erişime dayanıyordu.
Ekim ortasına gelindiğinde İran, MTAC’ın İsrail’i hedef alan grupların sayısının neredeyse iki katına çıktığı ve aynı hedeflere karşı Hamas yanlısı mesajlar içeren yıkıcı ve zaman zaman koordineli saldırılara yöneldiği ikinci aşamaya geçiyordu. .
Özel kötü amaçlı yazılım
18 Ekim’deki özellikle dikkate değer bir olayda, IRGC destekli Shahid Kaveh operatörünün İsrail’deki güvenlik kameralarına karşı özel kötü amaçlı yazılım kullanması görüldü. Daha sonra, Güney Negev Çölü’ndeki Beerşeba yakınlarındaki büyük bir tesis olan Nevatim Hava Kuvvetleri Üssü’ndeki güvenlik kameralarından ve verilerden fidye aldığını iddia etmek için Süleyman’ın Askerleri adlı bir kişiyi kullandı. Ancak sızdırılan görüntüler daha yakından incelendiğinde, bu görüntülerin hava üssünden değil, Tel Aviv’in kuzeyindeki Nevatim Caddesi’nden alındığı görüldü.
IO tarafında, toplu SMS ve e-posta kampanyalarında olduğu gibi çorap kuklalarının kullanımı da arttı – çoğu başka amaçlara yönelik olarak kullanıldı – ve İranlılar, İsrailli ve Filistinli aktivistlerin kimliğine bürünmeyi artırmaya başladı.
Faaliyetin üçüncü aşaması, İranlıların siber etkin nüfuzlarını İsrail’in ötesine taşıyarak İsrail’e dost ve/veya İran’a düşman olan ülkeleri hedef almaya başladıkları Kasım ayı sonlarında başladı. Bu, Yemen merkezli İran destekli Husilerin Kızıldeniz’deki gemilere yönelik saldırılarını artırmasıyla uyumluydu.
Burada özellikle dikkat çeken iki olay göze çarpıyor; bunlardan biri Noel Günü Arnavutluk’taki bazı kurumları hedef alıyor; bu ilk başta garip bir hedef seçimi gibi görünebilir ancak Arnavutluk’un aslında 2022’de bir siber saldırı nedeniyle İran’la diplomatik bağlarını kestiğini unutmayın.
Diğer saldırılar Bahreyn hükümetini ve finans kurumlarını hedef aldı; Bahreyn, İsrail ile bazı Arap devletleri arasındaki ilişkileri normalleştiren 2020 İbrahim Anlaşması’nın imzacılarından biriydi ve İsrail yapımı programlanabilir cihazları hedef alan Kasım ayı sonundaki olay da dahil olmak üzere ABD’deki kritik ulusal altyapıyı (CNI) hedef aldı. Aliquippa, Pensilvanya Belediye Su İdaresindeki mantık kontrolörleri (PLC’ler).
İran ne istiyor?
Watts, İran’ın İsrail’i ve destekçilerini baltalamaya, kafa karışıklığına neden olmaya ve güvene zarar vermeye yönelik devam eden kampanyasında dört temel hedefi olduğunu söyledi.
- Bu hedeflerden ilki, örneğin İsrail hükümetinin Hamas’ın elindeki rehineleri kurtarmaya yönelik yaklaşımı konusunda ortaya çıkan bölünmelere odaklanmak gibi iç siyasi ve sosyal çatlakları açmak ve şiddetlendirmek.
- İkincisi, İsrail’e misilleme yapmaktır; Siber Yenilmezler grubu, İsrail’in Gazze’deki bu tür tesislere yönelik saldırılarına yanıt olarak, eski İncil’deki ‘göze göz’ atasözüne atıfta bulunarak, özellikle İsrail CNI’yi hedef aldı.
- Üçüncüsü ise İsrail vatandaşlarını korkutmak ve İsrail Savunma Kuvvetleri’nde (IDF) görev yapan askerlerin ailelerini tehdit etmektir.
“Savaşın üç aşamasında şu ana kadar gösterilen ilerlemenin devam edeceğini değerlendiriyoruz. Genişleyen bir savaşın artan potansiyelinin ortasında, İsrail-Hamas çatışması uzadıkça İran’ın nüfuz operasyonlarının ve siber saldırılarının daha hedefli, daha işbirlikçi ve daha yıkıcı olmaya devam edeceğini bekliyoruz. İran, Kasım ayı sonlarında İsrail hastanesine ve ABD su sistemlerine düzenlenen saldırıda olduğu gibi kırmızı çizgileri test etmeye devam edecek” diye yazdı.
“Farklı İranlı tehdit aktörleri arasında gözlemlediğimiz artan işbirliği, artık yalnızca birkaç grubu takip etmekle teselli bulamayan seçim savunucuları için 2024’te daha büyük tehditler oluşturacak. Aksine, giderek artan sayıda erişim aracısı, etki grubu ve siber aktör, daha karmaşık ve iç içe geçmiş bir tehdit ortamı yaratıyor.”