ABD’nin İran ile yapılan nükleer anlaşmadan çekilmesinin ardından iki taraf arasındaki siber çekişmenin seyri merak edilirken Tahran cephesinden önemli bir hamle geldi.
İran Bilgi ve İletişim Teknolojileri Bakanı Azari Cahromi yaptığı açıklamada, ülkenin kritik altyapılarını hedef alan siber saldırıları durdurabilecek bir ‘siber savunma kalkanı’ geliştirdiklerini açıkladı.
Bakan ‘İranlı genç bilim insanlarının’ nükleer santrallerin de içinde bulunduğu tesislerin çalışmasını sabote etmek amacıyla geliştirilen kötücül yazılımları durduracak bir ‘siber savunma kalkanını’ başarıyla test ettiğini söyledi.
HAMANEY’İN ÇAĞRISININ ARDINDAN GELDİ
Siber Savunma Kalkanını açıklamasının, İran Dini Lideri Ayetullah Hamaney’in 28 Nisan’da yaptığı siber alanın güvenliğini sağlamak için gerekli adımların atılmasının önemi üzerinde durduğu konuşmasının ardından gelmesi dikkat çekti.
Bakan Cahromi, öncesinde İran kaynaklı mobil uygulamaların da Apple telefonlarda kullanılmayacağı kararı almıştı. Medyaya sızan bilgilere göre de, Ulusal Sanal Alan Merkezi bünyesinde bir sene önce siber tehditlerle nasıl mücadele edileceğine dair senaryolar üreten bir çalışma grubu kurulmuştu.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Shadow Brookers adlı hacker grubunun geçtiğimiz yıllarda NSA’nın hackleme araçlarını kamuoyuna sızdırmasına benzer bir olay daha yaşandı.
APT34, Oilrig ya da HelixKitten olarak bilinen İran’ın elit siber casusluk grubuna ait hackleme araçları kamuoyuna sızdırıldı. Açığa çıkarılan korsanlık araçları, 2017’de sızdırılan NSA araçları kadar karmaşık olmasa da tehlikeli bir durum arz ediyor.
Mart ayının ortasından itibaren sızdırılan bilgiler Lab Dookhtegan takma adına sahip bir kişi tarafından Telegram kanalından yayınlanmış. Lab Dookhtegan, korsanlık araçlarının yanı sıra APT34’ün hacklenmiş bazı kurbanlarının verileri gibi görünen, çoğunlukla kimlik avı sayfalarından toplandığı tahmin edilen kullanıcı adı ve şifre kombinasyonlarını da yayınladı.
Kaspersky’de tehdit araştırmacısı olarak çalışan Alexey Firsch konuyla ilgili yaptığı çalışmanın sonuçlarını paylaştığı tweetinde Dookhtegan’ın açıkladığı 117 web shell URL’ini paylaştı.
Listede İsrail, Suudi Arabistan ve Çin gibi ülkelerin yanı sıra Türkiye’den de 3 kurumun bulunması dikkat çekti. Web shell tanımı web sunucularındaki yanlış konfigürasyonları istismar eden uygulamalar için kullanılıyor.
ZDNet, daha önce bir muhabirinin mart ortasında bir ihbar almasının ardından bu araçlardan ve kurbanların verilerinin bir kısmından haberdar olmuştu. Bir Twitter kullanıcısı, o dönemde bugün Telegram’da ortaya çıkarılan dosyalardan bazılarını paylaşmıştı. ZDNet, bu Twitter kullanıcısının Lab Dookhtegan takma adlı kişiyle aynı kişi olduğunu tahmin ediyor.
Adli Bilişim Uzmanı Halil Öztürkçi de Twitter’da Outlook Web Acess (OWA) sunucularında web shell taraması yapılması uyarısında bulundu.
66 KURUMDAN VERİ SIZDIRILMIŞ
Sızdırılan bilgiler arasında İran İstihbarat Bakanlığı için çalışan bazı kişilerin isim ve ve telefon numaraları da yer alıyor.
