İran yazılım ve uygulama geliştirmede kullanılan kaynak kodu olarak bilinen code base (kod tabanı) temizliği için ulusal düzeyde bir bug bounty programı için kolları sıvadı.
İran hükümeti, şirketlerin ve kuruluşların yazılımlarında bulunan zafiyetlerin tespitini yaptırmak amacı ile başlattığı ödüllü siber güvenlik programları olan bug bounty başlattığını bir ilan ile duyurdu. Yarışmayı düzenlemeye aday şirketlerden teklif bekleyen hükümet, duyuruyu ‘bug bounty final edition’ şeklindeki İngilizce bir başlıkla yayınladı. Hükümet, programı teslim edeceği ‘hizmet sağlayıcı’ şirketin kritik altyapı saldırıları gibi hassas konulara odaklı bug bounty programı düzenleme yetkinliğine sahip olmasını bekliyor.
STUXNET’İN HEDEFİ OLMUŞTU
İran’ın neden bu yola başvurduğunu tahmin etmek zor değil. Sahip olduğu nükleer programının ABD ve İsrail tarafından sekteye uğratılması amacıyla kullanılan solucan yazılım Stuxnet’in hedefi olması en büyük neden. Suudi Arabistan ile İran arasında yıllardır süren yetki savaşı da bir diğer etken. İran ayrıca yalan haberler yaymak ve seçmenlere tehdit içerikli e-postalar göndermek suretiyle son ABD seçimlerine müdahale etmekle itham ediliyor.
DEVLETLERDEN GELECEK SALDIRILARA KARŞI HAZIRLIKLI OLMAK İSTİYOR
Öte yandan e-devlet hizmetleri de sunan İran, bu nedenle hem suçlulardan hem de çeşitli devletlerden gelecek olası saldırılara karşı güvende hissetmek istiyor.
ABD Hazine Bakanlığı’nın İran’a yönelik yaptırımlarla ilgili sıkça sorulan sorulara verdiği cevapta ise İranlılar arasında güvenli iletişimi kolaylaştırmak için tasarlanan yazılımların bir lisansla ihraç edilebileceğini belirtilirken, diğer yazılım ihracatlarına yönelik getirilen kapsamlı yasaklardan da bahsediliyor. Teknoloji haberleri sitesi The Register’da, bu düzenlemelerin bug bounty hizmet sağlayıcısının işini oldukça zorlaştıracağı değerlendirmesi yer aldı. Yaptırımlar İran hükümetiyle anlaşmayı engellediğinden, olası bir bug bounty programına katılmak riskli görünüyor.
İran, zaman zaman diğer ülkeler tarafından düzenlenen bug bounty programlarını kazanan güçlü bir siber topluluğa sahip.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
DarkSide fidye yazılımcıları, İran’da, kurbanlardan çalınan sızdırılmış verileri depolamak için ‘dağıtılmış depolama sistemi’ oluşturacağını iddia etti.
Fidye yazılımı çetesi, ciddi olduklarını göstermek için, bir hacker forumuna 320 bin dolar yatırdı.
DarkSide: FİDYE YAZILIMININ ÜST SEVİYESİ
DarkSide, geliştiricilerin fidye yazılımını ve ödeme sitesini kodladıkları, şirketleri veya işletmeleri hacklemek ve şirket dosyalarını şifrelemek için kullandıkları bir fidye yazılımı ‘Ransomware-as-a-Service (RaaS)’ olarak çalıştırılıyor.
DarkSide özel bir işlem olduğu için, kendi fidye yazılımını dağıtmak isteyen hackerların öncelikle erişim için kabul edilmesi gerekiyor.
Bu anlaşmanın bir parçası olarak, DarkSide fidye yazılımı geliştiricileri yüzde 10 veya yüzde 25’lik bir kesinti ücreti almanın yanı sıra, şirketlerden alınan fidye ödemelerinin yüzde 75-90’ını alıyor.
RUSÇA KONUŞAN HACKER ARANIYOR
Geçtiğimiz günlerde siber güvenlik istihbarat firması Kela, DarkSide fidye yazılımı işleticilerinin BleepingComputer internet sitesi üzerinden Rusça konuşan hacker aradığını duyurdukları bir gönderiye rastladı.
Gönderide, ‘DarkSide’ın, kurbanlardan çalınan verileri sızdırmak ve depolamak için dağıtılmış depolama sistemi üzerine çalıştıkları’ ifade edildi.
2019’un sonlarından bu yana, fidye yazılımı aracılığıyla dosyaların şifrelendiği ve ancak dosyaları şifreleyen hackerların o dosyalara bir daha erişebildiği bir sistem sayesinde kurbanlardan fidye isteyerek kazanç elde etmeyi hedefleyen hackerlara karşı siber güvenlik firmaları ve kolluk kuvvetleri veri sızdırılan siteleri kapatmaya çalışıyor.
