Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Gürültülü ‘Şeftali Kum Fırtınası’ Şifre Püskürtme Kampanyasını Gizlilik Takip Ediyor
Sayın Mihir (MihirBagwe) •
15 Eylül 2023
Microsoft, uydu ve savunma sektörlerini ve daha az ölçüde ilaç sektörlerini hedef alan bir şifre kırma kampanyasına ilişkin uyarısında İran devleti tehdit aktörlerinin karmaşıklığının arttığı konusunda uyardı.
Ayrıca bakınız: Çin’in Yarı İletken Baskısı: Artı İşaretinde Avrupa
Bilgisayar devinin bildirdiğine göre, Microsoft’un “Şeftali Kum Fırtınası” olarak takip ettiği İran hükümeti hacker grubu, Şubat ve Temmuz ayları arasında binlerce hedefe şifre püskürtme saldırıları gerçekleştirdi. Microsoft daha önce grubu Holmium olarak izlemişti ve grup aynı zamanda APT33 ve Refined Kitten olarak da biliniyordu.
Parola püskürtme karmaşık bir teknik değildir. Saldırganların tek bir hesabın şifresini tahmin etmeye çalıştığı kaba kuvvet saldırılarının bir çeşididir. Püskürtme, hesabın kilitlenmesini önlemek amacıyla aynı şifre tahminini birden fazla hesaba girmeyi ve en az bir kullanıcının daha önce kullanılmış veya tahmin edilmesi kolay bir şifreye sahip olduğuna dair iddiaya girmeyi içerir.
İranlı devlet korsanları, ilk saldırı vektörleri olarak ağırlıklı olarak kimlik avı, kimlik bilgileri doldurma ve diğer sosyal mühendislik tekniklerine güvenmeleriyle ünlüdür. Her ne kadar Rusya ve Çin gibi saldırgan siber korsanlık faaliyetleri yürüten diğer devletlerle aynı grupta yer alsalar da uzmanlar, İranlı bilgisayar korsanlarını muadillerine göre daha az etkili olarak değerlendiriyor. Ancak Tahran’da Batı altyapısına saldırma konusunda yeni keşfedilen isteklilik, devletin bilgisayar korsanlığı yeteneklerini arttırıyor olabilir.
Microsoft’un bu yılın başlarında bildirdiğine göre, Microsoft’un Mint Sandstorm olarak takip ettiği (APT42 ve Kobalt İllüzyonu olarak da bilinen) ulus-devlet tehdit aktörü bu yıl, n günlük güvenlik açıklarından haftalar, günler, hatta saatler boyunca yararlanma zamanını tersine çevirdi (bkz.: Microsoft, İran Devlet Hackerlarının Saldırganlığının Arttığını Söyledi). Ve sadece birkaç gün önce, ABD Siber Komutanlığı, İranlı bilgisayar korsanlarının güvenlik duvarları ve kurumsal uygulamalardaki kusurlardan yararlandığı konusunda uyardı (bkz: Federaller, Zoho ve Fortinet Ürünlerine Derhal Yama Uygulanmasını İstiyor).
Microsoft, parola püskürtme işlemlerinin “tanımı gereği gürültülü” olduğunu yazdı. Ancak İranlı bilgisayar korsanlarının kararlılık ve yatay hareket sağladıktan sonra yaptıkları, Microsoft’un grubun büyüyen bilgisayar korsanlığı zekası hakkındaki uyarısını hak etti: “Peach Sandstorm’un 2023 uzlaşma sonrası faaliyetlerinin bir alt kümesi gizli ve karmaşıktı.” İranlı bilgisayar korsanları, Mart 2023’teki bir izinsiz girişte, herhangi bir kullanıcı olarak federasyon hizmetlerine erişmek için hedefin tüm Microsoft 365 ortamının güvendiği bir kimlik doğrulama belirteci üretmek için güvenlik onayı işaretleme dilini kullanan altın bir SAML saldırısı gerçekleştirdi.
İranlı bilgisayar korsanları, bir dizi saldırıda, kötü amaçlı trafiği tünellemek için kullanılan EagleRelay adlı özel bir aracı barındıracak sanal makineler oluşturdu. Başka bir alt grupta, saldırganlar ticari bir uzaktan izleme ve yönetim aracı olan AnyDesk’i kullandı.
Microsoft, “Bu kampanyada gözlemlenen yetenekler endişe verici” dedi. “Bu kampanyadaki belirli etkiler, tehdit aktörünün kararlarına göre değişiklik gösterse de, ilk erişim bile belirli bir ortamın gizliliğini olumsuz yönde etkileyebilir.”