Bir buçuk yıldan uzun süredir hassas bilgileri toplamak amacıyla düzenlenen bir sulama deliği saldırısının parçası olarak Kürt azınlığa bağlı 25’e yakın web sitesi ele geçirildi.
SilentSelfie adı verilen kampanyanın detaylarını açıklayan Fransız siber güvenlik firması Sekoia, saldırı setinin uzun süredir devam ettiğini, ilk enfeksiyon belirtilerinin Aralık 2022’de tespit edildiğini belirtti.
Stratejik web uzlaşmalarının, bilgi çalma çerçevesinin dört farklı çeşidini sunmak üzere tasarlandığı da eklendi.
Güvenlik araştırmacıları Felix Aimé ve Maxime A, Çarşamba günü yayınladıkları raporda, “Bunlar, yalnızca kullanıcının konumunu çalan en basit olanlardan, selfie kamerasından görüntü kaydeden ve seçili kullanıcıların kötü amaçlı bir APK, yani Android’de kullanılan bir uygulama yüklemesine yol açan daha karmaşık olanlara kadar uzanıyordu” dedi.
Hedeflenen web siteleri arasında Kürt basını ve medyası, Rojava yönetimi ve silahlı kuvvetleri, Türkiye ve Kürt bölgelerindeki devrimci aşırı sol siyasi partiler ve örgütlerle ilişkili olanlar yer alıyor. Sekoia, The Hacker News’e bu web sitelerinin ilk etapta tam olarak hangi yöntemle ihlal edildiğinin belirsizliğini koruduğunu söyledi.
Saldırıların bilinen herhangi bir tehdit aktörü veya kuruluşuna atfedilmemesi, daha önce StrongPity ve BladeHawk gibi gruplar tarafından hedef alınan Kürt toplumunu hedef alan yeni bir tehdit kümesinin ortaya çıktığını gösteriyor.
Bu yılın başlarında Hollandalı güvenlik firması Hunt & Hackett da Hollanda’daki Kürt sitelerinin Türkiye bağlantılı bir tehdit grubu olan Sea Turtle tarafından hedef alındığını açıklamıştı.
Sulama deliği saldırıları, site ziyaretçilerinden konum, cihaz verileri (örneğin, CPU sayısı, pil durumu, tarayıcı dili, vb.) ve genel IP adresi gibi çeşitli bilgileri toplamaktan sorumlu kötü amaçlı bir JavaScript’in dağıtılmasıyla karakterize edilir.
Üç internet sitesinde bulunan keşif senaryosunun bir versiyonu (rojnews)[.]haberler, hawarnews[.]com ve targetplatform[.]net.) kullanıcıları kötü amaçlı Android APK dosyalarına yönlendirdiği gözlemlenirken, bazılarında ise “sessionIdVal” adlı bir çerez aracılığıyla kullanıcı takibi yapma olanağı bulunuyor.
Sekoia’nın analizine göre Android uygulaması, web sitesinin kendisini bir WebView olarak yerleştiriyor ve aynı zamanda kendisine verilen izinlere dayanarak harici depolama alanında bulunan sistem bilgilerini, kişi listelerini, konumu ve dosyaları gizlice topluyor.
Araştırmacılar, “Bu kötü amaçlı kodun herhangi bir kalıcılık mekanizmasına sahip olmadığını, yalnızca kullanıcı RojNews uygulamasını açtığında çalıştırıldığını belirtmekte fayda var” ifadelerini kullandı.
“Kullanıcı uygulamayı açtığında ve 10 saniye sonra, LocationHelper hizmeti arka planı URL rojnews’e işaretlemeye başlar[.]news/wp-includes/sitemaps/ HTTP POST istekleri aracılığıyla kullanıcının geçerli konumunu paylaşarak komutların yürütülmesini bekler.”
SilentSelfie’nin arkasında kimin olduğu hakkında pek fazla şey bilinmiyor ancak Sekoia, Ekim 2023’te RojNews gazetecisi Silêman Ehmed’in KDP güçleri tarafından tutuklanmasından yola çıkarak bunun Irak Kürdistan Bölgesel Hükümeti’nin işi olabileceğini değerlendirdi. Temmuz 2024’te üç yıl hapis cezasına çarptırıldı.
Araştırmacılar, “Bu sulama deliği kampanyası düşük karmaşıklıkta olsa da, etkilenen Kürt web sitelerinin sayısı ve süresi açısından dikkat çekicidir,” dedi. “Kampanyanın düşük karmaşıklık seviyesi, bunun sınırlı yeteneklere sahip ve alanda nispeten yeni olan, keşfedilmemiş bir tehdit aktörünün işi olabileceğini düşündürüyor.”