İsrail’in savaş ortamında siber güvenlik açığını kapatmak için uzmanları ülkeye çağırdığı bildirildi.
İsrailli vatandaşların iddialarına göre Filistin’i destekleyen bir grup siber hacktivist, bir yanda Zoom üzerinden ders dinleyen çocukların ekranına silahlı adam görüntüsü koyarken diğer yandan da bir reklam panosuna roket görüntüleri ve yanan İsrail bayrağı koydu.
Her iki iddia da doğrulanamasa da İsrailli bilgi güvenliği uzmanları, hacktivist faaliyetlerdeki artış nedeniyle İsrailli şirketlere ücretsiz siber güvenlik hizmetleri sağlamak için bir araya geldi.
ZOOM YARDIM TEKLİF ETTİ
Paylaşılan bir görüntüdeki iddiaya göre İsrailli çocuklar Zoom üzerinden öğretmenlerini dinlerken, ekranda silahlı bir adamın görüntüsü belirdi. Paylaşılan bir başka videoda ise İsrail’in orta kesimindeki Holon kentinde bir reklam panosunda roket görüntüleri ve yanan bir İsrail bayrağı gösteriliyordu.
Okul olayındaki ekran görüntüsü, siber güvenlik şirketi Sepio’nun CEO’su Yossi Appleboum tarafından sağlandı. Appleboum, ekran görüntüsünü çocukların aileleriyle doğrudan temas hâlinde olan bir kişi aracılığıyla aldığını söyledi.
Zoom ise yaptığı açıklamada, kesintiyi yaşamalarından “derin üzüntü” duyduğunu ve İsrail’deki okulların uzaktan öğretime devam etmesini sağlamak için yardım teklif ettiğini belirtti.
Hacklenen reklam panosunun videosu ise ilk olarak 12 Ekim sabahı Telegram üzerinden paylaşıldı.
İsrail merkezli bir siber güvenlik firması olan Check Point, reklam panosunun “Hamas yanlısı ve İsrail karşıtı içerikle” hacklenen bu tür en az iki kamusal ekrandan biri olduğunu söyledi. Buna rağmen sadece videonun çekildiği yerin Holon olduğunu doğrulanabildi.
FİLİSTİNLİ HACKTIVIST GRUPTAN SABOTAJ GİRİŞİMİ
İsrail’in teknoloji sektörü, ülkenin genelinde olduğu gibi, birçok profesyonelin askerlik görevine çağrılması nedeniyle değişim içinde. Bu değişim ise hacktivistler için yeni açık kapılar bıraktı.
Filistin halkını desteklediklerini iddia eden bir grup hacktivist, sabotaj girişimlerinde bulundu. Çeşitli şirketlere yönelik saldırılar gerçekleşti ve bazı bilgiler çalındı.
Bunun yanı sıra birçok İsrailli bilgi güvenliği uzmanı İsrail’e yardım etmek için bir araya geldi.
Bu kişilerden bir tanesi olan ve İsrailli siber güvenlik uzmanları için popüler bir Facebook grubu yöneten Profero’nun CEO’su Omri Segev Moyal, Filistinli gruplara karşı dijital eylem çağrısı yapan birkaç gönderiyi kaldırdığını söyledi.
‘APT-C-23’ adı ile aranan Hamas destekli bir hacker grubu, savunma, kolluk kuvvetleri ve devlet kurumlarında çalışan İsrailli yetkilileri ağına düşürmeye çalışırken yakalandı.
Saldırı, casus yazılım yerleştirmeden önce hedeflerle uzun vadeli etkileşim kurma ve sahte sosyal medya profilleri oluşturma gibi üst düzey sosyal mühendislik hilelerini içeriyor.
Bu yeni operasyona Bearded Barbie Campaign (Sakallı Barbie Operasyonu) adını veren Cybereason’daki analistlere göre, APT-C-23 ayrıca Windows ve Android cihazlar için yeni özel arka kapılar da dağıtıyor.
