Amerika Birleşik Devletleri, hafta sonu İran’daki nükleer hedeflere karşı bir dizi hava saldırısının ardından genişleyen bir Orta Doğu çatışmasına girerken, Avrupa ve Kuzey Amerika’daki kuruluşlar, İran tarafından desteklenen veya destekleyen tehdit aktörleri tarafından yürütülen siber saldırılar olasılığı için yüksek tetikte olmalıdır.
İran tehdit aktörleri, 7 Ekim 2023 Hamas saldırılarından bu yana İsrail hedeflerine saldırmakla büyük ölçüde etkileşime girdiler, ancak son 48 saat boyunca bir dizi uyarımda, hükümet yetkilileri ve siber uzmanlar, Hükümetin Hava Durumu da dahil olmak üzere, Bize ve Müttefik Hedeflerine çarpma olasılığının, Hükümetin Hava Alanı’nı desteklediği, Hükümetin arttırıldığı istihdamların da dahil olduğu belirtildi.
22 Haziran Pazar günü Ulusal Terörizm Danışma Sistemi (NTA) aracılığıyla yayınlanan bir bültende, ABD İç Güvenlik Bakanlığı, devam eden İran çatışmasının ABD ağlarına karşı İran yanlısı hacktivistler tarafından “düşük seviyeli” siber saldırılarda bir artışa neden olabileceğini, devlet destekli operatörlerin de giderek aktif olabileceğini söyledi.
Alert, “Hem hacktivistler hem de İran hükümetine bağlı aktörler rutin olarak, yıkıcı siber saldırılar için rutin olarak kötü güvence altına alınmış ABD ağlarını ve internet bağlantılı cihazları hedefliyor” dedi.
Uyarı ayrıca, Yahudi, İsrail yanlısı veya ABD hükümetine veya ordusuna bağlı olarak algılanan hedeflerin özellikle siber eylem riski altında olabileceğini kabul etti. Uyarı ayrıca İran rejiminin eleştirmenlerine yönelik saldırı olasılığı konusunda da uyardı.
Google Tehdit İstihbarat Grubu baş analisti John Hultquist, “İran, ABD’yi zaten jeopolitik içgörü ve ilgi çekici kişileri doğrudan ve dolaylı olarak toplamak için kullandıkları siber casuslukla hedef alıyor” dedi.
“İran politikasıyla ilişkili kişiler ve bireyler sıklıkla örgütsel ve kişisel hesaplar aracılığıyla hedeflenir ve sosyal mühendislik planları arayışında olmalıdır. Bireyler, İran’ın telekomlara, havayollarına, misafirperverliğine ve ilgi çekici kişileri tanımlamak ve izlemek için kullanılabilecek verileri olan diğer kuruluşlara karşı dolaylı olarak hedeflenir.”
Hultquist ekledi: “İran yıkıcı siber saldırılarla karışık sonuçlar verdi ve psikolojik etkilerini artırmak için sık sık etkilerini üretiyor ve abartıyorlar.
“Bu olayları fazla tahmin etmemeye ve aktörlere yanlışlıkla yardım etmemeye dikkat etmeliyiz. Etkiler, fidye yazılımlarını önlemek için aynı adımların çoğunu atarak hazırlanabilecek bireysel işletmeler için çok ciddi olabilir.”
FBI’da 20 yılı aşkın bir süredir kolluk kuvvetlerinde geçiren Optiv’te küresel siber risk ve yönetim kurulu ilişkileri başkan yardımcısı James Turgal, çatışmadan sivil altyapıya yayılma olasılığının kesin bir endişe olduğunu söyledi.
“Siliniciler veya fidye yazılımı gibi kötü amaçlı yazılım ve yıkıcı kod saldırgan operasyonlarda kullanıldığında her zaman üçüncü tarafı veya istenmeyen sonuçları kontrol edemezsiniz” diye açıkladı.
