Siber savaş / ulus-devlet saldırıları, finans ve bankacılık, sahtekarlık yönetimi ve siber suç
İsrail-İran Savaşı yoğunlaştıkça ülkenin en büyük bankasının bozulması geliyor
Mathew J. Schwartz (Euroinfosec) •
17 Haziran 2025
İsrail yanlısı bir hackleme grubu, iki ülke arasında beşinci günlerine giren düşmanlık olarak büyük bir İran bankasını bozduğunu iddia ediyor.
Ayrıca bakınız: 2024 Sahtekarlık Anlaşmaları Raporu
Hacking grubu Gonjeshke Darande – Yırtıcı Serçe için Farsça – Sosyal Ağ X’e yapılan bir Salı sabahı, İran vatandaşlarıyla birlikte çalışan İslam Devrim Muhafız Kolordusu’nun bankası Sepah’ın verilerini yok eden siber saldırıları yürüttüğünü söyledi.
İddia doğrulanamadı – ancak Tahran merkezli devlete ait banka Sepah’ın web sitesi Salı öğleden sonra erişilemedi. Özel İran haber ajansı Fararu, bankanın altyapısının Salı günü bir siber saldırı tarafından bozulduğunu ve banka hizmetlerinin çevrimdışı olmasına ve bankanın altyapısının ödemeleri kabul edemediğine dayanan bazı gaz istasyonlarına yol açtığını doğruladığını bildirdi.
İran’ın en büyük bankası 1.800 yerli şube işletiyor ve Frankfurt, Paris ve Roma’da ve Londra merkezli bir iştiraki Banka Sepah International’da şubeleri var.
İsrail medyası, İran’ın birden fazla sakininin bankanın ATM’lerinden para çekemediğini bildirdi.
Kesinlikle ilgili haberler, Kudüs ve Tahran arasındaki günlerce süren çatışma arttıkça, her iki ülke de diğerini füzeler ve dronlarla hedef alarak yüzlerce insanın öldürülmesine ve binlerce kişinin yaralanmasına yol açar (bkz: İsrail grevleri siber saldırılar ve misilleme korkularını yükseltiyor).
Yırtıcı Serçe görevinde “Banka Sepah, uluslararası yaptırımları atlatan ve İran halkını rejimin terörist vekillerini, balistik füze programını ve askeri nükleer programını finanse etmek için kullanan bir kurumdu.” Grup ayrıca “yardımı bu operasyonu yapan cesur İranlılar” diye teşekkür etti.
Hacktivist grupların asılsız iddiaları, Orta Doğu da dahil olmak üzere bölgesel çatışmalar sırasında yaygındır. Ancak banka kesintisi – ve yırtıcı serçe, kesinti için hızla kredi alan – Google Tehdit İstihbarat Grubu baş analisti John Hultquist, “görünüşe rağmen bu aktörün tamamen allık olmadığını” gösteriyor.
Yırtıcı Serçe, Haziran 2022’nin devlete ait üç dökümhaneye yapılan saldırı da dahil olmak üzere, İran’da en az birinde yangına başladığı görülen bir dizi daha önceki aksamalara bağlı. Grup ayrıca İran’ın yakıt arzını ve demiryolu sistemini bozan çeşitli saldırılar için kredi talep etti.
Güvenlik uzmanları, grubun faaliyetlerini herhangi bir ülkeye bağlamamıştır. Grubun adı, belirli bir İran askeri ulus-devlet hackleme grubunu izlemek için kullanılan, kod adlarından biri olan büyüleyici yavru kedi üzerinde yanakta bir dil riff olabilir-diğerleri APT35, fosfor ve nane kum fırtınası içerir (bakınız: bkz: Yırtıcı Serçe’nin Hacks: Duman var, ateş var).
