Arnavut örgütlerini hedef alan son siber saldırı dalgası, adı verilen bir silicinin kullanımını içeriyordu. Adalet yok.
Bulgular, Windows tabanlı kötü amaçlı yazılımın “işletim sistemini yeniden başlatılamayacak şekilde çökerttiğini” söyleyen siber güvenlik şirketi ClearSky’dan geldi.
İzinsiz girişlerin, Temmuz 2022’den bu yana faaliyet gösteren ve özellikle Arnavutluk’a yönelik yıkıcı saldırılar düzenleyen, Vatan Adaleti adlı İranlı bir “psikolojik operasyon grubuna” atfedildiği belirtiliyor.
24 Aralık 2023’te düşman, bir aradan sonra yeniden ortaya çıktı ve “terörist destekçilerini yok etmek için geri döndüğünü” belirterek, son kampanyasını #DestroyDurresAskeri Kamp olarak tanımladı. Arnavutluk’un Durrës şehri şu anda muhalif grup İran Halkın Mücahitleri Örgütü’ne (MEK) ev sahipliği yapıyor.
Saldırının hedefleri arasında ONE Arnavutluk, Eagle Mobile Arnavutluk, Air Arnavutluk ve Arnavutluk parlamentosu vardı.
Kampanya sırasında dağıtılan başlıca araçlardan ikisi, yürütülebilir bir silici ve Windows Uzaktan Yönetim’i (WinRM) etkinleştirdikten sonra ilkini hedef ağdaki diğer makinelere yaymak için tasarlanmış bir PowerShell betiğini içeriyor.
Adaletsiz Silecek (NACL.exe), bilgisayardaki verileri silmek için yönetici ayrıcalıkları gerektiren 220,34 KB’lik bir ikili dosyadır.
Bu, işletim sisteminin diskte nerede bulunduğunu tanımlayan ve böylece bilgisayarın RAM’ına yüklenebilmesini sağlayan herhangi bir sabit diskin ilk sektörünü ifade eden Ana Önyükleme Kaydı’ndan (MBR) önyükleme imzasının kaldırılmasıyla gerçekleştirilir.
Saldırı sırasında ayrıca keşif, yanal hareket ve kalıcı uzaktan erişimi kolaylaştırmak için Plink (diğer adıyla PuTTY Link), RevSocks ve Windows 2000 kaynak seti gibi meşru araçlar da sunuluyor.
Bu gelişme, Cyber Av3ngers, Cyber Toufan, Haghjoyan ve YareGomnam Team gibi İran yanlısı tehdit aktörlerinin, Orta Doğu’da devam eden jeopolitik gerilimlerin ortasında gözlerini giderek daha fazla İsrail ve ABD’ye dikmesiyle ortaya çıktı.
Check Point geçen ay yaptığı açıklamada, “Cyber Av3ngers ve Cyber Toufan gibi gruplar, siber saldırılarında misilleme söylemini benimsiyor gibi görünüyor” dedi.
“Bu hacktivist vekiller, İsrail teknolojisini kullanarak ABD varlıklarını fırsatçı bir şekilde hedef alarak, ikili bir misilleme stratejisi elde etmeye çalışıyor; planlanmış tek bir siber saldırıyla hem İsrail’i hem de ABD’yi hedef aldıklarını iddia ediyorlar.”
Özellikle Cyber Toufan, 100’den fazla kuruluşu hedef alan, virüslü ana bilgisayarları temizleyen ve çalınan verileri Telegram kanallarında yayınlayan bir dizi hack ve sızıntı operasyonuyla ilişkilendirildi.
Güvenlik araştırmacısı Kevin Beaumont, “O kadar çok hasara neden oldular ki, kuruluşların çoğu, hatta neredeyse üçte biri iyileşemedi” dedi. “Bunlardan bazıları bir aydan uzun bir süre sonra hala tamamen çevrimdışı durumda ve silinen kurbanlar, özel şirketler ve İsrail devlet kurumlarının bir karışımı.”
Geçtiğimiz ay İsrail Ulusal Siber Müdürlüğü (INCD), İsrail-Hamas savaşının Ekim 2023’te başlamasından bu yana İsrail siber uzayında kötü niyetli olarak faaliyet gösteren İran, Hamas ve Hizbullah ile bağlantılı yaklaşık 15 hacker grubunu takip ettiğini söyledi.
Ajans ayrıca, kullanılan teknik ve taktiklerin, bilgileri yok etmek için psikolojik savaştan ve kötü amaçlı yazılımlardan yararlanılarak Ukrayna-Rusya savaşında kullanılan teknik ve taktiklerle benzerlikler taşıdığını belirtti.