İran hükümeti destekli APT 33 olarak bilinen bilgisayar korsanlığı grubu 10 yıldan uzun süredir aktif olup, kritik altyapı hedefleri de dahil olmak üzere dünya çapında çeşitli kamu ve özel sektör kurbanlarına karşı saldırgan casusluk operasyonları yürütüyor. Ve grup özellikle “şifre püskürtme” gibi stratejik ancak teknik olarak basit saldırılarıyla bilinse de, endüstriyel kontrol sistemlerini bozmak için tasarlanmış potansiyel olarak yıkıcı kötü amaçlı yazılımlar da dahil olmak üzere daha sofistike bilgisayar korsanlığı araçları geliştirmekle de uğraştı. Şimdi, Microsoft’un Çarşamba günü yayınladığı bulgular, grubun yeni bir çok aşamalı arka kapı ile tekniklerini geliştirmeye devam ettiğini gösteriyor.
Microsoft Threat Intelligence, Peach Sandstorm adını verdiği grubun, saldırganların kurban ağlarına uzaktan erişim sağlamak için kullanabilecekleri özel bir kötü amaçlı yazılım geliştirdiğini söylüyor. Microsoft’un bir nedenden dolayı “Tickler” adını verdiği arka kapı, bilgisayar korsanı grubu parola püskürtme veya sosyal mühendislik yoluyla ilk erişimi elde ettikten sonra hedefi enfekte ediyor. Nisan ayından başlayarak ve en son Temmuz ayında, araştırmacılar Peach Sandstorm’un uydu, iletişim ekipmanı ve petrol ve gaz gibi sektörlerdeki kurbanlara karşı arka kapıyı kullandığını gözlemledi. Microsoft ayrıca grubun kötü amaçlı yazılımı ABD ve Birleşik Arap Emirlikleri’ndeki federal ve eyalet hükümet kuruluşlarını hedeflemek için kullandığını söylüyor.
Microsoft’un tehdit istihbaratı direktörü Sherrod DeGrippo, WIRED’a yaptığı açıklamada, “Tickler kötü amaçlı yazılımı, bu tehdit aktörü için taktik, teknik ve prosedürlerde büyük bir ilerleme anlamına gelmiyor; ancak hedeflere yönelik eylemde bulunmaya yönelik net ve aktif bir geliştirme odağını temsil ediyor.” dedi.
Araştırmacılar, Peach Sandstorm’un Tickler’ı dağıttığını ve ardından hedef sistemlerin tam kontrolünü ele geçirmek için bilgisayar korsanlarının Azure aboneliklerini kullanarak kurban Azure bulut altyapısını manipüle ettiğini gözlemledi. Microsoft, hedeflenenden etkilenen müşterileri bilgilendirdiğini söylüyor.
Microsoft’a göre çete, düşük teknolojili parola püskürtme saldırılarını da sürdürdü. Bu saldırılarda bilgisayar korsanları, birileri onları içeri alana kadar sızdırılmış veya genel parolaları tahmin ederek birçok hedef hesaba erişmeye çalışıyor. Peach Sandstorm, hem Tickler arka kapısıyla onları enfekte etmek hem de diğer casusluk operasyonları için hedef sistemlere erişmek için bu tekniği kullanıyor. Araştırmacılar, Şubat 2023’ten bu yana bilgisayar korsanlarının “binlerce kuruluşa karşı parola püskürtme faaliyeti yürüttüğünü” gözlemlediklerini söylüyorlar. Ve Nisan ve Mayıs 2024’te Microsoft, Peach Sandstorm’un uzay, savunma, hükümet ve eğitim sektörlerindeki ABD ve Avustralya kuruluşlarını hedef almak için parola püskürtmeyi kullandığını gözlemledi.
Microsoft, “Peach Sandstorm ayrıca altyapı tedariki için eğitim sektörüne ve istihbarat toplama için birincil hedef olan uydu, hükümet ve savunma sektörlerine yönelik parola püskürtme saldırıları düzenlemeye devam etti” diye yazdı.
Araştırmacılar, çetenin bu faaliyete ek olarak, en azından Kasım 2021’e kadar uzandığını ve 2024 ortalarına kadar devam ettiğini söyledikleri Microsoft’a ait profesyonel sosyal ağ LinkedIn’de sosyal mühendislik operasyonlarını sürdürdüğünü söylüyor. Microsoft, grubun ABD ve Batı Avrupa’da bulunduğu iddia edilen öğrenciler, yazılım geliştiricileri ve yetenek edinme yöneticileri gibi görünen LinkedIn profilleri oluşturduğunu gözlemledi.
“Peach Sandstorm esas olarak kullanıldı [these accounts] Microsoft, “yüksek öğrenim, uydu sektörleri ve ilgili endüstrilere karşı istihbarat toplama ve olası sosyal mühendislik yürütmek için” diye yazdı. “Tespit edilen LinkedIn hesapları daha sonra kapatıldı.”
Microsoft’tan DeGrippo, yeni kampanyaların dikkat çekici olduğunu belirtirken, Peach Sandstorm’un daha önce uzay sektörünü hedef aldığını da sözlerine ekledi.
“Bu, Peach Sandstorm’un uyduyla ilgili hedeflemeye ilgi göstermesinin ilk seferi değil. Bu tehdit aktörü, [previously] DeGrippo, “Dünya çapında uydu, savunma ve ilaç sektörlerindeki kuruluşları takip etti” diyor. “Bu arka kapı, birden fazla yinelemesi olan özel bir kötü amaçlı yazılımdır. Kötü amaçlı yazılımları belirli hedefler için kullanmaya odaklanma ve bağlılık gösterir.”
İranlı hackerlar yıllardır uluslararası alanda üretken ve saldırganlar ve yavaşlama belirtisi göstermiyorlar. Bu ayın başlarında, farklı bir İranlı grubun 2024 ABD seçim döngüsünü hedef aldığına dair raporlar ortaya çıktı; bu saldırılar arasında hem Trump hem de Harris kampanyalarına yönelik saldırılar da yer alıyor.
28 Ağustos 2024, TSİ 17:35’te güncellendi: Microsoft’un tehdit istihbaratı direktörünün yorumları eklendi.