İran‘ın batı ülkelerindeki kritik altyapıyı hackleme planlarını ortaya koyduğu iddia edilen beş gizli belge açığa çıktı. Bir siber saldırının bir kargo gemisini batırmak veya bir benzin istasyonunda yakıt pompasını havaya uçurmak için nasıl kullanılabileceğine dair gizli araştırmaları ortaya koyan ve İran kaynaklı olduğu iddia edilen gizli belgeler ele geçirildi.
Sky News tarafından elde edilen belgeler, küresel taşımacılık sektörü tarafından kullanılan uydu iletişim cihazları ve dünya genelindeki akıllı binalarda aydınlatma, ısınma ve havalandırma gibi sistemleri kontrol eden bilgisayar tabanlı bir sistem hakkında bilgi içeriyor.
Belgeler, İngiltere, Fransa ve Amerika Birleşik Devletleri de dahil olmak üzere Batı ülkelerindeki şirketlerin ve faaliyetlerin araştırılmasına özel ilgi gösterildiğini ortaya koyuyor.
GİZLİ BELGELER İSLAM DEVRİM MUHAFIZLARI İLE BAĞLANTILI
Toplam 57 sayfadan oluşan beş araştırma raporu hakkında bilgi veren bir güvenlik uzmanı, bu belgelerin İran İslam devrim Muhafızları Ordusu’na bağlı Siber Komutanlığının bir bölümü olan Shahid Kaveh adlı gizli, saldırgan bir siber birim tarafından derlendiğini ileri sürüyor.
Söz konusu kaynak, raporların İran’ın gelecekteki siber saldırılar için hedef belirlemekte kullanılabilecek sivil altyapı hakkında istihbarat toplama çabalarının kanıtı olduğuna inandığını söyledi. Kimliğini açıklamak istemeyen kaynak, “Uygun gördükleri zaman kullanılmak üzere hedeflere ilişkin bir veri bankası oluşturuyorlar” dedi. Londra’daki İran Büyükelçiliği ise iddialarla ilgili yorum talebine cevap vermedi.
İngiltere de dahil olmak üzere giderek artan sayıda ülke, siber silahlara sahip ve yeni saldırı yetenekleri geliştirmek için çalışıyor. Bu çalışmalar genellikle çok gizli bir şekilde yürütülüyor. Bu nedenle, bir devlet tarafından siber araştırma iddiasıyla belgelenmiş böylesi araştırmaları görmek son derece sıra dışı olarak değerlendiriliyor.
Sosyal medya platformu Facebook, bir süredir sosyal mühendislikle hedeflerine zararlı yazılım bulaştırmaya çalışan İranlı hackerlara karşı harekete geçti.
Geçtiğimiz günlerde Facebook’un siber istihbarat birimi ve güvenlik araştırmacıları, İranlı hackerlara karşı harekete geçtiklerini belirten bir açıklama yayımladı. Hackerların Facebook’u aktif bir şekilde kullandığı belirtilirken hackerların kullandığı yöntemler de deşifre edildi.
FACEBOOK’UN RADARINA GİRDİ
Orta Doğu’da etkin bir şekilde faaliyet gösteren ve Tortoiseshell olarak bilinen İranlı hacker grubu, son zamanlarda operasyonlarını ABD ve Avrupa’ya doğru genişletmişti. Facebook üzerinden hedeflerine ulaşmaya ve zararlı yazılım dağıtmaya çalışan grup en sonunda Facebook’un radarına girdi.
Tortoiseshell, Suudi Arabistan’daki çeşitli kurumların IT sağlayıcılarına yönelik düzenlediği tedarik zinciri saldırılarıyla gündeme gelmişti. Toplam 11 kuruma yönelik düzenlediği saldırıda binlerce cihaza Backdoor.Syskit adı verilen zararlı yazılımı bulaştıran Tortoiseshell, siber güvenlik şirketlerinin dikkatini çektikten sonra yapılan araştırmalar neticesinde 2018’den beri faaliyet gösterdiği tespit edilmişti.
