Elon Musk’ın sahibi olduğu Tesla elektirikli otomobillerin şarj istasyonundan çalınmasına olanak tanıyan bir zafiyet keşfedildi.
Mysk Inc. şirketinden güvenlik araştırmacıları Tommy Mysk ve Talal Haj Bakry, bilgisayar korsanlarının akıllıca bir sosyal mühendislik hilesi kullanarak aracınızı alıp kaçmalarının ne kadar kolay olabileceğini açıklayan bir YouTube videosu yayınladı.
Wi-Fi AĞI İÇİN FLIPPER ZERO KULLANDILAR
Mysk’in videosuna göre, dünyada 50.000’den fazla bulunan Tesla şarj istasyonlarının çoğu, Tesla sahiplerinin arabalarının şarj olmasını beklerken giriş yapıp kullanabilecekleri, genellikle “Tesla Guest” adı verilen bir Wi-Fi ağı sunuyor.
Araştırmacılar, Flipper Zero adı verilen ve 169 dolarlık basit bir hackleme aracı olan bir cihaz kullanarak kendi “Tesla Guest” Wi-Fi ağlarını oluşturdular. Bir kurban ağa erişmeye çalıştığında, bilgisayar korsanları tarafından oluşturulan sahte bir Tesla giriş sayfasına yönlendiriliyor ve ardından doğrudan kopya siteden kullanıcı adı, şifre ve iki faktörlü kimlik doğrulama kodu çalınıyor.
Araştırmacılar, kendi Wi-Fi ağlarını kurmak için Flipper Zero kullanmış olsa da sürecin bu adımının Raspberry Pi, dizüstü bilgisayar veya cep telefonu gibi neredeyse tüm kablosuz cihazlarla da yapılabileceğini söylüyor.
TELEFON ANAHTARI İÇİN FİZİKSEL KARTA İHTİYAÇ YOKMUŞ
Mysk videoda, bilgisayar korsanlarının araç sahibinin Tesla hesabının kimlik bilgilerini çaldıktan sonra, bu bilgileri gerçek Tesla uygulamasına giriş yapmak için kullanabileceklerini, ancak 2FA kodunun süresi dolmadan önce bunu hızlı bir şekilde yapmaları gerektiğini açıklıyor.
Tesla araçlarının benzersiz özelliklerinden biri, araç sahiplerinin fiziksel bir anahtar kartına ihtiyaç duymadan araçlarının kilidini açmak için telefonlarını dijital bir anahtar olarak kullanabilmeleridir.
Araç sahibinin kimlik bilgileriyle uygulamaya giriş yapıldıktan sonra araştırmacılar park hâlindeki araçtan birkaç metre uzakta durarak yeni bir telefon anahtarı ayarladılar. Böylelikle araştırmacıların arabayı o anda çalmalarına bile gerek kalmadı; Tesla’nın konumunu uygulamadan takip edebilir ve daha sonra çalabilirlerdi.
Mysk, yeni bir telefon anahtarı ayarlandığında şüphelenmeyen Tesla sahibine haber bile verilmediğini söyledi. Videoya göre Tesla Model 3’ün kullanım kılavuzunda yeni bir telefon anahtarı ayarlamak için fiziksel kartın gerekli olduğu belirtilse de Mysk durumun böyle olmadığını tespit etti.
KENDİ ARACINDA DEFALARCA TEST ETTİ
Tommy Mysk bu yöntemi kendi aracında defalarca test ettiğini ve hatta daha önce araçla hiç eşleştirilmemiş sıfırlanmış bir iPhone kullandığını söyledi. Mysk her seferinde işe yaradığını iddia etti.
Mysk, videolarının sonunda Tesla’nın fiziksel anahtar kartı kimlik doğrulamasını zorunlu hâle getirmesi ve yeni bir telefon anahtarı oluşturulduğunda araç sahiplerini bilgilendirmesi hâlinde sorunun çözülebileceğini söyledi.
