Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Uzmanlar, Hack Saldırısı, Veri Dökümü ve Web Sitesi Kesintisi İddialarının Çoğunun Sahte Olduğunu Söylüyor
Mathew J. Schwartz (euroinfosec) •
11 Ekim 2023
Kendilerini hacktivist olarak ilan eden gruplar, İsrail ile Hamas arasındaki son savaşı çevreleyen anlatıya kendilerini dahil etmeye çalışıyor ve bazen de başarılı oluyor.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Flashpoint’in siber tehdit istihbarat operasyonlarından sorumlu başkan yardımcısı Ian Gray, “İsrail’de devam eden çatışma, her biri kendi motivasyonuna sahip, İsrail ya da Filistin’e karşı olan ya da onları destekleyen çok sayıda hacktivist grubun dikkatini çekti” dedi.
ABD hükümeti tarafından terör örgütü olarak tanımlanan militan grup Hamas’ın Cumartesi günü düzenlediği saldırının ardından 1.000’den fazla İsrailli öldürüldü ve 2.800 kişi de yaralandı. Hamas Cumartesi günü sabahın erken saatlerinde Gazze Şeridi boyunca uzanan İsrail sınırını aştı, ordu üslerini işgal etti ve kibutzimlerde ve kasabalarda sivilleri öldürdü.
İsrail Başbakanı Binyamin Netanyahu, misilleme hava saldırıları emrini vererek Hamas ve İslami Cihad’a savaş ilan etti. Filistin Sağlık Bakanlığı Salı günü yaptığı açıklamada, Gazze Şeridi’ne düzenlenen hava saldırılarında 950 kişinin öldüğünü ve 5.000 kişinin yaralandığını söyledi.
Düşük seviyeli dağıtılmış hizmet reddi saldırıları zaten İsrail-Filistin savaşının bir özelliğidir. Pazar günü Jerusalem Post söz konusu web sitesinin bir DDoS saldırısına uğradığını ve Salı gününe kadar aralıklı olarak kapalı kaldığını söyledi. Saldırıyı Kremlin yanlısı Anonim Sudan grubu üstlendi. Uzmanlar, Anonymous’un bir parçası gibi görünmeyen veya yoksul bir Doğu Afrika ülkesinde yerleşik görünmeyen, iyi finanse edilen grubun saldırısının, sözde hacktivist kolektiflerin mücadeleye ne kadar hızlı katıldığını gösterdiğini söylüyor (bkz: Sudan’daki Anonim DDoS Saldırılarının Altında Pahalı Proxy’ler Var).
Saldırganlar ayrıca, bir binanın dış duvarını sprey boyayla boyamanın çevrimiçi eşdeğeri olan birden fazla web sitesini tahrif etti. Bazıları ayrıca hedefleri hacklediklerini ve çalınan verileri boşalttıklarını iddia ediyor.
Recorded Future’dan tehdit araştırmacısı Alexander Leslie Salı günü yaptığı açıklamada, “Bugün olağan forumlarda birkaç İsrail veri tabanının satışta olduğunu gördüm” dedi. X, eski adıyla Twitter. “Gerçekliğini doğrulayamıyorum ama size şunu söyleyebilirim: Ukrayna’ya benzer şekilde, sahte, halka açık ve eski verileri satan çok sayıda fırsatçı tehdit aktörü vardı. Muhtemelen aynı şey burada da oluyor.”
En az bir grup, DDoS veya tahrifat içermeyen bir saldırı gerçekleştirdi. Pazar günü AnonGhost, gönüllülerin İsrail sakinlerine gelen roket, havan ve füze saldırıları konusunda gerçek zamanlı uyarılar ilettiği, iOS ve Google Play kullanıcılarına sunulan Red Alert uygulamasını çökertti.
AnonGhost, on yılı aşkın bir süredir faaliyet gösteren (ya da en azından saldırganlar tarafından kullanılmaya devam edilen) Filistin yanlısı bir Anonim yan ürün.
Siber güvenlik firması Group-IB’deki güvenlik araştırmacıları, grup veya kolektifin Red Alert uygulamasındaki bir API güvenlik açığından yararlandığını bildirdi. “Bu istismar sırasında istekleri başarılı bir şekilde ele geçirdiler, savunmasız sunucuları ve API’leri açığa çıkardılar ve uygulamanın bazı kullanıcılarına spam mesajlar göndermek için Python komut dosyalarını kullandılar” dedi. Araştırmacılar, bazı kullanıcılara “nükleer bomba” hakkında sahte mesajlarla spam gönderdiklerini iddia eden gruba bağlı sohbet kayıtlarını bulduklarını söyledi.
