İran’ın İstihbarat ve Güvenlik Bakanlığı’na (MOI) bağlı bir hacker kolektifi olan APT39, önemli bir siber güvenlik olayında İran şirketi Amnban, Sharif Advanced Technologies’in tehlikeye atılmış iç sistemleri aracılığıyla faaliyet gösterdi.
2018 yılında Şerif Üniversitesi ve Amir Kabir mezunlarından kimlik bilgileriyle başlatılan Amnban, kendisini www.amnban.ir adresindeki web sitesi aracılığıyla meşru bir penetrasyon testi ve güvenlik danışmanlığı varlığı olarak sundu.
Devlet destekli siber casusluk
Bununla birlikte, sızdırılmış gigabaytlar, siber ağ sömürülmesini (CNE) ve siber ağ saldırılarına (CNA) hazırlık içeren, milyonlarca havayolu yolcudan sistematik olarak hassas kişisel tanımlanabilir bilgiler (PII) içeren siber ağ saldırılarına (CNA) hazırlık içeren sofistike devlet destekli bir kampanyayı ortaya çıkarır.
Bu, pasaport numaraları, ev adresleri, iletişim bilgileri ve son fotoğrafları, gözetim, kimlik hırsızlığı ve İran istihbaratının potansiyel insan hakları ihlallerini mümkün kılar.
İhlal, Amnban’ın kendi altyapısını güvence altına alamamasının altını çizerek İran’ın siber ekosistemindeki güvenlik açıklarını ironik bir şekilde vurguluyor.
Çalınan dosyalardan elde edilen kanıtlar, firmayı doğrudan finansal kazançtan ziyade istihbarat toplanmasına odaklanan Chafer olarak da bilinen APT39’a bağlar.
Amnban’ın CEO’su Behnam Amiri, daha önce APT39 bağlantıları için istihbarat teşkilatları tarafından işaretlenirken, şirket 2020’den beri ABD altyapısına saldırılarda yer alan FBI onaylı bir hacker olan Ali Kamali’yi istihdam etti.
Rapora göre, MOIS Operative Hamed Mashayekhi’nin Amnban’ın ofislerine sık sık yapılan ziyaretleri devlet bağlarını daha da doğrulamaktadır.
Özellikle, uzun süredir çalışan Arshia Akhavan (Babanın Adı: Reza) yakın zamanda ABD’ye göç etti ve FBI ve ABD Hazine duyuruları ile örtüşen faaliyetlere rağmen girişi hakkında sorular sordu; İç güvenlik müdahale edip etmeyeceği belirsizliğini koruyor.
Sosyal Mühendislik Taktikleri
Açık kaynaklı zeka (OSINT) eğitimi kisvesi altında Amnban, Kraliyet Jordanian, Türk Havayolları, Wizz Air, Ruanda Havayolları, Etihad, Emirates, Katar Havayolları, Lot Air, Keydiz, Kirpary, İlan Havası gibi havayolları da dahil olmak üzere çok çeşitli hedefler üzerinde yetkisiz keşif yaptı. Flydubai, Air Arabistan, Azimut Airlines, Ukrayna Uluslararası Havayolları, Uganda Havayolları ve Zambiya Airways.
FedEx, USPS, DHL ve ARAMEX gibi yük şirketleri de Rus kuruluşlarının yanında İran’ın müttefiklerini ve rakiplerini kapsayan bir kalıbı gösteren araştırıldı.
Sızan videolar ve keşif raporları, güvenlik açığı değerlendirmeleri ve “Projeler” ve “Ar-Ge” klasör yapılarında saklanan operasyonel planlar dahil olmak üzere saldırı vektörlerinin metodik haritalanmasını, meşru güvenlik araştırmalarından ziyade zeka odaklı operasyonları gösteren metodik haritalamayı detaylandırır.
Bu belgeler, İranlı yetkililerden üst düzey koruma öneren hiçbir müşteri yetkisi olduğunu özetlemektedir.
Havayollarının ötesinde, Amnban’ın kampanyaları, “Sosyal Mühendislik” gibi dosyalarda belgelenen ileri sosyal mühendislik yoluyla kripto para birimi borsalarına genişledi.
Operatörler, Kucoin’in API departmanındaki Arthur gibi profil ve Phish çalışanlarına sahte LinkedIn profilleri oluşturdular ve ağ erişimi için serbest teşvikler veya rüşvetler sundular.
İkna başarısız olduğunda, CoinSwitch’in Anil Kumar ve Binance ajanı Naliya ile etkileşimlerde görüldüğü gibi, IP adreslerini, cihaz parmak izlerini ve coğrafi konum verilerini hasat etmek için izleme bağlantıları dağıttılar, burada anlaşılmaz dil ile indüklenen tıklamalar kullanarak psikolojik manipülasyon kötü niyetli yükler üzerinde tıklamalar.
Bir Kucoin VIP yöneticisi olan Minty Liu gibi hedeflerin profilleri, işbirliği düzeyleri ve rüşvet girişimlerinin değerlendirilmesini içeriyordu ve insan zekasını (HUMINT) teknik sömürü ile harmanlayan melez bir yaklaşımı ortaya koydu.
Bu çabaları desteklemek, yüzlerce sanal özel sunucunun (VPS) ve küresel olarak dağıtılan sahte e -posta provizyon sistemlerinin gölge bir altyapısıdır ve kalıcı saldırı lansmanlarını sağlar.
Bu ağ, potansiyel olarak sistem kesintilerini veya hedefli casusluğu sağlayarak uluslararası havacılık güvenliğine risk vererek kimlik avı, veri eksfiltrasyonu ve komut ve kontrol (C2) işlemlerini kolaylaştırır.
Maruz kalma, etkilenen varlıklar arasında artan uyanıklık gerektirir ve ihlal kaynağından resmi e-postalar yoluyla şirkete özgü dosyaları paylaşma, adli analiz için acil ihtiyaç ve bu tür devlet destekli tehditlere karşı uluslararası karşı önlemlerin altını çizmektedir.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now