TESLA’DAN “SORUN YOK” CEVABI
Videoda Tommy Mysk, bu araştırma bulgusu için “Bu, sızdırılmış bir e-posta ve şifre ile bir araç sahibinin Tesla aracını kaybedebileceği anlamına geliyor.” ifadelerini kullanıyor.
Mysk ayrıca, “Kimlik avı ve sosyal mühendislik saldırıları, özellikle yapay zeka teknolojilerinin yükselişiyle birlikte günümüzde çok yaygın ve sorumlu şirketler tehdit modellerinde bu tür riskleri hesaba katmalı.” uyarısını yapıyor.
Mysk’in videoda belirttiğine göre, Mysk sorunu Tesla’ya bildirdiğinde, şirket konuyu araştırdığını ve bir sorun olmadığına karar verdiğini söylemiş.
TESLA’YI HACKLEMENİN İLK YOLU DEĞİL
Söz konusu bulgu, araştırmacıların Tesla’ları hacklemenin nispeten basit yollarını buldukları ilk sefer değil.
19 yaşındaki bir genç 2022 yılında dünya çapında 25 Teslayı hacklediğini söylemişti. Ancak söz konusu güvenlik açığı o zaman Tesla tarafından düzeltilmişti.
Aynı yıl bir güvenlik şirketiyse yüzlerce mil öteden Teslaları hacklemenin başka bir yolunu bulduğunu iddia etmişti.
Birçok finans kuruluşu, çevrimiçi bankacılık uygulamalarında belirli özelliklerin etkinleştirilmesi için çevrimiçi video doğrulamasını şart koşuyor. Peki, müşterinin güvenliği için yapılan bu işlem bizzat müşterinin zararına kullanılabilir mi? Söz konusu deepfake teknolojisi ise bu çok mümkün.
Mevcut bir görüntü veya videoda yer alan bir kişinin, yapay sinir ağları kullanarak bir başka kişinin görüntüsü ile değiştirildiği bir medya türü olan deepfake dolandırıcılar tarafından son zamanlarda oldukça sık kullanılan bir araç haline geldi.
Deepfake saldırılarının giderek daha fazla ortaya çıkması, kurumlar, finans kuruluşları, ünlüler, siyasi figürler ve hatta sıradan insanlar için tehdit ortamını önemli ölçüde yeniden şekillendiriyor. Deepfake kullanımı, ticari e-postaların ele geçirilmesi (BEC) ve kimlik doğrulama atlatma gibi saldırıları yeni boyutlara taşıyor. Birçok finans kuruluşu güvenlik adına müşterilerden görüntülü arama yoluna başvurabiliyor bu da suçlular için deepfake
Bu saldırıların başarılı olmasının birçok nedeni bulunuyor. Ancak en önemlisi kamuya açık görüntülerin sayısının, kötü niyetli aktörlerin deepfake teknolojilerini kullanarak milyonlarca sahte kimlik oluşturması için yeterli olması olarak görülüyor. Ayrıca Deepfake üretimi için kaynak kodu herkese açık durumda ve isteyen herkes tarafından kullanılabiliyor.
Suç çeteleri mevcut kara para aklama ve para kazanma planlarının etkinliğini artırmak için deepfake teknolojilerinin kullanımına başvurabiliyor.
Haber ve sosyal medya sitelerinde şüpheli SEO (arama motoru optimizasyonu) kampanyalarında (arama motoru optimizasyonu) ünlü kişilerin resimlerine rastlamak oldukça yaygın bir eğilim haline geldi. Reklamların bir şekilde seçilen ünlünün uzmanlığıyla ilgili olarak kamuya sunulduğu ve kullanıcıları yemlemek ve görsellerin altındaki linklere tıklamalarını sağlamak üzere özel olarak tasarlandığı hepimizin malumu.
DARK WEB FORUMLARININ POPÜLER TARTIŞMA KONUSU: DEEPFAKE
Bir takım reklam grupları bu tür medya içeriklerini yıllardır farklı para kazanma planlarında bir araç olarak kullanmakta. Ancak son zamanlarda bu reklamlarda ilginç gelişmelerin yanı sıra bu kampanyaları mümkün kılan teknolojilerde de bir değişim görülmekte.