Hultquist geçen yıl gazetecilere verdiği demeçte, “Etkinliklerine kimin sponsor olduğuna dair kesin kanıtlarımız yok ve ilginç bir şekilde İran, atıfla ilgili birçok farklı suçlama yaptı.” Dedi. Grup Tahran’a karşı açıkça karşıttır, iyi finanse edilmiş gibi görünmektedir ve bugüne kadarki birkaç saldırısının etkisini sınırlandırıyor gibi görünüyor, bu da “yasal kısıtlamaların” operasyonlarını yönetebileceğini gösteriyor.
OFAC yaptırımları
Banka Sepah’a karşı yırtıcı serçe tarafından dile getirilen suçlamalar zaten iyi belgelenmiştir. Amerika Birleşik Devletleri 2007 yılında bankaya yaptırımlar uyguladı. O zamanlar Hazine Yabancı Varlıklar Ofisi Bakanlığı, Banka Sepah’ı İran Savunma Bakanlığı’nın bir yan kuruluşu olan Havacılık ve Uzay Endüstrileri Örgütü için “tercih edilen banka” olarak nitelendirdi.
OFAC, banka “İran’ın füze programı için uluslararası hassas materyal alımlarını” kolaylaştırmak için “finansal boru” olarak hizmet etmek de dahil olmak üzere “İran’ın füze endüstrisine çeşitli kritik finansal hizmetler sağladı” dedi.
ABD, İran’ın bir yıl önce Başkan Barack Obama tarafından imzalanan nükleer silahların gelişimini sınırlamak için çok uluslu bir anlaşmanın bir parçası olarak Ocak 2016’da yaptırımları kaldırdı. Başkan Donald Trump, 2018’de plandan çekildiğini duyurdu ve OFAC, Kasım 2018’de tam olarak yürürlüğe giren yaptırımları yeniden yapılandırdı.
Ofac, İran rejimini bankayı “istikrarsızlaştırıcı faaliyetlerini finanse etmek için çabalarının bir parçası olarak kullanmakla suçladı”, “İran rejiminin uluslararası terörizme desteği, kitle imha silahlarının çoğalması veya teslimat araçları ve insan hakları ihlalleri. Buna ek olarak, İran’ın Savunma Bakanlığı ve Silahlı Kuvvetler Lojistik, bankayı yurtdışında ajanlarını ödemek için, ülkenin KİS teknolojisini edinme çabalarını ve “geleneksel silah sayılarını ve türlerini istikrarsızlaştırma” için kullandığını söyledi.
Codebreakers’ın iddia ettiği hack ve sızıntı
Bu banka Sepah’ın bilgisayar korsanlarıyla ilk fırçası değil. Mart ayında, kendisini “kod kırıcılar” olarak adlandıran bir hack grubu, banka Bitcoin’de 42 milyon dolar değerinde bir fidye ödemediği sürece, 42 milyon banka kaydı da dahil olmak üzere 12 terabayt veri yayınlamakla tehdit etti. Çalınan veriler, müşterilerin adlarını, hesap numaralarını, şifreleri, ev adreslerini, cep telefonu numaralarını ve daha fazlasını içeriyordu ve ayrıca askeri personele bağlı ayrıntıları içeriyordu.
Bankanın halkla ilişkiler başkanı Reza Hamedanchi, hack grubunun iddiasını reddetti ve bunun “temelde yanlış olduğunu ve bankada hiçbir hack veya sızma yapılmadığını” söyledi.
Yanıt olarak, Telegram kanalındaki Codebreakers grubu, Hamedanchi’nin banka hesabı bakiyesi de dahil olmak üzere kişisel bilgilerini, yüksek profilli ve zengin – sivil ve askeri müşteriler de dahil olmak üzere 20.000 kişiye ilişkin ayrıntıların yanı sıra sızdırdı.
Grup, bankanın fidye talebini karşılamayı reddettiğini söyledi.
Hacking grubunun Farsça’daki veri sızıntısını ve daha sonra Instagram ve Whatsapp’a yapılan İngilizce dillerini trompetleme kararı, operasyonun finansal olarak yönlendirilen bir saldırıdan daha psikolojik bir operasyon gibi görünen bir parçası olarak “öncelikle İran’da halkın dikkatini çekmek için” tasarlandığını öne sürdü.