Sosyal medya platformu Facebook, bir süredir sosyal mühendislikle hedeflerine zararlı yazılım bulaştırmaya çalışan İranlı hackerlara karşı harekete geçti.
Geçtiğimiz günlerde Facebook’un siber istihbarat birimi ve güvenlik araştırmacıları, İranlı hackerlara karşı harekete geçtiklerini belirten bir açıklama yayımladı. Hackerların Facebook’u aktif bir şekilde kullandığı belirtilirken hackerların kullandığı yöntemler de deşifre edildi.
Kolay Erişim
FACEBOOK’UN RADARINA GİRDİ
Orta Doğu’da etkin bir şekilde faaliyet gösteren ve Tortoiseshell olarak bilinen İranlı hacker grubu, son zamanlarda operasyonlarını ABD ve Avrupa’ya doğru genişletmişti. Facebook üzerinden hedeflerine ulaşmaya ve zararlı yazılım dağıtmaya çalışan grup en sonunda Facebook’un radarına girdi.
Tortoiseshell, Suudi Arabistan’daki çeşitli kurumların IT sağlayıcılarına yönelik düzenlediği tedarik zinciri saldırılarıyla gündeme gelmişti. Toplam 11 kuruma yönelik düzenlediği saldırıda binlerce cihaza Backdoor.Syskit adı verilen zararlı yazılımı bulaştıran Tortoiseshell, siber güvenlik şirketlerinin dikkatini çektikten sonra yapılan araştırmalar neticesinde 2018’den beri faaliyet gösterdiği tespit edilmişti.
Orta Doğu üzerindeki faaliyetlerini daha geniş bir alana yaymaya çalışan İranlı hacker grubu, daha sonra hedefleri arasına ABD ve Avrupa’yı koymuştu. ABD’deki eski ordu mensuplarına yönelik sahte bir iş arama sitesi kuran ve birçok cihaza zararlı yazılım bulaştıran Tortoiseshell, Avrupa’da savunma ve havacılık endüstrisinde faaliyet gösteren şirketlerin çalışanlarına yönelik zararlı yazılım operasyonları yürütmüştü.
HACKER GRUBUNUN YÖNTEMLERİ DEŞİFRE EDİLDİ
Facebook’un açıklamasında, “İran’daki bir grup bilgisayar korsanına karşı, platformumuzu kötüye kullanma, zararlı yazılım dağıtma ve başta Amerika Birleşik Devletleri olmak üzere internet üzerinden casusluk operasyonları yürütme yeteneklerini engellemek için aldığımız önlemleri paylaşıyoruz.” ifadeleri yer aldı.
WhatsApp’tan Hindistan’da dezenformasyona karşı kritik hamle: İki milyondan fazla hesap engellendi
Sosyal medya platformu Facebook’u sosyal mühendislik için kullanan grubun, sahte profiller oluşturduktan sonra hedefledikleri insanların güvenini kazanarak zararlı yazılım içeren bağlantılara tıklamaları için insanları yönlendirdiği ortaya konulurken, oluşturulan sahte profillerin güvenilir kılınması için diğer sosyal medya platformlarında da aynı isimlerde profiller oluşturdukları ve kendilerini, hedefledikleri kişilerin ülkelerindeki çeşitli savunma ve havacılık şirketlerinde görev alan kişiler olarak tanımladıkları belirtildi.
Birçok ülkede kimlik avı saldırıları düzenleyen grup, gerek yasal olan işe alım sitelerinin alan adlarına çok benzeyen siteler oluşturarak gerekse de büyük e-posta sağlayıcılarının alan adlarını taklit ederek çeşitli ülkelerdeki savunma ve havacılık endüstrisinde faaliyet gösteren şirketlerdeki çalışanların kimlik bilgilerini çalmaya çalıştığı belirtildi.
İRAN DEVRİM MUHAFIZLARI İLE BAĞLANTILARI OLABİLİR
Birçok farklı yöntem ve taktik kullanan İranlı grubun hedeflerinin cihazlarına zararlı yazılımlar, truva atları ve keyloggerlarla erişmeye çalıştıkları belirtilirken, İranlı hacker grubunun kullandığı zararlı yazılımın İran Devrim Muhafızları (IRGC) ile bağlantılı bilişim şirketi Mahak Rayan Afraz (MRA) tarafından geliştirildiği ortaya konuldu. Mevcut ve eski MRA yöneticilerinin Washington yönetiminin onayladığı ABD’li şirketlerle bağı olduğu da Facebook’un raporunda yer aldı.
FACEBOOK GRUBA YÖNELİK ÖNLEMLERİNİ ALDI
İranlı hacker grubu Tortoiseshell hakkında bulgularını çeşitli kurum ve kuruluşlarla da paylaşan Facebook, Tortoiseshell tarafından zararlı yazılım barındıran alan adlarının Facebook üzerinden paylaşılmasının engellendiğini, sahte profillerin hesaplarının kapatıldığını ve grup tarafından hedeflenen kişileri de bilgilendirdiğini açıkladı.
Şu ana dek grubun hükümet destekli olup olmadığı ise bilinmiyor.