Son dönemde birçok dijital medya ve SEO grubu, ünlü kişilerin deepfake modellerini oluşturmak için herkese açık olarak paylaşılan medya içeriğini kullanıyor. Bu gruplar ünlülerin ve fenomenlerin kişiliklerini onların rızası olmadan kullanmakta ve deepfake içerikleri farklı tanıtım kampanyaları için dağıtmaktadır.
Deepfake konusu yeraltı forumlarında oldukça popüler. Bu tartışma gruplarında birçok kullanıcının çevrimiçi bankacılık ve dijital finans doğrulamasını hedeflediği dikkat çekmekte. Bu hizmetlerle ilgilenen suçlular muhtemelen kurbanların kimlik belgelerinin kopyalarına hali hazırda sahipler, ancak hesapları çalmak veya oluşturmak için kurbanların videolu görüntülerine de ihtiyaç duyuyorlar. Bu noktada devreye Deepfake giriyor. Bu hesaplar daha sonra kara para aklama veya yasadışı finansal işlemler gibi kötü niyetli faaliyetler için kullanılabiliyor.
DEEPFAKE UZMANLARI ARANIYOR!
Doğrulama araç ve tekniklerini kullanan yeraltı suç saldırılarında kayda değer bir artış görülmekte. Örneğin, hesap doğrulama hizmetlerinin uzunca bir süredir mevcut olduğu biliniyor. Bununla birlikte, e-ticaret kimlik doğrulama için modern teknoloji ve çevrimiçi sohbet sistemlerini kullanarak geliştikçe, suçlular da tekniklerini geliştiriyor ve bu doğrulama planlarını atlamak için yeni yöntemler geliştiriyor.
2020’de ve 2021’in başlarında, bazı yeraltı forum kullanıcılarının kripto borsası ve kişisel hesaplar için “deepfake uzmanları” aradığı dikkat çekmişti.
Aslında, deepfake üretimi için bazı araçlar bir süredir çevrimiçi olarak, örneğin GitHub’da mevcut. Ayrıca deepfake ve deepfake tespiti için kullanılan araçların yeraltı forumlarında da dikkat çektiğini görüyoruz.
Kısa bir süre önce, kripto para borsası sitesi Binance’de bir iletişim yöneticisinin deepfake’i hakkında bir haber yayınlandı. Deepfake, Zoom görüşmelerinde kripto para birimi projelerinin temsilcilerini kandırmak için kullanıldı.
Ünlüler, üst düzey hükümet yetkilileri, tanınmış kurumsal figürler ve çevrimiçi olarak çok sayıda yüksek çözünürlüklü görüntü ve videoya sahip olan diğer kişiler en kolay hedef alınanlar arasında bulunuyor. Bu kişilerin yüzlerini ve seslerini kullanan sosyal mühendislik dolandırıcılıklarının halihazırda yaygınlaştığı görülmekte.
Araçlar ve mevcut deepfake teknolojisi göz önüne alındığında, ses ve video sahteciliği yoluyla kurbanları manipüle etmeyi amaçlayan daha fazla saldırı ve dolandırıcılık görmeyi bekleyebiliriz.
Peki Deepfake mevcut saldırıları, dolandırıcılıkları ve para kazanma planlarını nasıl etkileyebilir?
Trendmicro.com’dan Vladimir Kropotov, Fyodor Yarochkin, Craig Gibson ve Stephe Hilt deepfake kullanılarak yapılan mevcut saldırıların hem de yakın gelecekte bekleyebileceğimiz saldırıların bir listesini hazırladı:
Messenger dolandırıcılığı: Bir yatırım uzmanını taklit etmek ve para transferi için aramak yıllardır popüler bir dolandırıcılık türü ve artık suçlular görüntülü aramalarda deepfake kullanabiliyor. Örneğin, birinin kimliğine bürünüp arkadaşlarıyla ve ailesiyle iletişime geçerek para transferi talep edebiliyor ya da telefon bakiyelerine basit bir yükleme yapılmasını isteyebilirler.
