ABD ve İsrail siber güvenlik kurumları, İranlı bir siber grubun 2024 Yaz Olimpiyatlarını hedef aldığını ve bir Fransız ticari dinamik görüntü sağlayıcısının İsrail’in spor etkinliğine katılımını kınayan mesajlar göstermesi konusunda taviz verdiğini öne süren yeni bir tavsiye belgesi yayınladı.
Faaliyet, ajansların 2024 ortasından bu yana Aria Sepehr Ayandehsazan (ASA) adı altında faaliyet gösterdiği Emennet Pasargad olarak bilinen bir kuruluşa bağlandı. Cotton Sandstorm, Haywire Kitten ve Marnanbridge gibi daha geniş siber güvenlik topluluğu tarafından takip ediliyor.
“Grup, 2024 Yaz Olimpiyatları sırasında gerçekleştirilen ve 2024 Yaz Olimpiyatları’nı hedefleyen çok sayıda siber operasyon da dahil olmak üzere sayısız gizli kişiyi kullanarak 2024’ün ortalarına kadar siber destekli bilgi operasyonları yürütme çabalarında yeni ticari beceri sergiledi; buna Fransız ticari dinamik gösterisinin tehlikeye atılması da dahil. sağlayıcı” danışma belgesine göre.
ASA, ABD Federal Soruşturma Bürosu (FBI), Hazine Bakanlığı ve İsrail Ulusal Siber Müdürlüğü’nün de IP kameralardan içerik çaldığını ve Remini AI Photo Enhancer, Voicemod ve Murf AI gibi yapay zeka (AI) yazılımlarını kullandığını söyledi. ses modülasyonu ve propaganda yaymak amacıyla görüntü oluşturmak için Appy Pie.
İran İslam Devrim Muhafızları Birliği’nin (IRGC) bir parçası olarak değerlendirilen tehdit aktörü, Al-Toufan, Anzu Ekibi, Siber Çitalar, Siber Tufan, İnsanlık İçin, Menelaus ve Veri Pazarı gibi isimler altında gerçekleştirdiği siber ve etki operasyonlarıyla tanınıyor. , diğerleri arasında.
Yeni gözlemlenen taktiklerden biri, kendi amaçları doğrultusunda operasyonel sunucu altyapısı sağlamak için hayali barındırma satıcılarının kullanılmasının yanı sıra Hamas’a bağlı web sitelerini (örneğin, alqassam) Lübnan’daki bir aktöre barındırmak için kullanılmasıyla ilgilidir.[.]Not).
Ajanslar, “Yaklaşık 2023’ün ortasından bu yana ASA, altyapı yönetimi ve gizleme için çeşitli kapak barındırma sağlayıcıları kullandı” dedi. “Bu iki sağlayıcı ‘Sunucu Hızı’dır (sunucu hızı[.]com) ve ‘VPS-Agent’ (vps-agent)[.]açık).”
“ASA kendi bayilerini kurdu ve Litvanya merkezli BAcloud şirketi ve Stark Industries Solutions/PQ Hosting (sırasıyla Birleşik Krallık ve Moldova’da bulunan) dahil olmak üzere Avrupa merkezli sağlayıcılardan sunucu alanı satın aldı. ASA daha sonra bu kapak bayilerinden yararlanarak şunları sağlar: Kötü niyetli siber faaliyetler için kendi siber aktörlerine operasyonel sunucular sağlayın.”
Adı açıklanmayan Fransız ticari görüntü sağlayıcısına yönelik saldırı, Temmuz 2024’te VPS aracısı altyapısı kullanılarak gerçekleşti. İsrailli sporcuların 2024 Olimpiyat ve Paralimpik Oyunlarına katılımını eleştiren fotoğraf montajları sergilemeye çalıştı.
Ayrıca ASA’nın, Ekim 2023’ün başlarında İsrail-Hamas savaşının ardından İsrail-Hamas savaşının ardından Contact-HSTG adı altında İsrailli rehinelerin aile üyeleriyle temas kurmaya çalıştığı ve “ek psikolojik etkilere neden olacak ve daha fazla travmaya yol açabilecek” mesajlar göndermeye çalıştığı iddia ediliyor.
Tehdit aktörünün ayrıca, bir Telegram kanalında kendisi tarafından yönetilen çeşitli korsanlık yanlısı grupların ve bu amaç için kurulmuş bir web sitesinin (“cybercourt”) faaliyetlerini destekleyen, Siber Mahkeme olarak bilinen başka bir kişiyle de bağlantısı olduğu belirlendi.[.]io”).
Her iki alan da, vps-agent[.]net ve siber mahkeme[.]io, ABD New York Güney Bölgesi Başsavcılığı (SDNY) ve FBI tarafından gerçekleştirilen ortak kolluk kuvvetleri operasyonu sonrasında ele geçirildi.
Hepsi bu değil. Savaşın patlak vermesinin ardından ASA’nın, İsrail, Gazze ve İran’daki IP kameraların içeriğini numaralandırma ve elde etme çabalarının yanı sıra, İsrail savaş pilotları ve insansız hava aracı (İHA) operatörleri hakkında aşağıdaki siteler aracılığıyla bilgi toplama çabalarına devam ettiğine inanılıyor: Knowem.com, facecheck.id, Socialcatfish.com, ancestry.com ve familysearch.org.
Bu gelişme, ABD Dışişleri Bakanlığı’nın, ABD’nin kritik altyapısını hedef alan Shahid Hemmat adlı İran Devrim Muhafızları ile bağlantılı bir bilgisayar korsanlığı grubuyla ilişkili kişilerin kimliklerini veya bulundukları yerleri tespit edecek bilgiler için 10 milyon dolara kadar ödül vereceğini duyurmasının ardından geldi.
Açıklamada “Shahid Hemmat’ın ABD savunma sanayisini ve uluslararası taşımacılık sektörlerini hedef alan kötü niyetli siber aktörlerle bağlantısı olduğu” ifade edildi.
“IRGC-CEC’in bir bileşeni olarak [Cyber-Electronic Command]Shahid Hemmat’ın, Mohammad Bagher Shirinkar, Mehdi Lashgarian, Alireza Shafie Nasab ve paravan şirket Emennet Pasargad, Dadeh Afzar Arman (DAA) ve Mehrsam Andisheh Saz Nik (MASN) gibi diğer IRGC-CEC bağlantılı kişi ve kuruluşlarla bağlantısı var. “