Bu çalışmalara karşın DarkSide işleticileri ise başka bir plan uyguluyor. DarkSide işleticileri, kurbanlardan çaldıkları verileri 6 ay boyunca depolamak için İran’da dağıtılmış bir “Sürdürülebilir Depolama Sistemi” oluşturacaklarını ifade etti.
BİR SUNUCUYU ENGELLEMEK VERİLERİNİZİ SİLEMEYECEK
DarkSide işleticilerinin yaptığı açıklamada, “Bazı hedefler, onlardan indirdikleri çok sayıda veriyi yayınladıktan sonra hackerların ve diğer insanların TOR üzerinden uzun zaman boyunca indirilebileceğini düşünüyor. Biz de öyle düşünüyoruz bu yüzden bunu değiştireceğiz.” ifadeleri kullanıldı. Açıklamada “Halihazırda verileriniz için bir sürdürülebilir depolama sistemi üzerinde çalışıyoruz. Tüm verileriniz birden fazla sunucuda çoğaltılacak ve bir sunucuyu engellemek verilerinizi silemeyecek.” denildi.
Açıklamada ayrıca, “Daha önce verileri yayınlanmış olan şirketler de buraya yüklenecek, söz konusu şirketlerin verilerinin 6 ay boyunca depolanacağı da garanti edilecek. Böylelikle onların verilerini daha hızlı indirebilirsiniz.” ifadelerine yer verildi.
DarkSide işleticileri ise, “Özellikle İran veya ön planda olmayan cumhuriyetlerin sunucularını kullanacağız böylelikle onları engelleyemeyeceksiniz ve otomatik sistem ‘uygunluğu’ tespit edecek ve size indirme bir indirme linki verecek.” dedi.
DarkSide işleticilerinin ifadeleri, sizlerden çaldıkları verileri birçok sunucu arasında çoğaltacaklarını böylelikle bir sunucu engellendiğinde verileriniz diğer sunucularda erişilebilir olmaya devam edecek anlamına geliyor.
DarkSide işleticileri, kurban başına 400 bin dolar kazandıklarını iddia ettikleri faaliyetlerine katılacak yeni Rus üyelerini aradıklarını duyurdu.
İşe alım sürecinde ise, yeni üyeler bir görüşmeden geçecek. Görüşmede geliştiriciler, yeni üyelerin deneyim seviyeleri hakkında sorular soracak.
‘Darksupp’ olarak bilinen DarkSide işleticilerinden birinin hesabındaki 20 bitcoinin görüntüsü
Ryug, Egregor ve diğer fidye yazılımı işlemlerinden farklı olarak DarkSide, tıp, eğitim, kar amacı gütmeyen kuruluşlar ve hükümetlere saldırmayacaklarını bildirdi. DarkSide işleticilerinin bu sözlerini tutup tutmayacağı henüz bilinmiyor.
DarkSide işleticileri, ABD’deki büyük şirketlere erişimi olan hackerlara da 400 bin dolar harcamaya istekliler. DarkSide çetesi, iddialarının gerçekçi olduğunu göstermek için foruma bugünün değerleriyle yaklaşık 320 bin dolar değerinde 20 bitcoin yatırdı.
Yatırılan bitcoinler daha sonra yazılım, hizmet veya bilgi satın almaları için diğer üyelere de aktarılabilir. Bu zenginlik gösterisi ise REvil’in Eylül ayında aynı foruma 1 milyon dolarlık bitcoin yatırdığı işe alım kampanyasına benziyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Açık kaynaklı araçları ve bilinen açıklıkları kullanarak birden çok VPN’e sızmayı başaran Pioneer Kitten adlı bir hacker grubu son dönemde oldukça dikkat çekiyor.
Peki APT saldırıları düzenleyen bu grup kimlerle bağlantılı ve operasyonlarını nasıl yürütüyor? APT grupları kurumsal şirketlerden, hatta hükümetlerden veri sızdırmak için tasarlanmış kötü amaçlı yazılımlarla saldırı düzenleyen hacker grupları olarak biliniyor.
İran ile bağlantılı olduğundan şüphelenilen Pioneer Kitten de bir APT grubu ve hacker forumlarında kurumsal ağ kimlik bilgilerini satarken dikkatleri üzerinde topladı.
Kurumsal ağ kimlik bilgileri, diğer siber suç gruplarının ve APT’lerin siber casusluk ve diğer kötü niyetli siber faaliyetler gerçekleştirmesine izin vermekte.
