İran ve Hizbullah tarafından desteklenen bilgisayar korsanları, Ekim 2023’ten sonra İsrail-Hamas savaşına halkın desteğini kesmek için tasarlanmış siber saldırılar düzenledi.
Bu, önemli İsrail kuruluşlarına yönelik yıkıcı saldırıları, İsrail ve ABD’deki kuruluşları hedef alan hack-and-sızdırma operasyonlarını, istihbarat çalmak için tasarlanmış kimlik avı kampanyalarını ve kamuoyunu İsrail’in aleyhine çevirmeye yönelik bilgi operasyonlarını içermektedir.
Google, yeni bir raporunda, 7 Ekim saldırılarından önceki altı ay içinde İsrail’i hedef alan hükümet destekli kimlik avı faaliyetlerinin neredeyse yüzde 80’inin İran’dan kaynaklandığını belirtti.
Teknoloji devi, “Hack-and-sızdırma ve bilgi operasyonları, bu ve ilgili tehdit aktörlerinin savaş boyunca hem rakiplerine hem de etkilemeye çalıştıkları diğer kitlelere niyet ve yeteneklerini aktarma çabalarında önemli bir bileşen olmaya devam ediyor” dedi.
Ancak İsrail-Hamas çatışmasında dikkate değer olan şey, Rus-Ukrayna savaşında gözlemlenenin aksine, siber operasyonların kinetik ve savaş alanı eylemlerinden bağımsız olarak yürütülüyor gibi görünmesidir.
Şirket, bu tür siber yeteneklerin, doğrudan askeri çatışma olmadan bölgesel rakiplerle etkileşime geçmek için daha düşük bir maliyetle hızlı bir şekilde kullanılabileceğini de sözlerine ekledi.
GREATRIFT (UNC4453 veya Plaid Rain) olarak adlandırılan İran’a bağlı gruplardan birinin, kaçırılan İsraillilerle ilgili güncellemeler arayan ziyaretçileri hedef alan sahte “kayıp kişiler” sitesi aracılığıyla kötü amaçlı yazılım yaydığı söyleniyor. Tehdit aktörü ayrıca kan bağışı temalı yem belgelerini dağıtım vektörü olarak kullandı.
Karma ve Handala Hack adlı en az iki hacktivist kişi, İsrail’e karşı yıkıcı saldırılar düzenlemek ve sırasıyla Windows ve Linux sistemlerinden dosyaları silmek için BiBi-Windows Wiper, BiBi-Linux Wiper, ChiLLWIPE ve COOLWIPE gibi silici kötü amaçlı yazılım türlerinden yararlandı.
Charming Kitten (diğer adıyla APT42 veya CALANQUE) adlı başka bir İran ulus-devlet bilgisayar korsanlığı grubu, Ekim sonu ve Kasım 2023’te gözlemlenen bir kimlik avı kampanyasının parçası olarak POWERPUG olarak bilinen bir PowerShell arka kapısıyla medyayı ve sivil toplum kuruluşlarını (STK’lar) hedef aldı.
POWERPUG aynı zamanda düşmanın PowerLess, BellaCiao, POWERSTAR (diğer adıyla GorjolEcho), NokNok ve BASICSTAR’dan oluşan uzun arka kapı listesine eklenen en son üyedir.
Öte yandan Hamas bağlantılı gruplar, 7 Ekim saldırılarından haftalar önce SysJoker kötü amaçlı yazılımını indirmeleri için onları kandırmak amacıyla İsrailli yazılım mühendislerini kodlama atama tuzaklarıyla hedef aldı. Kampanya, BLACKATOM adlı bir tehdit aktörüne atfedildi.
“Saldırganlar […] Google, meşru şirketlerin çalışanları gibi davrandıklarını ve hedeflerini yazılım geliştirme serbest çalışma fırsatlarına başvurmaya davet etmek için LinkedIn aracılığıyla iletişime geçtiklerini söyledi. “Hedefler arasında İsrail ordusunun yanı sıra İsrail’in havacılık ve savunma sanayisindeki yazılım mühendisleri de vardı.”
Teknoloji devi, Hamas’ın siber aktörlerinin benimsediği taktikleri basit ama etkili olarak tanımladı ve hem Filistin’deki hem de BLACKSTEM (diğer adıyla Moleratlar) ile bağlantılı olan İsrail’deki kullanıcıları hedef almak için MAGNIFI gibi uzaktan erişim truva atları ve arka kapılar sunmak için sosyal mühendislik kullandıklarına dikkat çekti. .
