İsrail’in siber güvenlik alanında attığı adımları, şirketlerin yeni ürünlerini ve hükümet politikaları ile ilgili haberlere bu bölümden ulaşabilirsiniz.
İsrailli siber güvenlik firması Cellebrite grubunun dijital istihbarat şirketi Mobilogy’e ait olduğu iddia edilen veritabanı yayımlandı
Dark Web forumlarında yayımlanan bir mesajda siber tehdit unsurları, şirketi hackleyerek elde ettiğini öne sürdüğü yaklaşık 4 TB büyüklüğündeki verileri paylaştı.
İsrail Ulusal Siber Güvenlik Müdürlüğü (INCD) Başkanı Gaby Portnoy
İsrail Ulusal Siber Güvenlik Müdürlüğü (INCD) Başkanı Gaby Portnoy, ülkeye yönelik siber saldırılara karşı ulusal bir savunma sistemi mekanizması geliştirmek amacıyla “Cyber-Dome” (Siber Kubbe) oluşturacaklarını açıkladı.
EnVizon Medical’in müdürü olan, silahlı kuvvetlerde 31 yıl geçiren ve İstihbarat’ta operasyon başkanlığı da dahil olmak üzere üst düzey görevlerde bulunup ordudan tuğgeneral rütbesiyle emekli olan Gaby Portnoy, bundan yaklaşık üç ay önce Ulusal Siber Güvenlik Müdürlüğü’ne atanmıştı.
“İSRAİL’İN EKSTRA SAVUNMAYA İHTİYACI VAR”
Geçtiğimiz günlerde Tel Aviv’deki bir konferansta ilk halka açık konuşmasını gerçekleştiren Portnoy, önemli açıklamalarda bulundu. Portnoy, INCD’nin geçtiğimiz yıl yaklaşık bin 500 siber saldırıyı tespit edip alt ettiğini açıklarken ulusal siber güvenliği artırmak için “Siber Kubbe” oluşturulacağını açıkladı.
Portnoy, İran, Hizbullah ve Hamas’ın faaliyetleri sonrası siber alandaki rakiplerinin giderek arttığını belirtirken gerçekleştirilen saldırıların spektrumunun da genişlediğini, vekillere, bağımsız örgütlere ve özel kişilere yönelik saldırılarda artış gördüklerini belirtti. Tüm bu sebeplerle İsrail’in ekstra savunmaya ihtiyacı olduklarını düşündüklerini belirten Portnoy, “Siber Kubbe, ulusal siber çevrede yeni mekanizmalar geliştirerek ulusal siber güvenliği artıracak ve siber saldırılardan kaynaklanan zararı büyük ölçüde azaltacaktır.” açıklamasında bulundu.
GÜVENLİK İÇİN SİBER KUBBE TEK BAŞINA YETERLİ DEĞİL
Portnoy, “Siber Kubbe ayrıca ulusal varlıkların korunmasını geliştirmek için çeşitli araç ve hizmetler sağlayacak, ülke düzeyinde gerçek zamanlı siber saldırıların algılanmasını senkronize edecek, tehditlerin azaltılmasında kritik bir rol oynayacak.” dedi.
Siber Kubbe’nin ne zaman faaliyete geçeceği konusunda özel bir tarih belirtmeyen Portnoy, Siber Kubbe’nin tek başına İsrail devletini güvence altına almasına yeterli olmayacağını ifade etti.
Pegasus casus yazılımı skandalı nedeniyle tartışılan İsrailli siber güvenlik firması, yeniden yapılanma müzakerelerinde ABD’li teknoloji firması L3Harris ile anlaşmaya yakın olduğu bildirildi.
Intelligence Online internet sitesinin haberine göre NSO’ya talip olan şirket satın alma konusunda yapılan görüşmelerde İsrailli firmayla birçok konuda mutabakata vardı.
Pegasus casus yazılımının otoriter hükümetler tarafından siyasetçileri, muhalifleri ve aktivistleri takip etmek için kullanıldığı ortaya çıkmasının ardından şirket gelirlerini önemli ölçüde kaybetmişti.
Daha sonra FBI yetkilileri de programı denemek için Pegasus yazılımını satın aldığını kabul etmişti.
Savunma elektroniği ve haberleşme firması L3Harris’in bu adımı, ABD’nin siber diplomaside etkin olma çabasının örneklerinden biri olarak değerlendiriliyor.
‘APT-C-23’ adı ile aranan Hamas destekli bir hacker grubu, savunma, kolluk kuvvetleri ve devlet kurumlarında çalışan İsrailli yetkilileri ağına düşürmeye çalışırken yakalandı.
Saldırı, casus yazılım yerleştirmeden önce hedeflerle uzun vadeli etkileşim kurma ve sahte sosyal medya profilleri oluşturma gibi üst düzey sosyal mühendislik hilelerini içeriyor.