Tehdit aktörleri, sahte kimlikler ve çekici kadınların çalınan veya yapay zeka tarafından oluşturulan görüntülerini kullanarak birkaç sahte Facebook profili oluşturdu ve bu profiller aracılığıyla hedeflere yaklaştı. Bu profillerin gerçekmiş gibi görünmelerini sağlamak için operatörler bu profiller üzerinde aylarca çalıştılar, İbranice paylaşımlar yaptılar ve İsrail’deki grupları ve popüler sayfaları beğendiler.
SAMİMİYET OLUŞTUKTAN SONRA SOHBETİ WHATSAPP’A TAŞIMAYI TEKLİF EDİYORLAR
Bu profilleri oluşturanlar, gerçekte İsrail polisinde, savunma kuvvetlerinde, acil servislerde veya hükümette çalışan insanları hedef alan kapsamlı bir arkadaşlık ağı kurmuş oluyor. Bir süre onlarla etkileşime girerek hedefin güvenini kazandıktan sonra, rakipler sohbeti daha iyi gizlilik sağladığı için WhatsApp’a taşımayı öneriyorlar. Sohbet daha da müstehcen bir boyuta taşındığında ise tehdit aktörleri sözde daha da fazla gizlilik sağladığı gerekçesiyle Android IM uygulamasına geçiş yapıyorlar. Bu da VolatileVenom kötü amaçlı yazılımdan başkası değil.
Eş zamanlı olarak, bu sahte profil oluşturucuları, cinsel bir video içerdiği iddia edilen, ancak gerçekte BarbWire arka kapısı için bir indirici olan bir RAR dosyasına bir bağlantı gönderme yolunu seçtiler.
Başta VolatileVenom olmak üzere, sözkonusu Android kötü amaçlı yazılımı kendisini bir mesajlaşma uygulaması olarak gizliyor.
ARKA KAPI NİSAN 2020’DEN BERİ KULLANILIYOR
Cybereason, bu arka kapının en azından Nisan 2020’den bu yana APT-C-23 tarafından kullanıldığını, ancak o zamandan beri ek özelliklerle zenginleştirildiğini açıklıyor.
Ürünün ilk kez çalıştırılması ve kaydolma işlemi sırasında, uygulama sahte bir hata görüntülüyor ve kendisini cihazdan otomatik olarak kaldıracağını bildiriyor. Gerçekte ise, aşağıdaki işlevleri yerine getirerek arka planda çalışmaya devam ediyor:
Sistem tarafından oluşturulan bildirimleri devre dışı bırakma
Kurbanın cihazı Android 10 veya daha üstündeki sürümleri çalıştırıyorsa, uygulama Google Play, Chrome veya Google Haritalara ait bir simge kullanıyor. Android’in önceki sürümlerinde ise, uygulama simgesini tamamen gizliyor.
BARB(IE) VE BARBWIRE KÖTÜ AMAÇLI YAZILIMLARI
Catfish girişimlerinin bir parçası olarak, tehdit aktörleri sonunda hedefe çıplak fotoğraflar veya videolar olduğu iddia edilen bir RAR dosyası göndermekte. Ancak, bu RAR dosyası, BarbWire arka kapısının yüklenmesine neden olan Barb (ie) downloader kötü amaçlı yazılımını içeriyor.
Cybereason tarafından görülen bir Barb (ie) örneği “Windows Bildirimleri” dosya adına sahip ve başlatıldığında bir takım anti analiz denetimleri gerçekleştirmekte.
Ardından, Barb(ie) komut ve denetim sunucularına (C2) bağlanıyor ve bir sistem kimliği profili gönderirken, iki zamanlanmış görev oluşturarak süreklilik tesis ediyor. Son olarak, cihaza BarbWire arka kapısını indiriyor ve yüklüyor.
BarbWire, aşağıdakiler gibi kapsamlı yeteneklere sahip tam teşekküllü bir arka kapı olarak değerlendiriliyor:
Süreklilik
İşletim sistemi keşfi (kullanıcı adı, mimari, Windows sürümü, yüklü AV ürünleri)
Veri şifreleme
Keylogging (başka bir bilgisayarda basılan tuşları gizlice kaydetme işlemi)
Ekran görüntüsü yakalama
Ses kaydı
Ek kötü amaçlı yazılım indirme
Yerel / harici sürücüler ve dizin numaralandırma
Belirli dosya türlerini çalma ve verileri RAR formunda filtreleme
Cybereason, APT-C-23 grubunun aktif gelişimini gösterdiği en az üç farklı BarbWire varyantını örnekleyebildi.
