Siber güvenlik firması Rapid7’nin olay müdahale ekibi, İran Yurt İçi İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlı APT grubu MuddyWater’ın, Chaos ransomware’i gerçek operasyonel hedeflerini gizlemek ve saldırı atıfını zorlaştırmak amacıyla araç olarak kullandığını tespit etti.
Rapid7 araştırmacıları Alexandra Blia ve Ivan Feigl, başlangıçta sıradan bir fidye yazılımı vakası olarak değerlendirilen saldırıyı derinlemesine incelediğinde teknik kanıtların İran’ın devlet destekli MuddyWater grubuna işaret ettiğini belirledi. Kullanılan zararlı yazılımlar ve sertifikalar, grubun bilinen araç setleriyle örtüşüyor; saldırıda kullanılan altyapı ise daha önce Mart ayında Orta Doğu ve Kuzey Afrika’daki kuruluşları hedef alan başka bir MuddyWater kampanyasıyla ilişkilendirilmişti.
Saldırı nasıl gerçekleşti?
Tehdit aktörleri, ilk erişim için Microsoft Teams üzerinden sosyal mühendislik taktiklerine başvurdu. Dış sohbet istekleriyle çalışanlara ulaşan hackerlar, birebir görüşmeler başlattı ve kurbanlarla ekran paylaşımı oturumu kurarak VPN yapılandırmasına ilişkin dosyalara eriştikten sonra kullanıcıları kimlik bilgilerini girmeye yönlendirdi. Sisteme daha derin sızmak amacıyla uzaktan yönetim aracı da konuşlandıran saldırganlar, ardından çalınan verileri yayımlamakla tehdit eden toplu e-postalar gönderdi. Araştırmacılar, fidye sürecinin oldukça hantal işlediğini; ancak şirketin gerçek olduğunu doğruladığı verilerin kamuoyuyla paylaşıldığını aktarıyor. Dosya şifrelemesinin yapılmamış olması, olayın gerçek bir fidye yazılımı saldırısı olmadığını gösteren kritik bir tutarsızlık olarak öne çıkıyor.
Devlet aktörleri için yeni bir perde: Fidye yazılımı
Araştırmacılar, bu olayın devlet destekli saldırı faaliyetleri ile siber suç yöntemlerinin giderek iç içe geçtiğini gözler önüne serdiğini vurguluyor. Rapid7’ye göre MuddyWater, atıf riskini azaltmak ve makul inkâr edilebilirlik payı elde etmek amacıyla Chaos markasına yönelmiş olabilir. Nitekim grubun geçen yıl İsrail’deki bir kuruluşa yönelik saldırıda Qilin ransomware ekosistemiyle ilişkilendirildiği, bu bağlantının ifşa olmasının ardından farklı bir platforma geçiş yapıldığı düşünülüyor.
Konu yalnızca İran ile sınırlı değil. Çin, Rusya ve Kuzey Kore’nin devlet destekli gruplarının da hizmet olarak fidye yazılımı (RaaS) modelini casusluk operasyonlarını örtbas etmek ya da rakipleri sekteye uğratmak amacıyla kullandığı bilinmektedir. FBI daha önce İranlı aktörlerin NoEscape, Ransomhouse ve AlphV fidye yazılımı operasyonlarıyla ortaklık kurarak fidye ödemelerinden pay aldığını açıklamıştı.