Orta Doğu üzerindeki faaliyetlerini daha geniş bir alana yaymaya çalışan İranlı hacker grubu, daha sonra hedefleri arasına ABD ve Avrupa’yı koymuştu. ABD’deki eski ordu mensuplarına yönelik sahte bir iş arama sitesi kuran ve birçok cihaza zararlı yazılım bulaştıran Tortoiseshell, Avrupa’da savunma ve havacılık endüstrisinde faaliyet gösteren şirketlerin çalışanlarına yönelik zararlı yazılım operasyonları yürütmüştü.
HACKER GRUBUNUN YÖNTEMLERİ DEŞİFRE EDİLDİ
Facebook’un açıklamasında, “İran’daki bir grup bilgisayar korsanına karşı, platformumuzu kötüye kullanma, zararlı yazılım dağıtma ve başta Amerika Birleşik Devletleri olmak üzere internet üzerinden casusluk operasyonları yürütme yeteneklerini engellemek için aldığımız önlemleri paylaşıyoruz.” ifadeleri yer aldı.
Sosyal medya platformu Facebook’u sosyal mühendislik için kullanan grubun, sahte profiller oluşturduktan sonra hedefledikleri insanların güvenini kazanarak zararlı yazılım içeren bağlantılara tıklamaları için insanları yönlendirdiği ortaya konulurken, oluşturulan sahte profillerin güvenilir kılınması için diğer sosyal medya platformlarında da aynı isimlerde profiller oluşturdukları ve kendilerini, hedefledikleri kişilerin ülkelerindeki çeşitli savunma ve havacılık şirketlerinde görev alan kişiler olarak tanımladıkları belirtildi.
Birçok ülkede kimlik avı saldırıları düzenleyen grup, gerek yasal olan işe alım sitelerinin alan adlarına çok benzeyen siteler oluşturarak gerekse de büyük e-posta sağlayıcılarının alan adlarını taklit ederek çeşitli ülkelerdeki savunma ve havacılık endüstrisinde faaliyet gösteren şirketlerdeki çalışanların kimlik bilgilerini çalmaya çalıştığı belirtildi.
İRAN DEVRİM MUHAFIZLARI İLE BAĞLANTILARI OLABİLİR
Birçok farklı yöntem ve taktik kullanan İranlı grubun hedeflerinin cihazlarına zararlı yazılımlar, truva atları ve keyloggerlarla erişmeye çalıştıkları belirtilirken, İranlı hacker grubunun kullandığı zararlı yazılımın İran Devrim Muhafızları (IRGC) ile bağlantılı bilişim şirketi Mahak Rayan Afraz (MRA) tarafından geliştirildiği ortaya konuldu. Mevcut ve eski MRA yöneticilerinin Washington yönetiminin onayladığı ABD’li şirketlerle bağı olduğu da Facebook’un raporunda yer aldı.
FACEBOOK GRUBA YÖNELİK ÖNLEMLERİNİ ALDI
İranlı hacker grubu Tortoiseshell hakkında bulgularını çeşitli kurum ve kuruluşlarla da paylaşan Facebook, Tortoiseshell tarafından zararlı yazılım barındıran alan adlarının Facebook üzerinden paylaşılmasının engellendiğini, sahte profillerin hesaplarının kapatıldığını ve grup tarafından hedeflenen kişileri de bilgilendirdiğini açıkladı.
Şu ana dek grubun hükümet destekli olup olmadığı ise bilinmiyor.
İran devletine bağlı hareket eden bir hacker grubu, gerçekleştirdiği bir sosyal mühendislik saldırısı ile hassas bilgilere ulaşmak için düşünce kuruluşlarını, gazetecileri ve profesörleri hedef aldı.
Grup üyeleri Londra SOAS Üniversitesi olarak bilinen University of London’s School of Oriental and African Studies’in akademisyenleri gibi davranarak kurbanlarını hedef aldı.
Kurumsal güvenlik firması Proofpoint, “Operation SpoofedScholars” adı verilen saldırının APT35 (FireEye), Charming Kitten (ClearSky) ve Phosphorous (Microsoft) takma adlarıyla da bilinen “TA453” adlı gelişmiş kalıcı tehditle bağlantılı olduğunu bildirdi. Devlete bağlı siber savaş grubunun İslam Devrim Muhafızları Birliği (IRGC) adına istihbarat çabaları yürüttüğünden şüpheleniliyor.