APT-C-23, geçmişte İsrail hedeflerine yönelik birçok operasyonda kullanıldığını gördüğümüz birçok tekniği kullanıyor ancak yeni araçlar ve daha karmaşık sosyal mühendislik çabalarıyla gelişmeye devam ediyor.
Bearded Barbie Operasyonu ile önceki kampanyalar arasındaki farklılıklardan biri, grubun tespit edilmekten kaçınma konusundaki ilgisini ortaya koyan bir altyapının olmaması.
Biri Windows için diğeri Android için olmak üzere iki arka kapının kullanılması, tehdit aktörü için gerilimi daha da artıırmakta ve tehlikeye atılan hedefler için çok agresif casuslukla sonuçlanmakta.
Filistin’i gözetlemeye olanak tanıyan Google-İsrail projesine karşı çıkan Google çalışanına işten çıkması yönünde baskı yapıldığı ortaya çıktı.
Son yıllarda iş uygulamaları ve iş yeri koşulları nedeniyle giderek artan Google ve çalışanlar arasındaki tartışmalar, yaşanan son gelişmeyle birlikte yeniden gündeme geldi.
Google’ın Yahudi bir çalışanı, İsrail ordusuyla yapılması planlanan Nimbus projesini eleştirmesi nedeniyle mobbinge uğradığını belirtti. Bunun üzerine 500’ü aşkın çalışan meslektaşlarının arkasında olduğunu belirttiği bir mektup kaleme aldı.
İSRAİL FİLİSTİN’İ DAHA ÇOK GÖZETLEYEBİLECEK
Son yıllarda taciz, iş uygulamaları ve iş yeri koşulları nedeniyle Google ve çalışanlar arasında geçen tartışmalar, Yahudi bir çalışanın, Google ve Amazon Web Service’in İsrail ordusuyla yapılması planlanan 1,2 milyar dolarlık “Project Nimbus” adlı bulut teknolojisi anlaşmasını eleştirmesi nedeniyle yeniden alevlendi.
Uzun süreli bir proje olan Nimbus Projesi, İsrail için veri merkezleri kurmak, hükümete ve orduya bulut hizmetleri için altyapı sağlamak gibi amaçları içeriyor.
Proje, İsrail’in Gazze’ye saldırıp yaklaşık 250 kişinin ölümüne açtığı hafta gündeme gelmiş ve yüzlerce Google çalışanı bir mektup yayımlayarak Google’ı Filistin’le dayanışmaya, İsrail ordusuyla bağları kesmeye çağırmıştı. Twitter’da DropNimbus hesabını açan çalışanlar ayrıca bu projenin İsrail’in mevzilerini genişleteceğini ve Filistin’in daha kolay gözetlenebilir hâle getireceğini vurgulamıştı.
Nimbus Projesi’ni eleştiren ve 6 yıldır Education for Google biriminde Latin Amerika’dan sorumlu olan Ariel Koren ise bundan dolayı kendi yöneticisinin mobbingine maruz kaldığını iddia etti.
“YA BREZİLYA’YA GİT YA DA POZİSYONUNU KAYBET”
Koren, yöneticisiyle normal bir şekilde yapacakları rutin bir toplantıya gireceğini düşünerek katıldığı görüşmeye yöneticisinin “Ya Brezilya’ya gidersin ya da pozisyonunu kaybedersin.” dediğini kaydetti.
Kendisine Brezilya’ya gitmek için 17 iş günü olduğu belirtilen Koren, “Çok tuhaf ve gaddardı” ifadelerini kullandı.
Bunun üzerine Koren, Google’a kendisine misilleme yapıldığını belirten bir şikâyet mektubu kaleme alsa da Google, herhangi bir misilleme olmadığına kanaat getirdi.