Bilgi sızdıran kişi ile Twitter üzerinden yapılan görüşmede, grubun DNSpionage kampanyası üzerinde çalıştığını iddia etti. Birçok siber güvenlik uzmanı, bu araçların doğruluğunu hâlihazırda onaylamış durumda. Hatta Alphabet’in siber güvenlik bölümü Chronicle, ZDNet’e konuyu teyit etti. Bugün Telegram kanalında ortaya çıkan bilgilere göre, hacker altı hackleme aracının kaynak kodunu ve kurbanların verilerinin toplandığı çeşitli aktif arka uç panellerinden gelen içeriği sızdırdı.
Sızdırılan korsan saldırı araçları şunlar:
– Glimpse (Palo Alto Networks’ün BondUpdater adını verdiği PowerShell tabanlı bir truva atının yeni sürümü)
– PoisonFrog (BondUpdater’in eski versiyonu)
– HyperShell (Palo Alto Networks’ün TwoFace olarak adlandırdığı web shell)
– HighShell (bir diğer web shell)
– Fox Panel (e-dolandırıcılık kiti)
– Webmask (DNS tünelleme, DNSpionage arkasındaki temel araç)
Bleepingcomputer.com sitesinin konuyla ilgili haberinde MisterChoc adlı güvenlik araştırmacısının yaptığı analize göre Poison Frog’un sunucu kısmının eksik olduğu ve bu şekilde çalışamayacağı ifade edildi.
Dookhtegan, yukarıdaki araçlara ait kaynak kodunun yanı sıra, APT34’ün bazı arka uç komuta ve kontrol (C&C) sunucularında toplanan kurbanlardan alınmış Telegram kanal verisine de sızmayı başardı. Chronicle’a göre, Dookhtegan toplamda, başta Orta Doğu olmak üzere Afrika, Doğu Asya ve Avrupa’dan toplam 66 hedeften veri sızdırdı.
Veriler hem devlet kurumlarından hem de özel şirketlerden alınmış. Telegram kanalında en büyük iki firma olarak Etihad Airways ve Emirates National Oil’in adları yer aldı. Mağdurların listesinin-şirket / devlet kurumu adları olmadan- burada yer aldığı belirtiliyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
İranlı siber saldırganların, İsrail Binyamin Netanyahu’nun en büyük rakibi olarak kabul edilen Benny Gantz’in telefonuna sızdığını iddia edildi.
İsrail’de seçimler yaklaştıkça bir yandan ‘seçim hackleme’ endişeleri artarken bir yandan da öne çıkan siyasilere yönelik siber operasyonlar dikkat çekiyor.
Reuters’in İsrail medyasına dayandırdığı habere göre, İsrail iç istihbarat birimi Shin Bet, siber saldırganların Başbakan Binyamin Netanyahu’nun en büyük rakibi olarak kabul edilen Benny Gantz’in telefonuna sızdığını tespit etti. Shin Bet’e göre Gantz’ın telefonunun hacklenmesindeki baş şüpheli İranlı hackerlar.
GANTZ İDDİALARI REDDETTİ
İsrail 2011-2015 yılları arasında Genelkurmay Başkanlığı yapmış olan Gantz’ın telefonunda bulunan kişisel bilgiler ve mesajların İran istihbaratının eline geçmiş olabileceği belirtiliyor.
Eski komutanın telefonunun hacklendiğini 5 hafta önce öğrendiği bilgisi verildi.
Gantz ise iddianın asılsız olduğu ve bu ‘dedikoduyu’ Netanyahu’nun çıkardığını iddia etti. Bir basın toplantısında konuşan Gantz, “Devam eden bir güvenlik olayının ortasındayız… ve aniden biri, tamamen halüsinasyonlu politik dedikodu olan bir hikaye ortaya koyuyor. Telefon hikâye değil. Bana karşı bir tehdit yoktu, orada güvenlik bilgisi yoktu ve hiçbir şekilde şantaja maruz kalmam. Birileri bir oyun oynuyor ve asıl sorunu, var olmayan bir şeye dönüştürüyor” dedi.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Bir güvenlik şirketi, İran’ın ülkedeki Kürtleri ve diğer İranlı vatandaşları hedef alan bir gözetleme operasyonu kapsamında casus yazılım kullandığını ortaya çıkardı. Operasyonun ismi, yerli yavru kedi anlamına gelen ‘Domestic Kitten’.