Araştırmacıların Hacker News ile paylaştıkları bilgiye göre tespit edilen hedefler arasında düşünce kuruluşları, Ortadoğu uzmanları, ünlü akademik kuruluşlar, kıdemli profesörler ve Ortadoğu konusunda uzmanlaşmış gazeteciler bulunuyor.
İngiliz akademisyenler gibi davranan saldırganlar son derece seçici bir şekilde belirlenen kurbanlarının Google, Microsoft, Facebook ve Yahoo’dan çeşitli kimlik bilgilerini elde etmek için tasarlanmış bir linke tıklamalarını sağlamayı amaçlıyordu. Söz konusu link, kurbanları sözde çevrimiçi bir konferansa kaydolmaya yönlendiriyordu.
Linke meşru ve gerçek bir hava katmak için Londra SOAS Üniversitesi Radyosu’na ait gerçek fakat gizliliği ihlal edilmiş bir web sitesi üzerinde “kimlik bilgilerini avlama altyapısı” oluşturuldu.
Araştırmacılar, TA453’ün kötü amaçlı bağlantıları sağlamaya yönelik olarak SOAS’a bağlı meşru kuruluşları gibi davranan girişimlerden faydalanmak suretiyle kimlik bilgisi toplama girişiminin güvenilirliğini artırdığını söylüyor. Ayrıca TA453’ün hedefteki kişilerin webinara, grup çevrimiçi iken kayıt olmaları yönünde ısrarcı olması, saldırganların elde edilen kimlik bilgilerinin doğrulanmasını manuel olarak yaptıkları ihtimalini güçlendiriyor. Saldırıların, grubun daha sonraki e-posta kimlik avı taktiklerini değiştirmeden önce, Ocak 2021 tarihinde başladığına inanılıyor.
Bu, tehdit aktörlerinin gerçekleştirdiği ilk kimlik avı saldırısı değil. Bu mart ayının başlarında Proofpoint, İsrail ve ABD’de genetik, nöroloji ve onkoloji araştırmalarında uzmanlaşmış üst düzey tıp uzmanlarını hedef alan bir “BadBlood” kampanyasını açığa çıkardı.
ÜNİVERSİTEYE BAĞLI RADYONUN WEB SİTESİNİ KULLANDILAR
Londra SOAS Üniversitesi Sözcüsü, Hacker News’e yaptığı açıklamada şu değerlendirmelerde bulundu.
“Hackerlerın akademisyen gibi davranmak üzere Gmail hesapları oluşturduğunu ve hedefledikleri kişilerden veri toplamak için sahte bir site oluşturduğunu görüyoruz. Bu sahte sayfa, SOAS merkezli bağımsız bir çevrimiçi radyo istasyonu ve prodüksiyon şirketi olan SOAS Radio’nun web sitesine yerleştirildi. Web sitesi resmi SOAS web sitesinden ayrıdır ve akademik alanlarımızın hiçbirinin bir parçası değildir. Hedefin SOAS’IN kendisi değil, dışarıdan bireyler olduğunu anlıyoruz. SOAS’taki akademik personelin bu saldırı süreciyle bir ilgisi bulunmamaktadır ve de SOAS personeli tarafından yapılan herhangi bir eylem veya açıklama saldırganların bu şekilde davranmasına yol açmamıştır. Ayrıca herhangi bir SOAS personeli tarafından siber güvenliğin ihlal edildiğine dair bir bilgi bulunmamaktadır. Sahte sitenin oluşturulmasıyla ilgili olarak, SOAS’tan hiçbir kişisel bilgi alınmadı ve veri sistemlerimizin hiçbiri (personel ve öğrenci kayıtları, finansal bilgiler, e-postalar vb.) ne bu olaya dahil oldu ne de bu saldırıdan etkilendi. Ana sistemlerimizin siber güvenliği sağlam durumdadır ve amacına uygun şekilde devam etmektedir. Bu yılın başlarında sahte sitenin farkına varır varmaz güvenlik ihlalini hemen giderdik. Bunun nasıl gerçekleştiğini gözden geçirdik ve bu tür çevresel sistemlerin korunmasını daha da geliştirmek için adımlar attık.”
ABD’nin haziran ayının sonlarında İran’ın destek verdiği 36 web sitesine dezenformasyon ve propaganda suçlamasıyla el koyması ifade özgürlüğü ve devlet egemenliğinin ihlaline ilişkin yeni bir tartışma başlattı.