Siber güvenlik firması, “hacktivistlerin genellikle küçük ölçekli DDoS saldırıları ve tahrifatları yürütmekle ilişkilendirildiğini” ancak bazen kaosa neden olduklarını veya web ve mobil uygulamalara bağlı API’leri vurarak korku yaymaya çalıştıklarını söyledi. ana ürün API’leri.”
AnonGhost’un Red Alert uygulamasına ulaşması, Hamas’ın İsrail’e yönelik sinsi saldırısını başlatmasından sadece bir gün sonra gerçekleşti (bkz: İstihbarat Başarısızlığı: Hamas’tan İsrail’e Sürpriz Saldırı).
Taraf Tutmak
Son günlerde az sayıda hacktivist grup İsrail’e desteklerini dile getirdi. Bunlardan biri olan Indian Cyber Force, Hindistan hükümetinin politika hedeflerini destekliyor gibi görünüyor. İsrail’e destek mesajlarını retweetledi ve Pazar günü Filistin’deki, Filistin Bankası ve diğer hedeflerdeki hükümet e-posta hizmetlerine karşı DDoS saldırıları başlatmaya başladıklarını iddia etti.
Pazartesi günü, kendini hacktivist ilan eden Predatory Sparrow grubu, Telegram ve X’e “Gonjeshke Darande” (grubun adının Farsça versiyonu) adıyla paylaşım yaparak geri dönüşünü duyurdu. Grubun 2021 ve 2022 yıllarında İran odaklı olarak aktif olduğu görülüyor. Geçen yılki yüksek profilli bir kampanyada grup, İran’ın devlete ait çok sayıda çelik dökümhanesinde yangınları tetiklediğini iddia etti. Güvenlik uzmanları, grubun gösterdiği gelişmişlik ve itidalin, grubun hükümet tarafından yönetildiğini gösterdiğini söylüyor (bkz: Yırtıcı Serçe’nin Tüyoları: Duman Var, Ateş Var).
Flashpoint’ten Gray, diğer pek çok hacktivist grup veya kolun (son sayımda 31) Filistin yanlısı, Müslüman yanlısı ve/veya İsrail karşıtı bir gündemi benimsediğini söyledi. Bunlar arasında 777exploitteam, Ghosts of Filistin, HackersFactory, NinjaForces ve Mysterious Team Bangladeş gibi gruplar yer alıyor ve çatışma kızıştıkça daha fazlasının da onları takip etmesini bekliyor.
Kremlin yanlısı KillNet ve Anonymous Sudan operasyonu, Telegram kanallarında İsrail hükümetini hedef alacaklarını iddia etti. Güvenlik operasyonları yazılım satıcısı ReliaQuest’in bildirdiğine göre, ikincisi “İsrail’e karşı saldırılarda kullanılmak üzere Romanya’dan belirtilmemiş “sıfır gün güvenlik açıkları” elde ettiğini iddia ediyordu” (bkz: KillNet DDoS, Moskova’nın Psikolojik Gündemine Daha Fazla Saldırıyor).
Çatışmaya bağlı hacktivist iddiaların çoğu sahte veya aldatmacadır. Bu, CyberAv3ngers hacktivist grubunun Telegram kanalında, İsrail’in güneyindeki Dorad elektrik santrali de dahil olmak üzere bir dizi enerji şirketini “hacklediğine” dair iddiayı da içeriyor. Grubun sızdırdığı verileri sözde kanıt olarak analiz ettikten sonra Group-IB, bunun İran’la işbirliği yaptığından veya İran tarafından yönetildiğinden şüphelenilen bir grup olan Moses Staff tarafından 2022’de çalınan ve sızdırılan verilerle aynı olduğunu söyledi.
Group-IB, “Bu, hacktivistlerin geçmiş saldırılara ait verileri yayınlayarak ve dikkat çekmek için onları yeni saldırılarmış gibi göstererek nasıl heyecan yaratmaya çalıştıklarının bir başka örneği” dedi. “Dikkatli ol.”