Kurdistan24.net internet sitesinin haberine göre, güvenlik şirketi Check Point, İran’ın sözkonusu programı 2016’dan beri koordine saldırılarda kullandığına dair kanıtlar topladı. Check Point’in açıklamasında şu ifadeler yer aldı: “Check Point’in araştırmacıları tarafından gerçekleştirilen son araştırmalar, 2016’dan beri geniş çaplı ve hedefe yönelik saldırıların gerçekleştiğini açığa çıkardı. Bugüne kadar ortaya çıkmamasının sebebi ise saldırganların hedeflerine akıllıca düşünülmüş hilelerle yaklaşmış olması.”
Saldırganların mobil uygulamaları kullandığını belirten güvenlik uzmanları, hedefteki kişiler hakkında hassas bilgiler toplamak için, kurbanları casus yazılımlarla yüklenen bu tür uygulamaları indirmeye ikna ediyorlar. Bunu yaparken de sahte ve tuzağa düşürücü içerik kullanıyorlar.
Hedefteki kurbanları Kürt ve Türk yerli halk ile IŞID taraftarları oluşturuyor. Güvenlik firması ekliyor: “Hepsinden daha ilginci ise hedefte bulunan herkesin aslında İran vatandaşı olması.”
Check Point’e göre kurbanlar ilk önce ilgilerini çekeceği düşünülen uygulamaları indirmeleri yönünde tuzağa düşürülüyor. Araştırmacılarının ortaya koyduğu bilgiye göre uygulamalar arasında IŞID markalı duvar kağıdı değiştiricisi, Kürt yanlısı haber ajansı ANF’den ‘güncelleştirmeler’ ve mesaj uygulaması Vidogram’ın sahte versiyonu bulunuyor.
Zararlı yazılım, kurbanın mobil cihazında kayıtlı ‘kişiler’ listesi, telefon konuşma kayıtları, SMS mesajları, tarayıcı geçmişi ve yer imleri, kurbanın konumları, fotoğrafları, etraftaki ses kayıtları da dahil olmak üzere çeşitli verileri toplayabiliyor.
Kürt muhalif partilerinden birinin kıdemli bir üyesi, İran devletinin Kürtleri casus yazılım kullanarak hedef aldığını doğruladı. İran Kürdistanı Demokrat Partisi (PDKI) üyesi Loghman H. Ahmadi Kurdistan 24’e yaptığı açıklamada “Özellikle Telegram ve Viber gibi mesajlaşma platformları üzerinden casus yazılım kullanan İranlıların sayısında artış var. İran ayrıca Kürt siyasi partiler hakkında yazan web sitelerindeki farklı dosyalara casus yazılım yerleştiriyor. İnsanlar bu dosyaları indirip başkalarına iletebiliyor ve böyle yaparak cep telefonlarını ve bilgisayarlarını tehlikeye atıyorlar Biz insanları arkadaşlarından ya da ailelerinden gelmiş bile olsa dosyaları ya da mesajları açmamaları konusunda uyarıyoruz .”
Casus yazılımın yanı sıra İran’ın İngilizce yayın yapan sahte sosyal medya hesaplarının da sayısını artırdığını söyleyen bir yetkili, bu hesapların İran’ın Kürt halkına yönelik şiddeti artırdığında ya da İran’ın uluslararası arenada baskı altında kaldığında aktif hale geldiğini ileri sürüyor. Yetkiliye göre bu hesaplarda yer alan yazılar ABD ve Avrupa’daki İranlı lobicilerle aynı argümanları kullanıyor.
ABD İran’a yönelik yaptırımlarını sürdürürken, ülkedeki hackerler Bitcoin’i güvence altına almak için fidye yazılım üzerinde çalışıyor. Fidye yazılımı bir kullanıcının programa yeniden giriş yapabilmesi için belirli bir tutarı ödeyene kadar bilgisayarı etkisiz hale getiren zararlı bir yazılım türü.
