İsrail’de özel sektörü hedef alan bir dizi siber saldırının arkasında Gazze merkezli bir siber tehdit aktörü olduğu iddia edildi.
Microsoft tarafından yayımlanan bir raporda Hamas’ın çıkarlarına fayda sağladığı düşünülen bir tehdit aktörününün, İsrail’in enerji, savunma ve telekomünikasyon hizmetleri veren özel kuruluşlarını hedef aldığı bildirildi.
“HAMAS’IN ÇIKARLARINI İLERLETMEK İÇİN ÇALIŞIYOR”
Microsoft, yıllık olarak yayımladığı Dijital Savunma Raporu’nda İsrail ve Filistin arasında gerçekleşen olayların siber dünyaya da taşındığına dair örnekler verdi.
Storm-1133 adlı Gazze merkezli bir tehdit aktörünü tanımlayan Microsoft, bu grubun İsrail’de enerji, savunma ve telekomünikasyon hizmetleri veren özel kuruluşları hedef aldığını takip ettiklerini belirtti.
Raporda, “Bu grubun Gazze Şeridi’nde fiili yönetim otoritesi olan Sünni militan bir grup olan Hamas’ın çıkarlarını ilerletmek için çalıştığını değerlendiriyoruz çünkü bu gruba atfedilen faaliyetler büyük ölçüde Hamas’a düşman olarak algılanan kuruluşları etkiledi.” ifadeleri kullanıldı.
Kampanyanın hedefleri arasında İsrail enerji ve savunma sektörlerindeki kuruluşlar ile merkezi Batı Şeria bölgesinde bulunan Filistinli milliyetçi ve sosyal demokrat bir siyasi parti olan El Fetih’e sadık kuruluşlar da yer aldı.
“KİMLİK AVI VE ZARARLI YAZILIMLARLA SALDIRIYORLAR”
Tehdit aktörünün saldırısına ilişkin detaylara değinilen raporda tehdit aktörlerinin amacının “saldırı zincirleri ve sosyal mühendislik saldırıları düzenlyerek LinkedIn’de İsrailli insan kaynakları yöneticileri, proje koordinatörleri ve yazılım geliştiricileri gibi görünen sahte profillerle kimlik avı mesajları göndermek, keşif yapmak ve İsrailli kuruluşlardaki çalışanlara kötü amaçlı yazılım göndermek” olduğu belirtildi.
Microsoft, Storm-1133’ün, İsrail ile kamusal bağları olan üçüncü taraf kuruluşlara sızmaya çalıştığını da gözlemlediğini söyledi.
Rapor, İsrail, ABD ve Hindistan’daki hükûmet web sitelerini ve BT sistemlerini çökertmeyi amaçlayan Ghosts of Palestine gibi kötü niyetli hacktivist operasyonlardaki artışla birlikte İsrail-Filistin çatışmasındaki tırmanışla örtüşüyor.
Tehdit istihbarat platformu Falconfeeds de X’te (eski adıyla Twitter) paylaştığı bir gönderide “Asyalı hacktivist grupların İsrail, Hindistan ve hatta Fransa gibi ülkeleri, özellikle de ABD ile olan uyumları nedeniyle aktif olarak hedef aldığı yaklaşık 70 olay yaşandı.” ifadelerini kullandı.
İsrail Ulusal Siber Güvenlik Müdürlüğü (INCD) Başkanı Gaby Portnoy
İsrail Ulusal Siber Güvenlik Müdürlüğü (INCD) Başkanı Gaby Portnoy, ülkeye yönelik siber saldırılara karşı ulusal bir savunma sistemi mekanizması geliştirmek amacıyla “Cyber-Dome” (Siber Kubbe) oluşturacaklarını açıkladı.
EnVizon Medical’in müdürü olan, silahlı kuvvetlerde 31 yıl geçiren ve İstihbarat’ta operasyon başkanlığı da dahil olmak üzere üst düzey görevlerde bulunup ordudan tuğgeneral rütbesiyle emekli olan Gaby Portnoy, bundan yaklaşık üç ay önce Ulusal Siber Güvenlik Müdürlüğü’ne atanmıştı.
