Edinilen bilgiler arasında dünya çapında izlerini sürülen Hintli, Rus ve Birleşik Arap Emirlikleri’nden kiralık hacker firma ve aktörlerinin ekosistemleri ve kampanyalarına dair edindikleri istihbarat verileri bulunuyor.
TAG ekibi, söz konusu aktörlerin kampanyalarında kullandığı birçok alan adını da Güvenli Tarama’ya eklediklerini bildirdi.
KİRALIK HACK FİRMALARI NASIL ÇALIŞIYOR?
“Kiralık hack” firmaları veya aktörleri, çeşitli gözetim araçları satan şirketlerin aksine saldırıları kendileri gerçekleştiriyor. Gerek çeşitli güvenlik zafiyetlerinden yararlanarak gerekse de oltalama (phishing) yöntemiyle saldırılarını gerçekleştiren aktörlerin hedefleri de çeşitlilik gösteriyor.
Dünya çapında insan hakları savunucularından siyasilere, gazetecilerden yüksek profilli kişileri hedef tahtasına koyarak kampanyalarını yürüten bu aktörler, Kıbrıs’ta bir bilişim şirketinden Nijerya’daki eğitim kurumuna, Balkanlar’daki finans teknolojisi şirketinden İsrail’deki bir alışveriş şirketine kadar geniş bir yelpazede faaliyet gösteriyor.
Söz konusu aktörlerden kimisi hizmetlerini girişken bir şekilde herkese açıkça tanıtırken, kimi aktörlerde daha ihtiyatlı bir şekilde sınırlı kitlelere hizmet veriyor.
HACKLEME KAMPANYALARI
Google’ın Tehdit Analiz Grubu’nun kiralık hack ekosistemi ve kampanyalarına dair çeşitli örnekler sunarak paylaştığı raporda ise Hindistan, Rusya ve Birleşik Arap Emirlikleri’nden kiralık hack aktörleri yer alıyor.
HİNDİSTAN
TAG’ın 2012’den bu yana takip ettiği Hintli kiralık hack aktörleri, çeşitli kimlik avı saldırılarıyla Suudi Arabistan, Birleşik Arap Emirlikleri ve Bahreyn’deki hükûmet, sağlık ve telekom sektörünü hedef alıyor. Söz konusu aktörlerin gerçekleştirdiği kampanyalar belirli devlet kuruluşlarını hedeflemenin ötesinde AWS ve Gmail hesaplarını ele geçirmeye kadar uzanıyor.
1) AWS oltalama maili
2) AWS oltalama sayfası
TAG, söz konusu aktörleri, Appin ve Belltrox’un eski çalışanlarıyla ve kurumsal casusluğu hizmet olarak sunan ve yeni bir firma olan Rebsec’le ilişkilendirdi.
RUSYA
TAG, 2017 yılında gerçekleşen ve yolsuzluklarla mücadele eden gazetecinin hedef olduğu bir kimlik avı kampanyasını araştırırken keşfettiği, birçok gazeteciyi, Avrupa’daki politikacıları, çeşitli STK’ları ve kâr amacı gütmeyen kuruluşları hedef alan bir kiralık aktöre raporunda yer verdi. Söz konusu aktör “Void Balaur” olarak bilinirken hiçbir kuruluşa bağlı olmayan, Rusya ve çevre ülkelerden sıradan vatandaşları da hedef aldığı belirtildi.
Oltalama ve kimlik avı saldırılarıyla hedeflerine ulaşmaya çalışan aktörün, herkese açık bir internet sitesi aracılığıyla hesap hackleme yeteneklerinin reklamını yaptığı da keşfedildi.
3) Aktörün 2018 yılına ait reklamı
BİRLEŞİK ARAP EMİRLİKLERİ
TAG, paylaştığı raporda Birleşik Arap Emirlikleri’nde faaliyet gösteren ve çoğunlukla Orta Doğu ve Kuzey Afrika üzerindeki kişi ve kuruluşları hedef alan kiralık hack grubunu da paylaştı.
4) Google kimlik avı sayfası
Söz konusu aktör hükûmet kurumları, eğitim sektörü, Avrupa’daki Orta Doğu odaklı STK’ları ve Filistin siyasi partisi Fetih dâhil siyasi kuruluşları hedef alıyor. Söz konusu aktörün gerçekleştirdiği kampanyaları Uluslararası Af Örgütü de daha önce paylaşmıştı.
ALAN ADLARI GÜVENLİ TARAMA’YA EKLENDİ
Söz konusu tehdit aktörleriyle mücadele kapsamında TAG, kiralık hack aktörlerinin kullandığı alan adlarını paylaşarak bunların Güvenli Tarama’ya eklendiğini belirtti.
Bunun yanı sıra TAG, ilgili detayları kolluk kuvvetleriyle paylaştığını belirterek hedef olabilecek kitlelere karşı farkındalığı artırmanın bir yolu olarak bulgularını paylaşmaya devam edeceklerini duyurdu.