22 Haziran’da ABD Adalet Bakanlığı yaptığı açıklama ile 36 websitesinin kontrolünü ele geçirdiğini duyurdu. İran İslami Radyo ve Televizyon Birliği (IRTVU) Iraklı Şii paramiliter grubu Haşdi Şabi’nin bir parçası olan Hizbullah Tugaylarına (Kata’ib Hizballah) ait web sitelerine yönelik operasyon mahkeme kararıyla ve ABD yaptırımlarının ihlal edildiği gerekçesiyle yapıldı.
Kapatılan web sitelerinin medya organizasyonu görünümü altında İran hükümetinin emrinde çalıştıkları dezenformasyon ve etki operasyonları ile ABD’yi hedef aldıkları ifade edildi.
ABD, IRTVU’yu geçtiğimiz yıl İran Devrim Muhafızlarının özel kuvvetler gücü olan Kudüs Gücü tarafından kontrol edildiği gerekçesiyle yaptırımların kapsamına dahil etmişti. Kuruma yönelik suçlamalar arasında ABD Başkanlık Seçimlerinde Amerikalı seçmenleri yönlendirme amaçlı online dezenformasyon kampanyası yürütme de bulunuyor.
Amerikan kolluk kuvvetleri daha önce de dark web’deki siber suç forumları ile ilişkili olan web sitelerini ele geçirmişti.
GEREKÇE ABD’DEN DOMAİN HİZMETİ ALMAK
Yaptırım kapsamında yer alan kurumların özel bir lisansa (OFAC lisansı) sahip olmadan ABD’den web site ve domain hizmetleri de dahil olmak üzere herhangi bir hizmet almaları yasak. IRTVU’nun kontrolünde olan 33 web sitesinin bir ABD’li firmadan domain hizmeti aldığı fakat bu kurumun OFAC lisansına sahip olmadığı belirlendi.
İran devletinin sahibi olduğu İngilizce yayın Press TV ve Arapça yayın yapan Al-Alam TV başta olmak üzere birçok İran bağlantılı web sitesine girenler, sitenin FBI ve ABD Ticaret Bakanlığı tarafından ele geçirildiğini gösteren bildirile karşılaştı. Kapatılan web sitelerinin bir kısmı açıkça İran propagandası yapsa da Press TV gibi medya kurumlarının da operasyondan etkilenmesi dikkat çekti. İngilizce yayın yapan ve daha çok dış politika konularına yer veren Press TV geçtiğimiz günlerde İran ile P5+1 ülkeleri arasındaki nükleer müzakerelere katılmış diplomatlar ile röportajlar yayınlamıştı.
Amerikan dış politikasını eleştiren bir tutum sergileyen Press TV, daha önce de Google, Instagram ve Twitter gibi platformlarda benzer sansür uygulamalarına maruz bırakıldığını açıklamışı.
DEVLET EGEMENLİĞİ İHLALİ SAYILIR MI?
Beyrut merkezli yayın yapan Al-Masirah sitesi de ABD tarafından ele geçirilen web siteleri arasında yer alıyor. Al-Masirah, Yemen’de faaliyet gösteren İran destekli Huti milisleri lehine yayınlar yapıyordu. ABD’nin üçüncü bir ülkede yayın yapan web sitesini ele geçirerek yayınlarını terör propagandası yapması gerekçesiyle durdurması başka bir devletin egemenlik alanındaki siber bir varlığa operasyon yapmasının ne kadar hukuki olduğuna dair soru işaretlerini de gündeme getirdi.
Öte yandan Haşdi Şabi’nin bir kolu olan Hizbullah Tugayları’nın yönetimindeki 3 web sitesi de ABD tarafından benzer gerekçelerle ele geçirildi. İran’ın Irak’ta faaliyet gösteren Haşdi Şabi’ye destek verdiği biliniyor. Irak’ta konuşlu Koalisyon Güçleri ve Irak güvenlik güçlerini hedef alan terör saldırılarını düzenleyen Haşdi Şabi, ABD tarafından 2009 yılında yaptırım listesine eklenmişti. Hizbullah Tugayları’na ait web sitelerinin de ABD’li bir firmadan domain hizmeti aldığı tespit edildi.