BEC: Bu saldırı deepfake olmadan da oldukça başarılıydı. Artık saldırganlar aramalarda sahte videolar kullanabiliyor, yöneticilerin veya iş ortaklarının kimliğine bürünebiliyor ve para transferi talep edebiliyor.
Hesap açma: Suçlular kimlik doğrulama hizmetlerini atlamak ve çalıntı kimlik belgelerinin kopyalarını kullanarak başkaları adına bankalarda ve finans kurumlarında, hatta muhtemelen devlet hizmetlerinde hesaplar oluşturmak için deepfake kullanabilir. Bu suçlular bir kurbanın kimliğini kullanabilir ve genellikle görüntülü aramalar yoluyla yapılan doğrulama sürecini atlayabilir. Bu tür hesaplar daha sonra kara para aklama ve diğer kötü niyetli faaliyetlerde kullanılabilir.
Hesapların ele geçirilmesi: Suçlular görüntülü arama kullanarak kimlik tespiti gerektiren hesapları ele geçirebilir. Bir finansal hesabı ele geçirebilir ve kolayca para çekebilir veya transfer edebilirler. Bazı finans kurumları, çevrimiçi bankacılık uygulamalarında belirli özelliklerin etkinleştirilmesi için çevrimiçi video doğrulamasını şart koşmakta. Bu tür doğrulamalar da deepfake saldırılarının hedefi olabilir.
Şantaj: Kötü niyetli aktörler deepfake videoları kullanarak şantaj ve gasp türü saldırılar gerçekleştirebilir. Hatta deepfake teknolojileri kullanılarak oluşturulmuş sahte kanıtlar bile yerleştirebilirler.
Dezenformasyon kampanyaları: Deepfake videoları ayrıca daha etkili dezenformasyon kampanyaları oluşturmakta ve kamuoyunu manipüle etmek için kullanılabilmekte. Pompala ve boşalt şemaları gibi bazı saldırılar, tanınmış kişilerden gelen mesajlara dayanır. Artık bu mesajlar deepfake teknolojisi kullanılarak oluşturulabilir. Bu şemaların kesinlikle mali, siyasi ve hatta itibarla ilgili yansımaları olabilir.
Teknik destek dolandırıcılığı: Deepfake aktörleri sahte kimlikler kullanarak sosyal mühendislik yoluyla kullanıcıları ödeme bilgilerini paylaşmaya veya BT varlıklarına erişim sağlamaya yönlendirebilir.
Sosyal mühendislik saldırıları: Kötü niyetli aktörler, taklit edilen bir kişinin arkadaşlarını, ailelerini veya iş arkadaşlarını manipüle etmek için deepfake’leri kullanabilir.
Nesnelerin interneti (IoT) cihazlarının ele geçirilmesi: Amazon’un Alexa’sı ve diğer birçok akıllı telefon markası gibi ses veya yüz tanıma kullanan cihazlar, deepfake suçlularının hedef listesinde olacaktır.
PEKİ NE YAPMALI?
Trendmicro.com için söz konusu yazıyı kaleme alan teknoloji uzmanları bireysel kullanıcılar ve kuruluşlara deepfake saldırılarının etkisini ele almak ve azaltmak için ne yapmaları gerektiğine dair bir takım tüyolar da verdiler.
Kuruluşlar bir kullanıcının kimliğini üç temel faktörle doğrulamalı: kullanıcının sahip olduğu bir şey, kullanıcının bildiği bir şey ve kullanıcının olduğu bir şey. Bu sözkonusu “Bir şey” öğelerinin akıllıca seçildiğinden emin olun.
Gerçekleştirilecek personel farkındalık eğitimi ve müşterini tanı (KYC) ilkesi finans kuruluşları için olmazsa olmazdır. Deepfake teknolojisi mükemmel değildir ve bir kuruluşun personelinin araması gereken bazı kırmızı bayraklar vardır.