GOOGLE ÇALIŞANLARINDAN KOREN’E DESTEK
Koren’e destek veren 500’ü aşkın Google çalışanı, kamuoyuna yönelik imza toplayarak yayımladıkları mektupta, “Çalışanlar, özellikle insan haklarını ihlal eden etik olmayan sözleşmeler üzerinde çalışırken işlerini kaybetme korkusu olmadan emeklerinin nasıl kullanıldığı hakkında konuşma hakkına sahiptir.” ifadelerine yer verdi.
Hâlihazırda San Francisco’da yaşayan Koren, Nimbus Projesi’ni eleştirmeden önce böyle bir şeyin başına gelmediğini eleştirdikten sonra da okların kendisine döndüğünü anlattı. Çalışanların mektubuyla ilişkiliyse Koren, “Google’ın İsrail ordusu ve hükûmetiyle yaptığı sözleşmenin, Google çalışanları tarafından yaratılması beklenen teknolojiyle Filistinlilere doğrudan zarar vereceği açık, bu nedenle de çalışanlar Google’ı bu sözleşmeyi iptal etmeye çağırıyorlar.” ifadelerini kullandı.
GOOGLE VE ÇALIŞANLAR ARASINDAKİ ÇATIŞMA BÜYÜYOR
Google’da geçtiğimiz senelerden beri çeşitli tartışmalar sürüyor ve çalışanlar hak taleplerini çeşitli platformlarda dile getiriyorlar. Daha önce bir müdürün kadın çalışanı taciziyle başlayan tartışmalar, hakkında cinsel taciz iddiaları bulunan başka bir yöneticiyle devam etmiş, Google’sa bu yöneticiye sadece para cezası vermişti. Google’ın bu tutumunu eleştiren çalışanlarsa kendilerine sendika kurup Google içinde hak arama mücadelesi başlatmıştı.
Etik olmayan çalışan sözleşmeleriyle devam eden süreçten sonra Nimbus Projesi’ne karşı çıkılan mektupla beraber Google’da tartışmalar yeniden alevlenmiş ve çalışanlar Google’ın tutumunu oldukça yanlış bulmuştu.
İsrail–Filistin çatışması devam ederken İsrail ordusu, Gazze Şeridi’nde Hamas’ın siber merkezlerini barındıran iki hedefi bombaladığını duyurdu. Sosyal medya üzerinden yapılan açıklamada, ilk saldırının 14 Mayıs, ikincisinin ise 19 Mayıs tarihinde gerçekleştiği bildirildi.
İsrail Hava Kuvvetleri’nin resmi Twitter hesabından yaptığı açıklamaya göre, ilk saldırıda bir veri merkezi olarak kullanılan “Hamas askeri istihbaratına ait kuzey Gazze Şeridi’nde bir siber ekipman depolama sahası” vuruldu. İkinci hava saldırısında ise “terör örgütleri tarafından İsrailli hedeflere yönelik saldırı amaçlı siber faaliyetler için kullanılan bir sığınak apartman dairesi” vuruldu.
Hava Kuvvetleri tarafından yapılan açıklamada, “Daire, bir anaokulunun hemen dibindeydi. Bu durum Hamas terör örgütünün askeri altyapısını yoğun nüfuslu sivil alanların göbeğine yerleştirerek sivilleri kasıtlı olarak tehlikeye attığını bir kez daha kanıtladı.” ifadelerine yer verildi.
Söz konusu hava saldırıları, İsrailli askeri yetkililerin Gazze Şeridi sakinlerinden hem evlerde hem de işyerlerinde güvenlik kameralarını kapatmalarını istemesinin ardından meydana geldi. İsrail Savunma Kuvvetleri, kameraların Hamas siber casusları tarafından sivillerin veya İsrailli askerlerin hareketlerini izlemek üzere hacklenebileceğini iddia etmişti.
İsrail tarafından duyurulan iki saldırı, İsrail’in Filistin’de Hamas’a ait siber tesisler olduğu iddia edilen merkezlere yaptığı olan ikinci ve üçüncü hava saldırısı olarak kayıtlara geçmiş oldu. İlk saldırı 2019 yılının Mayıs ayında gerçekleşmişti.