“İSRAİL’İN EKSTRA SAVUNMAYA İHTİYACI VAR”
Geçtiğimiz günlerde Tel Aviv’deki bir konferansta ilk halka açık konuşmasını gerçekleştiren Portnoy, önemli açıklamalarda bulundu. Portnoy, INCD’nin geçtiğimiz yıl yaklaşık bin 500 siber saldırıyı tespit edip alt ettiğini açıklarken ulusal siber güvenliği artırmak için “Siber Kubbe” oluşturulacağını açıkladı.
Portnoy, İran, Hizbullah ve Hamas’ın faaliyetleri sonrası siber alandaki rakiplerinin giderek arttığını belirtirken gerçekleştirilen saldırıların spektrumunun da genişlediğini, vekillere, bağımsız örgütlere ve özel kişilere yönelik saldırılarda artış gördüklerini belirtti. Tüm bu sebeplerle İsrail’in ekstra savunmaya ihtiyacı olduklarını düşündüklerini belirten Portnoy, “Siber Kubbe, ulusal siber çevrede yeni mekanizmalar geliştirerek ulusal siber güvenliği artıracak ve siber saldırılardan kaynaklanan zararı büyük ölçüde azaltacaktır.” açıklamasında bulundu.
GÜVENLİK İÇİN SİBER KUBBE TEK BAŞINA YETERLİ DEĞİL
Portnoy, “Siber Kubbe ayrıca ulusal varlıkların korunmasını geliştirmek için çeşitli araç ve hizmetler sağlayacak, ülke düzeyinde gerçek zamanlı siber saldırıların algılanmasını senkronize edecek, tehditlerin azaltılmasında kritik bir rol oynayacak.” dedi.
Siber Kubbe’nin ne zaman faaliyete geçeceği konusunda özel bir tarih belirtmeyen Portnoy, Siber Kubbe’nin tek başına İsrail devletini güvence altına almasına yeterli olmayacağını ifade etti.
‘APT-C-23’ adı ile aranan Hamas destekli bir hacker grubu, savunma, kolluk kuvvetleri ve devlet kurumlarında çalışan İsrailli yetkilileri ağına düşürmeye çalışırken yakalandı.
Saldırı, casus yazılım yerleştirmeden önce hedeflerle uzun vadeli etkileşim kurma ve sahte sosyal medya profilleri oluşturma gibi üst düzey sosyal mühendislik hilelerini içeriyor.
Bu yeni operasyona Bearded Barbie Campaign (Sakallı Barbie Operasyonu) adını veren Cybereason’daki analistlere göre, APT-C-23 ayrıca Windows ve Android cihazlar için yeni özel arka kapılar da dağıtıyor.
Tehdit aktörleri, sahte kimlikler ve çekici kadınların çalınan veya yapay zeka tarafından oluşturulan görüntülerini kullanarak birkaç sahte Facebook profili oluşturdu ve bu profiller aracılığıyla hedeflere yaklaştı. Bu profillerin gerçekmiş gibi görünmelerini sağlamak için operatörler bu profiller üzerinde aylarca çalıştılar, İbranice paylaşımlar yaptılar ve İsrail’deki grupları ve popüler sayfaları beğendiler.
SAMİMİYET OLUŞTUKTAN SONRA SOHBETİ WHATSAPP’A TAŞIMAYI TEKLİF EDİYORLAR
Bu profilleri oluşturanlar, gerçekte İsrail polisinde, savunma kuvvetlerinde, acil servislerde veya hükümette çalışan insanları hedef alan kapsamlı bir arkadaşlık ağı kurmuş oluyor. Bir süre onlarla etkileşime girerek hedefin güvenini kazandıktan sonra, rakipler sohbeti daha iyi gizlilik sağladığı için WhatsApp’a taşımayı öneriyorlar. Sohbet daha da müstehcen bir boyuta taşındığında ise tehdit aktörleri sözde daha da fazla gizlilik sağladığı gerekçesiyle Android IM uygulamasına geçiş yapıyorlar. Bu da VolatileVenom kötü amaçlı yazılımdan başkası değil.
Eş zamanlı olarak, bu sahte profil oluşturucuları, cinsel bir video içerdiği iddia edilen, ancak gerçekte BarbWire arka kapısı için bir indirici olan bir RAR dosyasına bir bağlantı gönderme yolunu seçtiler.
Başta VolatileVenom olmak üzere, sözkonusu Android kötü amaçlı yazılımı kendisini bir mesajlaşma uygulaması olarak gizliyor.