Sosyal medya kullanıcıları, yüksek kaliteli kişisel görüntülerinin açığa çıkmasını en aza indirmeli.
Hassas hesapların (örneğin banka veya şirket profilleri) doğrulanması için kullanıcılar, göz tanıma ve parmak izi gibi kamuya daha az açık olan biyometrik modellerin kullanımına öncelik vermeli.
Sorunu daha büyük ölçekte ele almak için önemli politika değişiklikleri gerekmekte. Bu politikalar, mevcut ve daha önce ifşa edilmiş biyometrik verilerin kullanımını ele almalı. Ayrıca siber suç faaliyetlerinin şu anki durumunu dikkate almalı ve geleceğe hazırlanmalı.
ABD’li ağ teknolojisi devi Cisco, geçtiğimiz günlerde yaptığı açıklamayla bir çalışanı üzerinden hack olayı yaşandığını açıklamıştı. Söz konusu olayın ardından hızlı aksiyon alan Cisco nasıl hacklendi? Nasıl aksiyon aldı?
CISCO NASIL HACKLENDİ?
Cisco, 10 Ağustos Salı günü Çinli bir fidye yazılımı çetesinin kendilerini hacklediğini ve sızdırdıkları dosyaları yayınlayacağını bildirdiği dark web gönderisinden kısa süre sonra bir çalışanı üzerinden hacklendiğini doğrulamıştı.
Yapılan açıklamada saldırının tarihi 24 Mayıs olarak bildirilirken Cisco ekibi, bir çalışanının kişisel Google hesabının ele geçirildiği, ele geçirilen Google hesabında kayıtlı olan Cisco uzantılı kurumsal ağa giriş parolası çalınarak VPN üzerinden uzaktan sisteme erişildiğini tespit ettiklerini açıklamıştı.
Ekip, ikili kimlik doğrulamayı sesli kimlik avı saldırıları ve çok faktörlü doğrulamayı (MFA) atlama tekniklerini kullanarak atlayan tehdit aktörünün kullanıcıya gelen doğrulama kodu aşamasını da bir şekilde çözdüğünü belirtmişti.
Sesli kimlik avı saldırıları (voice phishing), tehdit aktörlerinin çalışanların hassas bilgilerini elde etmek için telefonları üzerinden aranarak kandırmaya çalıştığı giderek yaygınlaşan bir sosyal mühendislik yöntemi olarak biliniyor.
İlk erişimi elde eden tehdit aktörü, MFA için bir dizi yeni cihaz kaydederek Cisco VPN’de başarılı bir şekilde kimlik doğrulaması yaptı. Tehdit aktörü daha sonra ayrıcalık yükseltme zafiyetlerini kullanarak yönetici ayrıcalıklarından yararlanmaya başladı.
Tehdit aktörü, arka kapı oluşturmak ve kalıcılık kazanmak için LogMeIn ve TeamViewer gibi uzaktan erişim araçları, Cobalt Strike, PowerSploit, Mimikatz ve Impacket gibi saldırgan güvenlik araçları dâhil olmak üzere çeşitli araçları kullandı.
Çok sayıda sistemde oturum açmak için güvenliği ihlal edilmiş hesabı kullanmaya başlayan tehdit aktörü daha sonra etki alanı denetleyicilerine ayrıcalıklı erişim elde etti.
Kimlik bilgileri veritabanlarına erişim elde ettikten sonra tehdit aktörü, ayrıcalıklı kimlik doğrulama ve ortam boyunca yanal hareket için makine hesaplarından yararlandı.
CISCO HEMEN YANIT VERDİ
Olayı fark eder fark etmez şirket çapında parola sıfırlaması uygulayan Cisco, daha sonra gerek güvenlik korumaları gerekse de iki ClamAV imzası oluşturarak tehdit aktörünün ilerlemesinin yavaşlatılmasında ve kontrol altında tutulmasında etkili oldu.