Bu yeni operasyona Bearded Barbie Campaign (Sakallı Barbie Operasyonu) adını veren Cybereason’daki analistlere göre, APT-C-23 ayrıca Windows ve Android cihazlar için yeni özel arka kapılar da dağıtıyor.
Tehdit aktörleri, sahte kimlikler ve çekici kadınların çalınan veya yapay zeka tarafından oluşturulan görüntülerini kullanarak birkaç sahte Facebook profili oluşturdu ve bu profiller aracılığıyla hedeflere yaklaştı. Bu profillerin gerçekmiş gibi görünmelerini sağlamak için operatörler bu profiller üzerinde aylarca çalıştılar, İbranice paylaşımlar yaptılar ve İsrail’deki grupları ve popüler sayfaları beğendiler.
SAMİMİYET OLUŞTUKTAN SONRA SOHBETİ WHATSAPP’A TAŞIMAYI TEKLİF EDİYORLAR
Bu profilleri oluşturanlar, gerçekte İsrail polisinde, savunma kuvvetlerinde, acil servislerde veya hükümette çalışan insanları hedef alan kapsamlı bir arkadaşlık ağı kurmuş oluyor. Bir süre onlarla etkileşime girerek hedefin güvenini kazandıktan sonra, rakipler sohbeti daha iyi gizlilik sağladığı için WhatsApp’a taşımayı öneriyorlar. Sohbet daha da müstehcen bir boyuta taşındığında ise tehdit aktörleri sözde daha da fazla gizlilik sağladığı gerekçesiyle Android IM uygulamasına geçiş yapıyorlar. Bu da VolatileVenom kötü amaçlı yazılımdan başkası değil.
Eş zamanlı olarak, bu sahte profil oluşturucuları, cinsel bir video içerdiği iddia edilen, ancak gerçekte BarbWire arka kapısı için bir indirici olan bir RAR dosyasına bir bağlantı gönderme yolunu seçtiler.
Başta VolatileVenom olmak üzere, sözkonusu Android kötü amaçlı yazılımı kendisini bir mesajlaşma uygulaması olarak gizliyor.
ARKA KAPI NİSAN 2020’DEN BERİ KULLANILIYOR
Cybereason, bu arka kapının en azından Nisan 2020’den bu yana APT-C-23 tarafından kullanıldığını, ancak o zamandan beri ek özelliklerle zenginleştirildiğini açıklıyor.
Ürünün ilk kez çalıştırılması ve kaydolma işlemi sırasında, uygulama sahte bir hata görüntülüyor ve kendisini cihazdan otomatik olarak kaldıracağını bildiriyor. Gerçekte ise, aşağıdaki işlevleri yerine getirerek arka planda çalışmaya devam ediyor:
Sistem tarafından oluşturulan bildirimleri devre dışı bırakma
Kurbanın cihazı Android 10 veya daha üstündeki sürümleri çalıştırıyorsa, uygulama Google Play, Chrome veya Google Haritalara ait bir simge kullanıyor. Android’in önceki sürümlerinde ise, uygulama simgesini tamamen gizliyor.
BARB(IE) VE BARBWIRE KÖTÜ AMAÇLI YAZILIMLARI
Catfish girişimlerinin bir parçası olarak, tehdit aktörleri sonunda hedefe çıplak fotoğraflar veya videolar olduğu iddia edilen bir RAR dosyası göndermekte. Ancak, bu RAR dosyası, BarbWire arka kapısının yüklenmesine neden olan Barb (ie) downloader kötü amaçlı yazılımını içeriyor.
Cybereason tarafından görülen bir Barb (ie) örneği “Windows Bildirimleri” dosya adına sahip ve başlatıldığında bir takım anti analiz denetimleri gerçekleştirmekte.
Ardından, Barb(ie) komut ve denetim sunucularına (C2) bağlanıyor ve bir sistem kimliği profili gönderirken, iki zamanlanmış görev oluşturarak süreklilik tesis ediyor. Son olarak, cihaza BarbWire arka kapısını indiriyor ve yüklüyor.
BarbWire, aşağıdakiler gibi kapsamlı yeteneklere sahip tam teşekküllü bir arka kapı olarak değerlendiriliyor:
Süreklilik
İşletim sistemi keşfi (kullanıcı adı, mimari, Windows sürümü, yüklü AV ürünleri)
Veri şifreleme
Keylogging (başka bir bilgisayarda basılan tuşları gizlice kaydetme işlemi)
Ekran görüntüsü yakalama
Ses kaydı
Ek kötü amaçlı yazılım indirme
Yerel / harici sürücüler ve dizin numaralandırma
Belirli dosya türlerini çalma ve verileri RAR formunda filtreleme
Cybereason, APT-C-23 grubunun aktif gelişimini gösterdiği en az üç farklı BarbWire varyantını örnekleyebildi.