Bu kampanyalara bir başka boyut daha ekleyen şey, hassas bilgileri toplayıp verileri saldırganların kontrolündeki altyapıya sızdırabilen Android telefonları hedef alan casus yazılımların kullanılmasıdır.
MOAAZDROID ve LOVELYDROID olarak adlandırılan kötü amaçlı yazılım türleri, aynı zamanda Kurak Engerek, Çöl Şahinleri, Renegade Çakal ve UNC718 olarak da takip edilen Hamas’a bağlı aktör DESERTVARNISH’in eseridir. Casus yazılımla ilgili ayrıntılar daha önce Ekim 2023’te Cisco Talos tarafından belgelenmişti.
İran’daki MYSTICDOME (diğer adıyla UNC1530) gibi devlet destekli grupların, MYTHDROID (diğer adıyla AhMyth) Android uzaktan erişim truva atının yanı sıra istihbarat toplamak için SOLODROID adı verilen özel bir casus yazılımla İsrail’deki mobil cihazları hedef aldığı da gözlemlendi.
O zamandan beri uygulamaları dijital pazardan kaldıran Google, “MYSTICDOME, kullanıcıları 302 ile Play Store’a yönlendiren ve onlardan casus yazılımı yüklemelerinin istendiği Firebase projelerini kullanarak SOLODROID dağıttı” dedi.
Google ayrıca, İsrail’de gelen roket saldırılarına karşı uyarıda bulunmak için kullanılan meşru Red Alert uygulamasının truva atı haline getirilmiş bir versiyonu olan ve kişileri, mesajlaşma verilerini ve konumu sızdıran REDRUSE adlı Android kötü amaçlı yazılımını da vurguladı. Polisin kimliğine bürünen SMS kimlik avı mesajları yoluyla yayıldı.
Devam eden savaş, Aralık 2023’te Gonjeshke Darande (Farsça’da Yırtıcı Serçe anlamına gelir) adlı bir aktör tarafından kritik altyapısının bozulmasıyla İran’ı da etkiledi. Bu şahsın İsrail Askeri İstihbarat Müdürlüğü ile bağlantılı olduğuna inanılıyor.
Bulgular, Microsoft’un İran hükümetine bağlı aktörlerin “Hamas davasına yardımcı olmayı ve İsrail’i, onun siyasi müttefiklerini ve iş ortaklarını zayıflatmayı amaçlayan bir dizi siber saldırı ve etkileme operasyonu (IO) başlattığını” ortaya çıkarmasıyla geldi.
Redmond, erken aşamadaki siber ve etkileme operasyonlarını tepkisel ve fırsatçı olarak tanımladı ve Google’ın, savaşın patlak vermesinin ardından saldırıların “giderek daha hedefli ve yıkıcı hale geldiği ve IO kampanyalarının giderek daha karmaşık ve özgün olmayan hale geldiği” yönündeki değerlendirmesini de doğruladı.
Microsoft, saldırı odağını İsrail’in ötesine taşıyarak İran’ın İsrail’e yardım ettiğini düşündüğü Arnavutluk, Bahreyn ve ABD gibi ülkeleri de kapsayacak şekilde artırmanın ve genişletmenin yanı sıra, Pembe Kum Fırtınası (aka Agrius) ve Hizbullah gibi İran’a bağlı gruplar arasında işbirliği gözlemlediğini söyledi. birimler.
Microsoft Tehdit Analiz Merkezi (MTAC) genel müdürü Clint Watts, “İşbirliği, giriş engelini azaltarak her grubun mevcut yeteneklere katkıda bulunmasına olanak tanır ve tek bir grubun tam kapsamlı araç veya teknik geliştirme ihtiyacını ortadan kaldırır” dedi. .
Geçen hafta NBC News, ABD’nin yakın zamanda Kızıldeniz ve Aden Körfezi’ndeki kargo gemileri hakkında istihbarat toplayan MV Behshad adlı İran askeri gemisine siber saldırı başlattığını bildirmişti.
Geçtiğimiz ay Recorded Future’da yapılan bir analiz, İran’daki hacking şahıslarının ve paravan grupların, “hedef ülkelerde istikrarsızlığı kışkırtmak” için istihbarat toplama ve bilgi operasyonları yürüten İran’daki çeşitli müteahhitlik firmaları aracılığıyla nasıl yönetildiğini ve işletildiğini ayrıntılı olarak açıkladı.
Microsoft, “İranlı gruplar savaşın ilk günlerinde operasyonları yürütmek veya basitçe uydurmak için acele ederken, İranlı gruplar son operasyonlarını yavaşlatarak istenen erişimi elde etmek veya daha ayrıntılı nüfuz operasyonları geliştirmek için onlara daha fazla zaman tanıdı” dedi.