“Yazılım tedarik zincirimizin küresel birbirine bağlılığı nedeniyle, bu yıkıcı saldırılar küresel ağları veya çokuluslu iştirakleri etkileyen amaçlanan hedeflerin ötesine geçebilir. Örneğin, İsrail’deki bir lojistik şirketine siber saldırı, küresel nakliye operasyonlarını veya yabancı tedarikçileri istemeden etkileyebilir.
Turgal ekledi: “Her iki taraf da devlete uyumlu hacker gruplarından yararlandığından, devlet dışı aktörler benzer araçları benimseyebilir veya küresel olarak kendi kampanyalarını başlatmak için cesaretlendirilmiş hissedebilirler. Bu, okullar, hastaneler veya küçük işletmeler gibi yumuşak hedeflere yönelik saldırıları artırabilir.”
Ukrayna Savaşı sırasında görülen siber odaklı ve kinetik askeri operasyonların kullanımına dayanarak Turgal, Batı kritik altyapı hedeflerine yönelik saldırılar da dahil olmak üzere “hayal edilemez istenmeyen sonuçlarla” benzer bir senaryonun şu anda oynayabileceğini söyledi.
İran için siber “güvenilir misilleme aracı”
Mitiga’nın kurucu ortağı ve baş işletme sorumlusu Ariel Parnes ve İsrail’in ünlü siber biriminde eski bir albay, Computer Weekly’ye İran’ın bir savaş aracı olarak saldırgan siber operasyonların değerini tam olarak bildiğini söyledi.
“Son birkaç yıldır İran, ABD, Avrupa ve Orta Doğu’daki hastaneleri, kamu hizmetlerini ve hükümet sistemlerini hedefleyen güvenilir bir misilleme aracı olarak kullandı. Bu operasyonlar rastgele değil. Hesaplanmış, bozulma, proje gücü ve sinyal niyeti yaratmak için tasarlanmış düşük maliyetli hareketler” dedi.
“APT34 ve APT42 gibi aktörler, bağlı hacktivist cephelerle birlikte, hem belirli endüstrilerden hem de bağımlı oldukları teknolojilerin peşinden gidiyorlar. Enerji, finans ve sağlık sektörleri ve Microsoft 365, Google -ızgara altyapısı gibi platformlar, kimliklere ulaşma, Filding – Filding – Felconsing – Filding,” gibi platformlar, ”.
Parnes ekledi: “Gece yarısı çekiç operasyonu sonrasında, siber misilleme beklenmelidir. Bazı durumlarda zaten hareket halinde olabileceğini vurgulamak önemlidir: önceden konumlandırılmış erişimin tetiklenmesini bekleyen, ‘kırmızı düğme’ oyunu.
“Örgütler şimdi harekete geçmeli” dedi. “Farkındalığı artırın, duruşu sıkın, tespiti iyileştirin, proaktif olarak avlayın ve yanıt planlarınızı kullanın.”
İran’ın Rusya ile bağları
Savunucular için ek endişeler, Moskova ve Tahran arasında imzalanan ve İran hükümetinin Rus rejiminden siber güvenlik konularında işbirliği yapma taahhütleri aldığı bir anlaşmanın içeriği olmalıdır.
Görünüşe göre bu anlaşma, bu işbirliğinin siber suç faaliyetlerine karşı koymaya yardımcı olacağını öngörmesine rağmen, Rus hükümeti uzun süredir finansal olarak motive olmuş siber çetelerin cezasızlık ve son üç yıl boyunca Ukrayna’daki kilit altyapı hedeflerine karşı agresif siber taktikleri kullanmasına izin verdi.
Aynı zamanda, güvenlik topluluğu, özellikle 495 milyon dolarlık kesintilerle tehdit edilen ve 1000 kişiye kadar uzanması gereken Keystone Siber Güvenlik ve Altyapı Güvenlik Ajansı’nda (CISA), Amerika’nın siber güvenlik bütçesine yapılan kesintilerin etkisiyle de ilgileniyor.
Hakim inanç, CISA’yı zayıflatmada ABD’nin kendisini ve müttefiklerinin, büyük, çok uluslu ulus devlet siber saldırılarına koordineli bir yanıt vermede daha az etkili olma riskiyle daha fazla risk altında olmasıdır.