Hackerlerin fidye yazılımları kullanarak ödemeleri kripto para ile almak niyetinde oldukları iddia ediliyor. Zira ABD’nin ambargosunu en az hasarla atlatma girişimlerinde kripto paralar son dönemde önemli bir alternatif haline gelmiş durumda. Bu iddiayı dile getirenler ise Wall Street Journal’a açıklama yapan siber güvenlik uzmanları.
Accenture PLC’nin siber güvenlik istihbarat grubu, son iki yılda İranlıların ürettiği beş fidye yazılımı varyasyonunu takibe aldı. Accenture’daki endüstriyel siber güvenlikten sorumlu yönetici Jim Guinn’e göre, İranlı hackerler bu şekilde kripto para ödemelerini güvence altına almayı umuyor. Fidye yazılımlarının İran’la bağlantısını ortaya koyan birkaç ipucu bulunuyor. İran merkezli bilgisayarlara bağlı Farsça mesajlar bu ipuçlarından biri. Yakın tarihli bir Accenture raporu, fidye yazılımının İran hükümetinin desteklediği taraflar, suçlular veya her ikisi tarafından yönetilebileceğini ortaya koyuyor.
Fidye yazılımları San Francisco Belediyesi Ulaştırma Dairesi, Birleşik Krallık hastaneleri ve kargo gönderilerinde ödeme sistemlerini devre dışı bırakarak yıllardır hem işletmeleri hem de hükümetleri rahatsız ediyordu. Hükümet tarafından desteklenen korsanlar bazı durumlarda kurbanlardan kripto para ödemeleri elde etmişlerdi.
Bir diğer siber güvenlik firması olan CrowdStrike’ya göre, iDefense’nin keşfettiği bir tür fidye yazılımı İran hükümetiyle bağlantılı. CrowdStrike, Tyrant adlı yazılımın, İran vatandaşlarının hükümetin vatandaşların özel hayatını takip etmesinin önüne geçecek yazılımları indirmelerini engellemek için geliştirildiğini belirtti.
Palo Alto Networks Inc. ve Symantec Corp da geçtiğimiz ay İran’la bağlantılı iki veri hırsızlığı operasyonunu ortaya koyan raporlar yayınlamıştı.
Bilgisayarları kripto para madenciliği yapmak için işleme gücünden mahrum bırakan kripto madencilik yazılımı ile de İran arasında bağlantı tespit edilmişti.
Accenture, Orta Doğu müşteri ağlarına kurulmuş, İran’a işaret eden dijital ipuçları ile donatılmış, bir kripto madencilik yazılımına dikkat çekti.
Guinn’e göre kripto madencilik yazılımı Orta Doğu’daki doğalgaz ve petrol tesislerinde sorun yaratıyor. Geçen yıl milyonlarca dolarlık hesaplama döngüsünün çalındığını tahmin ediyor.
İran hükümeti ise iddiaları reddetti. Siber saldırılara katılmadığını açıklayan hükümet, bunun bir korsanlık vakası olduğunu iddia etti. ABD ve İsrail tarafından on yıl önce başlatılan Stuxnet adlı bir siber saldırı, İran’ın nükleer programı için uranyum zenginleştirme santrifüjlerini devre dışı bırakmıştı. İran hükümet yetkilileri ve güvenlik araştırmacılarına göre, ülke bu olaylardan sonra kendi siber yeteneklerini geliştirmeye odaklandı.
IronNet Cybersecurity Inc.’in CEO’su ve ABD Siber Komutanlığı ve Ulusal Güvenlik Dairesi eski müdürü Keith Alexander, kripto madenciliğinin ve hırsızlığın nakit sıkıntısı çeken ülkelerin hızlı kâr elde etmesinin bir yolu olduğunu söyledi. Geçtiğimiz yıllarda da nükleer programından dolayı ABD’nin yaptırım uyguladığı Kuzey Kore tüm dünyayı etkileyen WannaCry fidye yazılımını geliştirmiş ve Bitcoin elde ederek yaptırımları aşmayı denemişti.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