Stratejik ve Uluslararası Çalışmalar Merkezi’nde başkan yardımcısı olarak görev yapan Jim Lewis, “Cisco’nun başarısının sırrı, hızlı bir şekilde olayı tespit etmek.” ifadelerini kullandı.
Legendary Entertainment’ın başkan yardımcısı Dan Meacham ise saldırı vektörünün şeffaflığı ve Calm AntiVirüs imzalarının oluşturulmasını tebrik ederken bu saldırıdan çıkarılacak birkaç dersin olduğunu söyledi. Meacham, “Kullanıcılar, Google gibi kişisel hesaplarında kişisel bilgilerini önbelleğe almamasının yanında tüm hesaplarda MFA’yı etkinleştirmeleri gerekir.” dedi.
Bununla birlikte Meacham, “Kullanıcı davranış analizlerini izlemek her zaman güvenliği ihlal edilmiş hesabın belirlenmesinde birincil öncelik taşır. Cisco’nun da bu davranışları izlediğini ve bu durumun Cisco SOC’yi uyardığını Cisco Güvenlik Olayı Müdahale Merkezi’ni harekete geçirdiğini düşünüyorum.” dedi.
Cisco’nun söz konusu olaya hızlı bir şekilde yanıt vermesi ve tehdit aktörünün daha fazla ilerleyememesinin değerini belirten ve diğer güvenlik ekiplerinin de benzer hızda yanıt vermesi için yorumda bulunan Meacham, “MFA Fatigue saldırılarını önlemek için çeşitli mekanizmalar kullanılması gerekiyor. Cihaz kaydını kısıtlamak için önlemlerin olması gerekiyor. Chrome hesaplarıyla diğer hesapların senkronize edilmemesi gerekiyor. Parola güvenliği uygulamalarının kullanılması gerekiyor.” ifadelerini kullandı.
Sosyal medya platformu Facebook, bir süredir sosyal mühendislikle hedeflerine zararlı yazılım bulaştırmaya çalışan İranlı hackerlara karşı harekete geçti.
Geçtiğimiz günlerde Facebook’un siber istihbarat birimi ve güvenlik araştırmacıları, İranlı hackerlara karşı harekete geçtiklerini belirten bir açıklama yayımladı. Hackerların Facebook’u aktif bir şekilde kullandığı belirtilirken hackerların kullandığı yöntemler de deşifre edildi.
FACEBOOK’UN RADARINA GİRDİ
Orta Doğu’da etkin bir şekilde faaliyet gösteren ve Tortoiseshell olarak bilinen İranlı hacker grubu, son zamanlarda operasyonlarını ABD ve Avrupa’ya doğru genişletmişti. Facebook üzerinden hedeflerine ulaşmaya ve zararlı yazılım dağıtmaya çalışan grup en sonunda Facebook’un radarına girdi.
Tortoiseshell, Suudi Arabistan’daki çeşitli kurumların IT sağlayıcılarına yönelik düzenlediği tedarik zinciri saldırılarıyla gündeme gelmişti. Toplam 11 kuruma yönelik düzenlediği saldırıda binlerce cihaza Backdoor.Syskit adı verilen zararlı yazılımı bulaştıran Tortoiseshell, siber güvenlik şirketlerinin dikkatini çektikten sonra yapılan araştırmalar neticesinde 2018’den beri faaliyet gösterdiği tespit edilmişti.
Orta Doğu üzerindeki faaliyetlerini daha geniş bir alana yaymaya çalışan İranlı hacker grubu, daha sonra hedefleri arasına ABD ve Avrupa’yı koymuştu. ABD’deki eski ordu mensuplarına yönelik sahte bir iş arama sitesi kuran ve birçok cihaza zararlı yazılım bulaştıran Tortoiseshell, Avrupa’da savunma ve havacılık endüstrisinde faaliyet gösteren şirketlerin çalışanlarına yönelik zararlı yazılım operasyonları yürütmüştü.
