Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Araştırmacı ISMG’ye Hackerların Saldırı Gerçekleştirmek İçin İsrail-Hamas Savaşından Yararlandığını Söyledi
Chris Riotta (@chrisriotta) •
27 Şubat 2024
Siber güvenlik araştırmacıları, İsrail ve Birleşik Arap Emirlikleri de dahil olmak üzere Orta Doğu’da havacılık, havacılık ve savunma endüstrilerini hedef alan şüpheli bir İran casusluk kampanyası tespit etti.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Tehdit istihbarat firması Mandiant, Salı gecesi, İran Devrim Muhafızları Birliği ile bağlantılı olduğu iddia edilen, UNC1549 olarak takip edilen bir tehdit aktörünü, Orta Doğu’nun havacılık ve savunma sektörleriyle bağlantılı kuruluşlarını hedef alan bir dizi koordineli saldırıyla ilişkilendiren bir rapor yayınladı.
Mandiant’ın kıdemli araştırmacısı ve raporun ortak yazarı Ofir Rozmann, Information Security Media Group’a bilgisayar korsanlarının hedeflenen sistemlere ilk erişim sağlamak için “tuzak ve yem kullandığını” söyledi. Tespitten kaçınmak için kullanılan bir teknik olan, dağıtılan arka kapılarıyla iletişim kurmak için öncelikle Microsoft Azure bulut altyapısını kullandılar.
Rozmann, Tahran’a bağlı bilgisayar korsanlarının “çok yönlülük konusunda giderek büyüdüğünü ve özel siber casusluk ve yıkıcı kampanyalar yürüttüğünü” söyledi. Bu kampanyanın birincil amacı casusluk gibi görünüyor ancak aynı zamanda “hack-and-sızdırma operasyonları veya kinetik savaş saldırılarını mümkün kılmak” gibi diğer faaliyetleri de destekleyebilir.
Mandiant araştırmacıları, TortoiseShell, Crimson Sandstorm ve Imperial Kitten olarak da bilinen İranlı hacker grubu olduğu iddia edilen grubun, Hamas tarafından kaçırılan rehinelerin geri getirilmesi çağrısında bulunan İsrail liderliğindeki bir çaba olan “Onları Şimdi Eve Getirin” hareketinin bir parçası olarak gizlendiğini gözlemledi. Tehdit aktörleri ayrıca kurbanları kötü amaçlı veriler indirmeye yönlendirmek için sahte iş bulma siteleri, hedef odaklı kimlik avı e-postaları ve sosyal medya yazışmaları kullandı.
Rapora göre bilgisayar korsanları, havacılık ve savunma sektörlerindeki çalışanları, teknoloji ve savunma ile ilgili pozisyonlar için, özellikle de termal görüntüleme ile çalışan kişilere yönelik sahte iş teklifleriyle hedef aldı. Bilgisayar korsanları, hedeflenen ülkelerde bulunan sunucuların kullanılması ve Microsoft Azure altyapısının kötüye kullanılması da dahil olmak üzere bir dizi teknikle tespit edilmekten kurtuldu.
Raporda, “Bu şüpheli UNC1549 etkinliği en az Haziran 2022’den beri aktif ve Şubat 2024 itibarıyla hala devam ediyor” deniyor. “Doğası gereği bölgesel ve çoğunlukla Orta Doğu’ya odaklanan hedefleme, dünya çapında faaliyet gösteren kuruluşları da kapsıyor.”
Rapor, İranlı bilgisayar korsanlarının İsrail-Hamas savaşı gibi son olayları giderek daha gelişmiş siber saldırılar gerçekleştirmek için kullandığını ve bunu yaparken de radarın altından uçtuğunu öne sürüyor.
Rozmann, “Kampanya Ağustos 2023’ten önce İsrail’e karşı aktif değildi” dedi. “Ağustos 2023’ten bu yana, birden fazla kötü amaçlı yazılım çeşidinin yanı sıra kampanya tarafından kullanılan kapsamlı altyapıyı da gözlemledik, bu da aktörün faaliyetlerinin o zamandan bu yana daha üretken hale gelme olasılığını akla getiriyor.”
İran, son yıllarda İsrail’in kritik altyapı sektörlerini ve kuruluşlarını hedef alan bir dizi siber saldırı gerçekleştirdi ve geçen yıl İsrail-Hamas savaşı başladıktan sonra bu kampanyaları ilerlettiği görüldü. IRGC ile bağlantısı olan bilgisayar korsanlarının, ABD su sistemlerinde kullanılan İsrail yapımı basınç izleme kontrol cihazlarını hedef alan bir dizi yakın tarihli siber saldırıyla ilişkilendirildiği belirtiliyor (bkz: İnternete Açık Su PLC’leri İran İçin Kolay Hedefler).
Rozmann, ISMG’ye “Değerlendirmemiz, bu kampanyanın yüksek profilli kuruluşları hedeflediği ve nicelikten ziyade kaliteyi hedeflediği yönünde” dedi.