ARKA KAPI NİSAN 2020’DEN BERİ KULLANILIYOR
Cybereason, bu arka kapının en azından Nisan 2020’den bu yana APT-C-23 tarafından kullanıldığını, ancak o zamandan beri ek özelliklerle zenginleştirildiğini açıklıyor.
Ürünün ilk kez çalıştırılması ve kaydolma işlemi sırasında, uygulama sahte bir hata görüntülüyor ve kendisini cihazdan otomatik olarak kaldıracağını bildiriyor. Gerçekte ise, aşağıdaki işlevleri yerine getirerek arka planda çalışmaya devam ediyor:
Sistem tarafından oluşturulan bildirimleri devre dışı bırakma
Kurbanın cihazı Android 10 veya daha üstündeki sürümleri çalıştırıyorsa, uygulama Google Play, Chrome veya Google Haritalara ait bir simge kullanıyor. Android’in önceki sürümlerinde ise, uygulama simgesini tamamen gizliyor.
BARB(IE) VE BARBWIRE KÖTÜ AMAÇLI YAZILIMLARI
Catfish girişimlerinin bir parçası olarak, tehdit aktörleri sonunda hedefe çıplak fotoğraflar veya videolar olduğu iddia edilen bir RAR dosyası göndermekte. Ancak, bu RAR dosyası, BarbWire arka kapısının yüklenmesine neden olan Barb (ie) downloader kötü amaçlı yazılımını içeriyor.
Cybereason tarafından görülen bir Barb (ie) örneği “Windows Bildirimleri” dosya adına sahip ve başlatıldığında bir takım anti analiz denetimleri gerçekleştirmekte.
Ardından, Barb(ie) komut ve denetim sunucularına (C2) bağlanıyor ve bir sistem kimliği profili gönderirken, iki zamanlanmış görev oluşturarak süreklilik tesis ediyor. Son olarak, cihaza BarbWire arka kapısını indiriyor ve yüklüyor.
BarbWire, aşağıdakiler gibi kapsamlı yeteneklere sahip tam teşekküllü bir arka kapı olarak değerlendiriliyor:
Süreklilik
İşletim sistemi keşfi (kullanıcı adı, mimari, Windows sürümü, yüklü AV ürünleri)
Veri şifreleme
Keylogging (başka bir bilgisayarda basılan tuşları gizlice kaydetme işlemi)
Ekran görüntüsü yakalama
Ses kaydı
Ek kötü amaçlı yazılım indirme
Yerel / harici sürücüler ve dizin numaralandırma
Belirli dosya türlerini çalma ve verileri RAR formunda filtreleme
Cybereason, APT-C-23 grubunun aktif gelişimini gösterdiği en az üç farklı BarbWire varyantını örnekleyebildi.
APT-C-23, geçmişte İsrail hedeflerine yönelik birçok operasyonda kullanıldığını gördüğümüz birçok tekniği kullanıyor ancak yeni araçlar ve daha karmaşık sosyal mühendislik çabalarıyla gelişmeye devam ediyor.
Bearded Barbie Operasyonu ile önceki kampanyalar arasındaki farklılıklardan biri, grubun tespit edilmekten kaçınma konusundaki ilgisini ortaya koyan bir altyapının olmaması.
Biri Windows için diğeri Android için olmak üzere iki arka kapının kullanılması, tehdit aktörü için gerilimi daha da artıırmakta ve tehlikeye atılan hedefler için çok agresif casuslukla sonuçlanmakta.
İsrail–Filistin çatışması devam ederken İsrail ordusu, Gazze Şeridi’nde Hamas’ın siber merkezlerini barındıran iki hedefi bombaladığını duyurdu. Sosyal medya üzerinden yapılan açıklamada, ilk saldırının 14 Mayıs, ikincisinin ise 19 Mayıs tarihinde gerçekleştiği bildirildi.
İsrail Hava Kuvvetleri’nin resmi Twitter hesabından yaptığı açıklamaya göre, ilk saldırıda bir veri merkezi olarak kullanılan “Hamas askeri istihbaratına ait kuzey Gazze Şeridi’nde bir siber ekipman depolama sahası” vuruldu. İkinci hava saldırısında ise “terör örgütleri tarafından İsrailli hedeflere yönelik saldırı amaçlı siber faaliyetler için kullanılan bir sığınak apartman dairesi” vuruldu.