HACKER GRUBUNUN YÖNTEMLERİ DEŞİFRE EDİLDİ
Facebook’un açıklamasında, “İran’daki bir grup bilgisayar korsanına karşı, platformumuzu kötüye kullanma, zararlı yazılım dağıtma ve başta Amerika Birleşik Devletleri olmak üzere internet üzerinden casusluk operasyonları yürütme yeteneklerini engellemek için aldığımız önlemleri paylaşıyoruz.” ifadeleri yer aldı.
Sosyal medya platformu Facebook’u sosyal mühendislik için kullanan grubun, sahte profiller oluşturduktan sonra hedefledikleri insanların güvenini kazanarak zararlı yazılım içeren bağlantılara tıklamaları için insanları yönlendirdiği ortaya konulurken, oluşturulan sahte profillerin güvenilir kılınması için diğer sosyal medya platformlarında da aynı isimlerde profiller oluşturdukları ve kendilerini, hedefledikleri kişilerin ülkelerindeki çeşitli savunma ve havacılık şirketlerinde görev alan kişiler olarak tanımladıkları belirtildi.
Birçok ülkede kimlik avı saldırıları düzenleyen grup, gerek yasal olan işe alım sitelerinin alan adlarına çok benzeyen siteler oluşturarak gerekse de büyük e-posta sağlayıcılarının alan adlarını taklit ederek çeşitli ülkelerdeki savunma ve havacılık endüstrisinde faaliyet gösteren şirketlerdeki çalışanların kimlik bilgilerini çalmaya çalıştığı belirtildi.
İRAN DEVRİM MUHAFIZLARI İLE BAĞLANTILARI OLABİLİR
Birçok farklı yöntem ve taktik kullanan İranlı grubun hedeflerinin cihazlarına zararlı yazılımlar, truva atları ve keyloggerlarla erişmeye çalıştıkları belirtilirken, İranlı hacker grubunun kullandığı zararlı yazılımın İran Devrim Muhafızları (IRGC) ile bağlantılı bilişim şirketi Mahak Rayan Afraz (MRA) tarafından geliştirildiği ortaya konuldu. Mevcut ve eski MRA yöneticilerinin Washington yönetiminin onayladığı ABD’li şirketlerle bağı olduğu da Facebook’un raporunda yer aldı.
FACEBOOK GRUBA YÖNELİK ÖNLEMLERİNİ ALDI
İranlı hacker grubu Tortoiseshell hakkında bulgularını çeşitli kurum ve kuruluşlarla da paylaşan Facebook, Tortoiseshell tarafından zararlı yazılım barındıran alan adlarının Facebook üzerinden paylaşılmasının engellendiğini, sahte profillerin hesaplarının kapatıldığını ve grup tarafından hedeflenen kişileri de bilgilendirdiğini açıkladı.
Şu ana dek grubun hükümet destekli olup olmadığı ise bilinmiyor.
İran devletine bağlı hareket eden bir hacker grubu, gerçekleştirdiği bir sosyal mühendislik saldırısı ile hassas bilgilere ulaşmak için düşünce kuruluşlarını, gazetecileri ve profesörleri hedef aldı.
Grup üyeleri Londra SOAS Üniversitesi olarak bilinen University of London’s School of Oriental and African Studies’in akademisyenleri gibi davranarak kurbanlarını hedef aldı.
Kurumsal güvenlik firması Proofpoint, “Operation SpoofedScholars” adı verilen saldırının APT35 (FireEye), Charming Kitten (ClearSky) ve Phosphorous (Microsoft) takma adlarıyla da bilinen “TA453” adlı gelişmiş kalıcı tehditle bağlantılı olduğunu bildirdi. Devlete bağlı siber savaş grubunun İslam Devrim Muhafızları Birliği (IRGC) adına istihbarat çabaları yürüttüğünden şüpheleniliyor.
Araştırmacıların Hacker News ile paylaştıkları bilgiye göre tespit edilen hedefler arasında düşünce kuruluşları, Ortadoğu uzmanları, ünlü akademik kuruluşlar, kıdemli profesörler ve Ortadoğu konusunda uzmanlaşmış gazeteciler bulunuyor.