APT-C-23, geçmişte İsrail hedeflerine yönelik birçok operasyonda kullanıldığını gördüğümüz birçok tekniği kullanıyor ancak yeni araçlar ve daha karmaşık sosyal mühendislik çabalarıyla gelişmeye devam ediyor.
Bearded Barbie Operasyonu ile önceki kampanyalar arasındaki farklılıklardan biri, grubun tespit edilmekten kaçınma konusundaki ilgisini ortaya koyan bir altyapının olmaması.
Biri Windows için diğeri Android için olmak üzere iki arka kapının kullanılması, tehdit aktörü için gerilimi daha da artıırmakta ve tehlikeye atılan hedefler için çok agresif casuslukla sonuçlanmakta.
İran destekli ‘Open Hands’ adlı bir hacker grubu, Mossad Başkanı David Barnea’ya ait olduğu iddia edilen 2020 maaş ve vergi belgelerini yayınladı ve sordu: ‘Yeni belgelerinizi karınızın eski telefonuna mı gönderiyorlar?’
İsimsiz bir Telegram kanalı, diğer kişisel bilgileri ve fotoğrafları içeren bir video yayınlamasından birkaç gün sonra Mossad başkanı David Barnea’ya ait olduğu iddia edilen başka belgeler yayınladı.
İbranice yayın yapan bir medya kuruluşu tarafından yayınlanan kaynağı belirtilmeyen haberlere göre, Barnea’nın karısına ait eski bir telefon, İran’la bağlantılı grup tarafından saldırıya uğradı. Haberlere göre telefonda devletin milli güvenliğine zarar verebilecek hassas bir bilgi bulunmuyor.
Cumartesi günü, “Open hands” grubuna ait Telegram kanalı, 2020’den itibaren Barnea’nın ücret ve vergilerine ait bilgilerin yer aldığı belgeleri yayınladı ve söz konusu bilgilerin “yeni” olduğunu iddia etti. Grup ayrıca bir Telegram mesajında şunları sordu:
“Görünüşe göre Mossad’ın maaş bordroları başkanın karısının ‘ESKİ TELEFONUNDA’ bulunabilir! Bay Bernea, YENİ belgelerinizi karınızın eski telefonuna mı gönderiyorlar?? Sızıntının sadece karınızın eski telefonundan kaynaklandığına emin misiniz?”
YILLIK MAAŞ VE VERGİ BİLGİLERİ DE AÇIĞA ÇIKTI
Belgeler, Barnea’nın Başbakanlıktan aldığı yıllık maaş ve vergi bilgilerinin beyan edildiği Form 106’ya işaret ediyor. Başbakanlıktan yeni belgeler hakkında henüz bir açıklama gelmedi.
Çarşamba günü Open Hands, birkaç kişisel fotoğraf, Barnea adına düzenlenmiş bir uçak bileti, kimlik kartı, karısına hitaben düzenlenmiş vergi belgeleri ve Hod Hasharon’un merkezindeki özel evi olduğunu iddia ettiği yerin uydu görüntülerini gösteren bir video yayınladı.
Görünüşe göre özel bir görüntülü sohbet sırasında Barnea’nın mimik hareketleri yaptığı bir klip de videoda görülüyor.
Başbakanlık Ofisi, çarşamba günü Mossad adına yaptığı açıklamada, Barnea’nın telefonunun hacklenmediğini ve daha fazla ayrıntıya girmeden “söz konusu materyallerin eski olduğunu” belirtti.
Open Hands bilgilerin kaynağını açıklamadı ancak bir takım İbranice medya organlarında çıkan haberler İran’a işaret ediyordu. İran İslam Devrim Muhafızları Birliği ile bağlantılı bir web sitesi olan Nour News de sızıntının ayrıntılarını yayınladı.
İRANLI HACKERLARIN KİŞİSEL BİLGİLERİ YAYINLAMASI İLK DEĞİL
İran’la bağlantılı bir hacker grubu olan Black Shadow, geçen yıl bir İsrail hosting şirketini hedef aldı, bir dizi web sitesini geçici olarak kapattı ve İsrailli bir LGBT arkadaşlık sitesi olan “Atraf” dan kullanıcı verilerini çaldı. Daha sonra bir takım veriler yayınladı.
Black Shadow ayrıca 2020’de İsrailli sigorta şirketi Shirbit’ten büyük miktarda bilgi çalmış ve firma fidye ödemeyi reddettiğinde karanlık web’de satmıştı.
Pazartesi akşamı, İsrail hükümetine ait web siteleri, basında çıkan haberlerle İran’a da bağlı olduğu iddia edilen büyük bir siber saldırı nedeniyle bir saatten fazla bir süre boyunca erişime kapatıldı. İsrailli yetkililer daha önce İran’ı 2020’de İsrail’in su sistemini hacklemeye çalışmakla suçlamıştı.