Hava Kuvvetleri tarafından yapılan açıklamada, “Daire, bir anaokulunun hemen dibindeydi. Bu durum Hamas terör örgütünün askeri altyapısını yoğun nüfuslu sivil alanların göbeğine yerleştirerek sivilleri kasıtlı olarak tehlikeye attığını bir kez daha kanıtladı.” ifadelerine yer verildi.
Söz konusu hava saldırıları, İsrailli askeri yetkililerin Gazze Şeridi sakinlerinden hem evlerde hem de işyerlerinde güvenlik kameralarını kapatmalarını istemesinin ardından meydana geldi. İsrail Savunma Kuvvetleri, kameraların Hamas siber casusları tarafından sivillerin veya İsrailli askerlerin hareketlerini izlemek üzere hacklenebileceğini iddia etmişti.
İsrail tarafından duyurulan iki saldırı, İsrail’in Filistin’de Hamas’a ait siber tesisler olduğu iddia edilen merkezlere yaptığı olan ikinci ve üçüncü hava saldırısı olarak kayıtlara geçmiş oldu. İlk saldırı 2019 yılının Mayıs ayında gerçekleşmişti.
Dünya çapında 300 milyon kullanıcısıyla en büyük sosyal medya platformlarının başında gelen Twitter, Hamas ve Hizbullah ile ilişkili hesapları kapattığını duyurdu. Şirketten AFP’ye yapılan açıklamada “Twitter’da hukuk dışı kurumlara ve şiddet eğilimli aşırıcı gruplara yer yoktur.” ifadeleri kullanıldı.
Filistin’in Gazze Şeridi’nde seçim ile iş başına gelen Hamas ile Lübnan’da siyasi bir parti olarak da faaliyet gösteren Hizbullah bir çok ülke tarafından terörist örgüt olarak kabul ediliyor. Ülkeler örgütlerin siyasi faaliyetleri dışında sivilleri hedef alan silahlı eylemler içerisinde bulunduğundan bu örgüt ile ilişkili kurum ve kişilere ambargo uyguluyor.
Karardan bir hafta önce bir grup Amerikalı siyasetçi Twitter’ı ABD tarafından terörist olarak kabul edilen gruplara siyasi propaganda imkanı verdiği için Twitter’ı eleştirmişti. Kapatılan hesaplar arasında Hamas’ın çeşitli dillerde yayın yapan adreslerinin yanında Hizbullah’ın yayın organı Al Manar da bulunuyor.
İlgili haber: Gelirleri azalan Twitter siyasi reklam almayacak
2014 yılında Hamas ile İsrail Ordusu arasındaki Gazze Savaşı sırasında da Hamas’a ait hesaplar Twitter tarafından kapatılmış fakat Hamas kısa bir süre sonra yeni hesaplar açabilmişti. 2018’de İsrail’in isteğiyle Hamas ve Hizbullah’a yakın 22 hesap yine kapatılmıştı.
SDG LİDERİ MAZLUM KOBANİ’YE MAVİ TIK
İsrail ve ABD’nin isteğiyle Hamas ve Hizbullah’ın yöneticilerinin, medya organlarının ve bu örgütlerle ilişkili kişi ve kurumların hesaplarını kapatan Twitter, Türkiye’nin Suriye’nin Kuzeyi’nde mücadele verdiği terör örgütü YPG’ye karşı aynı tutumu sergilemiyor.
Türkiye tarafından kırmızı bültenle aranan ve Suriye’de PKK’nın ana omurgasını oluşturduğu Suriye Demokratik Güçleri’nin (SDG) başında bulunan Mazlum Kobani’ni adına oluşturulan hesaba ‘ayrıcalıklı hesaplar’ için verdiği mavi tık özelliğini verdi.
‘Mavi onay rozeti’ olarak da bilinen mavi tik, kullanıcının kontrolündeki hesabın onaylanmış olduğu anlamına geliyor ve hesabın orijinal olduğunun bilinmesini sağlıyor.
Gerçek ismi Ferhat Abdi Şahin olan ve Şahin Cilo veya Mazlum Kobani gibi farklı kod adları bulunan örgüt lideri, PKK’nın üst düzey liderlerinden biri. Twitter’da 2019 Ekim ayında açtığı hesabın yaklaşık 90 bin takipçisi bulunuyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
