Yeni bir Microsoft Tehdit İstihbaratı raporuna göre İran rejimi, İran tehdit aktörlerinin siber saldırı çabalarını yeni bir oyun kitabıyla tamamlıyor: Siber özellikli etki operasyonları (IO).
Bu, İran’ın saldırgan siber operasyonları çok yönlü etki operasyonlarıyla birleştirerek jeopolitik hedeflerine ulaşmasını sağladı.
Microsoft Tehdit İstihbaratı raporu, “Birden fazla İran devlet grubu, ağ erişimi veya siber saldırı yeteneklerindeki eksiklikleri artırmak, abartmak veya telafi etmek için Haziran 2022’den bu yana siber özellikli IO’ya daha düzenli bir şekilde yöneldi” dedi.
“Daha temelde, rejimin hedefleriyle uyumlu jeopolitik değişimi körüklemek için saldırgan siber operasyonları çok yönlü etki operasyonlarıyla birleştirdiler.”
Bu operasyonlar, Filistin direnişini güçlendirmeyi, Bahreyn’de huzursuzluğu körüklemeyi, Arap-İsrail bağlarının devam eden normalleşmesine karşı koymayı ve İsrail vatandaşları arasında panik ve korku tohumları ekmeyi içeriyor.
İran tehdit aktörleri: Eski yöntemler, yeni kazanımlar
İran tehdit aktörlerinin operasyonlarının çoğu, düşük karmaşıklıktaki bir siber saldırıyı tanıtmak ve abartmak için bir siber kişilik kullandıkları öngörülebilir bir oyun kitabına sahiptir.
Bunu hemen, hedef kitlenin dilini kullanarak saldırıların etkisini büyüten ve çoğu zaman daha fazla abartan görünüşte ilişkisiz gerçek olmayan çevrimiçi kişiler izler.
Raporda, İran’ın teknikleri değişmiş olsa da hedeflerinin değişmediği belirtildi.
Ayrıca repertuarlarına iki yeni büyütme stratejisi eklediler: hedef kitlelere ulaşmak için SMS mesajları kullanmak ve güvenilirliği artırmak için mağdur örgütleri veya bu kuruluşlarla ilişkili önemli kişileri taklit etmek.
Bu operasyonlar İsrail’e, İran’ın önde gelen muhalefet figürleri ve gruplarına ve Tahran’ın Körfez devleti hasımlarına odaklı olmaya devam ediyor.
Ekim 2022 ile Mart 2023 arasında, İran’ın siber operasyonlarının yaklaşık dörtte biri (%23) İsrail’e yönelikti ve bu çabaların yükünü ABD, Birleşik Arap Emirlikleri ve Suudi Arabistan da çekiyor.
İranlı siber aktörler ayrıca, rejim muhalefetinin önde gelen isimlerini utandırmayı veya “yozlaşmış” ilişkilerini ifşa etmeyi amaçlayan bilgileri sızdırarak ülke çapındaki protestoların ivmesini azaltmak için siber özellikli IO’yu benimsedi.
Bazı İranlı tehdit grupları siber etkin IO’ya yönelmiş olsa da, İran’ın fidye yazılımı kullanımında veya son iki yılda üretken olan silme saldırılarında buna karşılık gelen bir düşüş oldu.
Bununla birlikte, bazı İranlı grupların endüstriyel kontrol sistemlerine karşı siber saldırı yetenekleri araması muhtemel olduğundan, İran’ın özellikle İsrail ve ABD’ye yönelik giderek daha yıkıcı siber saldırılarının gelecekteki tehdidi devam etmektedir.
Raporda, İran tehdit aktörleri tarafından düzenlenen saldırılarda belirli modellerin geliştiği belirtildi.
İran tehdit aktörleri ve yeni saldırı modelleri
Microsoft Tehdit İstihbaratı raporu, “Gelişmişlik açısından Rus ve Çinli muadillerinin gerisinde kalırken, İran ulus devlet aktörleri cephaneliklerine bazı yeni araçlar ve teknikler eklediler” dedi.
“Gelişmişlikteki bu devam eden ilerleme, belirli ilgi alanlarına erişim elde etme ve tespit edilmekten kaçınırken kararlılığı sürdürme becerilerini geliştirecek; bu, muhtemelen 2022’den beri siber etkin nüfuz operasyonlarının bazılarında karşılaştıkları bir zorluk.”
Ortaya çıkan bir trend, İran devlet aktörlerinin örgütleri tehlikeye atmak için yeni bildirilen istismarları operasyonel hale getirme hızlarını artırdıkları N-day güvenlik açıklarının hızla benimsenmesidir.
Örneğin, kavram kanıtı kodunun halka açık olarak yayınlandığı gün, Mint Sandstorm olarak bilinen İranlı bir grup, Zoho ManageEngine’deki bir uzaktan kod yürütme güvenlik açığından yararlanmaya başladı.
Ayrıca, kamuya bildirildikten yalnızca beş gün sonra yeni açıklanan bir güvenlik açığı için bir istismar kullandılar.
Diğer bir eğilim de kurban web sitelerinin komuta ve kontrol için kullanılmasıdır (C2). Storm-0133 olarak bilinen İranlı bir aktör, zaten güvenliği ihlal edilmiş bir İsrail web sitesi ile diğer birçok ülke içi kurban ağı arasında iletişim kurmak için özel kötü amaçlı yazılım kullandı.
Coğrafi konum verileri genellikle anormal ağ etkinliğini belirlemek için kullanıldığından, bu teknik savunucuların çabalarını zorlaştırır.
Microsoft Tehdit İstihbaratı raporuna göre, İran devlet aktörleri de sürekli olarak ilgili hedeflere karşı özel araçlar kullanıyor.
Kamuya açık araçlardan ve basit komut dizilerinden ısmarlama implantların geliştirilmesine ve kullanılmasına doğru olan bu kayma, operatörlerin en azından bir alt kümesinin giderek daha karmaşık ticaret yapma yeteneğine sahip olduğunu göstermektedir.
Örneğin, Storm-0133’ün kampanyası, yerel hükümet kurumlarını ve savunma, konaklama ve sağlık sektörlerine hizmet veren şirketleri etkileyerek özel olarak İsrail kuruluşlarını hedef aldı.