İRAN HÜKÜMETİNİN ÇIKARLARINA HİZMET EDİYOR
2017’den beri aktif olan Pioneer Kitten grubu, İran hükümeti ile bağlantılı ve İran merkezli bir yapı olduğundan şüpheleniyor. Grup, temelde İran hükümetinin olası istihbarat çıkarlarına hizmet eden hassas bilgilere sahip olan kuruluşlara erişim elde etmeye ve bunu sürdürmeye odaklanmış gibi görünüyor. Grubun, hükümetin kendisi tarafından idare edilen bir yapıdan ziyade, İran hükümetini desteklemek için çalışan bir taşeron gibi faaliyet gösterdiği düşünülüyor. Pioneer Kitten’ın faaliyetleri çok sayıda İranlı düşmanla ilişkilendirilirken, CrowdStrike Intelligence’e göre bu iddiaların doğrulanmasını sağlayacak yeterli kanıt bulunmamakta.
Grubun siber suç faaliyetleri, kurbanlara ilk erişimi sağlamak için internet bağlantılı varlıklar üzerindeki uzaktan harici hizmetlerin suistimalleri ve operasyonlar sırasında tamamen açık kaynaklı araçlara dayanıyor. Hacker grubunun saldırı yöntemi ise SSH Tünelleme’ye dayanıyor. Düşman grup, özellikle CVE-2019-11510, CVE-2019-19781 ve son zamanlarda da CVE-2020-5902 dahil olmak üzere VPN’ler ve ağ cihazlarıyla ilgili istismarlarla ilgileniyor.
HEDEFTE ABD VE KANADALI ŞİRKETLER VAR
Pioneer Kitten, bu zamana kadar, İran hükümetinin olası istihbarat çıkarlarına sahip durumda olan Kuzey Amerika ve İsrailli şirketlere odaklanmış durumda.
Hedef sektörler arasında ise teknoloji, hükümet, savunma, sağlık hizmetleri, havacılık, medya, akademi, mühendislik, danışmanlık ve profesyonel hizmetler, kimya, imalat, finansal hizmetler, sigorta ve perakende bulunmakta.
ABD ve İsrail’in Stuxnet adlı bir virüsü İran’ın Natanz’daki nükleer tesisindeki santrifüjlere bulaştırmasının ardından, adı geçen tesisler bir kez daha saldırıya uğradı. Ancak istihbarat kaynakları bu kez saldırının siber saldırı olmadığını tesise sokulan bir bomba kaynaklı olduğunu ileri sürüyorlar.
İran’daki Natanz nükleer tesisinde yakın zamanda meydana gelen patlama, ülkenin nükleer programını geciktireceğe benziyor. Natanz nükleer tesisi, uranyum zenginleştirilmesi için kullanılıyordu ve İran’ın nükleer programı için hayati öneme sahipti. Bu tesisin yok edilmesi Tahran için büyük bir engel olarak görülüyor.
EurAsian Times, geçtiğimiz hafta Perşembe günü Natanz nükleer tesisinde yangın çıktığını bildirmiş, İran, bunun İsrail veya ABD tarafından yönetilen bir siber saldırı olduğunu ve misilleme yapacakları sözü vermişti.
NÜKLEER PROGRAMDA GECİKMEYE NEDEN OLACAK
ABD merkezli yayın yapan The Hill gazetesi için bir yazı kaleme alan Washington Yakın Doğu Politikası Enstitüsü’nün kıdemli araştırmacısı Simon Henderson, Natanz’daki patlamanın tesisi kullanım dışı bıraktığına ve ülkenin gelişmiş santrifüj üretme noktasında büyük ihtimalle herhangi bir alternatifi olmadığına inanıyor. Bu, İran’ın nükleer programını yıllarca olmasa bile aylarca geciktirecek gibi duruyor. Diğer ülkelerden istihbarat kaynakları da benzer tahminlerde bulunarak bir ya da iki yıllık bir gecikmeye işaret ediyorlar.
Tahran, saldırının arkasında İsrail’in olduğunu iddia etti, ancak İsrail iddialar karşısında sessizliğini koruyor. Başbakan Benyamin Netanyahu, İsrail’in İran’daki saldırıların faili olduğuna ilişkin kendisine sorulan bir soruyu yanıtsız bırakırken, Savunma Bakanı Benny Gantz “Bölgedeki her olayın arkasında ille de İsrail olacak diye bir şey yok” dedi.
Hava gücü kullanarak tesise saldırmak, Netanyahu’nun yıllardır planladığı bir şeydi, ancak bunun ABD ile ilişkilere zarar vereceği ve Tahran ile bir savaşa sebep olacağı endişesi bunu yapmasına engel olmuştu. Planlanan saldırı, İran’ın 2015 yılında Obama Yönetiminin isteğiyle Kapsamlı Ortak Eylem Planı’nı (JCPOA) imzalamasının ardından rafa kaldırılmıştı.