İngiliz akademisyenler gibi davranan saldırganlar son derece seçici bir şekilde belirlenen kurbanlarının Google, Microsoft, Facebook ve Yahoo’dan çeşitli kimlik bilgilerini elde etmek için tasarlanmış bir linke tıklamalarını sağlamayı amaçlıyordu. Söz konusu link, kurbanları sözde çevrimiçi bir konferansa kaydolmaya yönlendiriyordu.
Linke meşru ve gerçek bir hava katmak için Londra SOAS Üniversitesi Radyosu’na ait gerçek fakat gizliliği ihlal edilmiş bir web sitesi üzerinde “kimlik bilgilerini avlama altyapısı” oluşturuldu.
Araştırmacılar, TA453’ün kötü amaçlı bağlantıları sağlamaya yönelik olarak SOAS’a bağlı meşru kuruluşları gibi davranan girişimlerden faydalanmak suretiyle kimlik bilgisi toplama girişiminin güvenilirliğini artırdığını söylüyor. Ayrıca TA453’ün hedefteki kişilerin webinara, grup çevrimiçi iken kayıt olmaları yönünde ısrarcı olması, saldırganların elde edilen kimlik bilgilerinin doğrulanmasını manuel olarak yaptıkları ihtimalini güçlendiriyor. Saldırıların, grubun daha sonraki e-posta kimlik avı taktiklerini değiştirmeden önce, Ocak 2021 tarihinde başladığına inanılıyor.
Bu, tehdit aktörlerinin gerçekleştirdiği ilk kimlik avı saldırısı değil. Bu mart ayının başlarında Proofpoint, İsrail ve ABD’de genetik, nöroloji ve onkoloji araştırmalarında uzmanlaşmış üst düzey tıp uzmanlarını hedef alan bir “BadBlood” kampanyasını açığa çıkardı.
ÜNİVERSİTEYE BAĞLI RADYONUN WEB SİTESİNİ KULLANDILAR
Londra SOAS Üniversitesi Sözcüsü, Hacker News’e yaptığı açıklamada şu değerlendirmelerde bulundu.
“Hackerlerın akademisyen gibi davranmak üzere Gmail hesapları oluşturduğunu ve hedefledikleri kişilerden veri toplamak için sahte bir site oluşturduğunu görüyoruz. Bu sahte sayfa, SOAS merkezli bağımsız bir çevrimiçi radyo istasyonu ve prodüksiyon şirketi olan SOAS Radio’nun web sitesine yerleştirildi. Web sitesi resmi SOAS web sitesinden ayrıdır ve akademik alanlarımızın hiçbirinin bir parçası değildir. Hedefin SOAS’IN kendisi değil, dışarıdan bireyler olduğunu anlıyoruz. SOAS’taki akademik personelin bu saldırı süreciyle bir ilgisi bulunmamaktadır ve de SOAS personeli tarafından yapılan herhangi bir eylem veya açıklama saldırganların bu şekilde davranmasına yol açmamıştır. Ayrıca herhangi bir SOAS personeli tarafından siber güvenliğin ihlal edildiğine dair bir bilgi bulunmamaktadır. Sahte sitenin oluşturulmasıyla ilgili olarak, SOAS’tan hiçbir kişisel bilgi alınmadı ve veri sistemlerimizin hiçbiri (personel ve öğrenci kayıtları, finansal bilgiler, e-postalar vb.) ne bu olaya dahil oldu ne de bu saldırıdan etkilendi. Ana sistemlerimizin siber güvenliği sağlam durumdadır ve amacına uygun şekilde devam etmektedir. Bu yılın başlarında sahte sitenin farkına varır varmaz güvenlik ihlalini hemen giderdik. Bunun nasıl gerçekleştiğini gözden geçirdik ve bu tür çevresel sistemlerin korunmasını daha da geliştirmek için adımlar attık.”