PATLAMA SİBER SALDIRI KAYNAKLI DEĞİL AMA MİSİLLEME SİBER OLABİLİR
Barack Obama’nın görevden ayrılması ve yerine İsrail yanlısı Donald Trump’ın gelmesiyle İsrail, İran’ın nükleer programını geliştirmesi karşısında dolambaçlı bir yola başvurdu. Düşük seviyeli bir hava saldırısı beklenirken, gizemli bir patlama meydana geldi ve saldırının arkasındaki emir komuta zincirine dair kesin bir bilgi yok.
Orta Doğu’daki istihbarat kaynaklarına göre, Natanz’daki patlama bir siber saldırının sonucu değil, tesise sokulan bir bomba neticesinde gerçekleşti. Ortaya çıkan hasar, hava saldırısı ile aynı, ancak bedeli çok daha düşük. Bombalamaya kimin ya da neyin yol açtığına dair net bir bilgi bulunmazken İran’ın, misilleme yapacak bir hedefi halihazırda bulunmuyor.
Askeri İstihbarat eski başkanı, General Amos Yadlin’e göre, Tahran’ın tek olası misilleme seçeneği siber saldırılar. İran’ın silah stoklarını yok ettiği iddia edilen İsrail saldırılarının ardından roket ve füze kullanılarak yapılacak geleneksel bir saldırı seçeneği imkansız görünüyor.
Suudi Arabistan’a karşı yapılan sofistike drone saldırıları gibi diğer seçenekler de, Tel Aviv’in bu tür saldırıları engellemek için hazırlığa sahip olması gerçeği dolayısıyla pek olası görünmüyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Venezuela üzerindeki askeri etkisini artırmayı hedefleyen İran bu kez de Venezuela askeri personeline propaganda ve iç savaş konularında eğitim veriyor. Venezuela Dış ilişkiler Temsilcisi Julio Borges, Nicolás Maduro yönetiminin Venezuela ordusu ile siviller arasındaki iletişimi daha fazla kontrol altında tutmak istediğini bildirdi. Borges, İranlı askeri danışmaların Venezuela Ulusal Silahlı Kuvvetleri (FANB) için propaganda ve devam eden iç savaşa ilişkin eğitimler düzenlediği konusunda bilgi sahibi olduklarını açıkladı. Borges, bunun Küba’nın halihazırda FANB’nin çeşitli komutalarının haberleşme ağı üzerinde kontrol sahibi olmak için gösterdiği çabaların bir parçası olduğunu ifade etti.
Bu adımla, İran Küba’nın Maduro’yu istihbarat konularında Venezuelalıları daha fazla sansürlemesi ve casusluk ve baskı içeren daha fazla mekanizmayı hayata geçirmesi noktasında destekleme faaliyetlerine katılmış oldu.
Venezuela’da İran’a ait istihbarat operasyon merkezi
Borges’ın iddiası şaşırtıcı değil. Zira mayıs ayında Maduro yönetiminin İran’ın yardımı ile hava ve deniz istihbaratını izlemek üzere Venezuela’nın kuzeyinde bir operasyon merkezi kurduğu haberleri açığa çıkmıştı.
Cumhurbaşkanlığı Güvenlik Komiseri Iván Simonovis, operasyon merkezinin Venezuela’nın kuzeybatısındaki Falcon eyaletindeki Cape San Roman’da yer alacağını açıkladı.
Karakas ve Tahran, istihbarat servislerinden, askeri teknisyenlere, yakıt sevkiyatlarından yeni bir süpermarket kurulmasına kadar geniş bir alanda iş birliği yapılan yirmi yıllık bir ittifakın tarafları.
Venezuela’da İran’a ait ilk süpermarketin kurulmasının yanı sıra, İranlı teknisyenler Maduro’ya askeri uçakların ıslahı ve geri kazanılması konusunda da destek veriyor. Ayrıca, Venezuela’da casusluk operasyonlarının yürütüldüğü bir merkez kurulması yönünde girişimler olduğu da iddia edildi.
Dünyanın en büyük trol ordusu
Nicolás Maduro yönetimi, Venezuela’yı en büyük trol ordusunun yer aldığı ülke haline getirmiş durumda. Rejimi desteklemek için kamuoyunun dezenformasyonuna ve manipülasyonuna adanmış en az 500 kişi bulunmakta.
Oxford Üniversitesi tarafında yapılan araştırmalara göre, birçok otoriter yönetimde siber propaganda bir bilgi kontrolü aracı haline gelmiş durumda. Bu, stratejik olarak gözetim, sansür ve şiddet içeren tehditlerle birlikte kullanılıyor.
Raporda ayrıca sosyal medya platformları Twitter ve Facebook’un Venezuela’yı dezenformasyon yayan devlet destekli manipülasyon operasyonlarına sahip yedi ülkeden biri olarak listelediği vurgulandı. Listede ayrıca Çin, Hindistan, İran, Pakistan, Rusya ve Suudi Arabistan da bulunuyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
