İranlı siber casusluk grubu OilRig Türkiye’deki kurumlara da saldırmış

Shadow Brookers adlı hacker grubunun geçtiğimiz yıllarda NSA’nın hackleme araçlarını kamuoyuna sızdırmasına benzer bir olay daha yaşandı.

APT34, Oilrig ya da HelixKitten olarak bilinen İran’ın elit siber casusluk grubuna ait hackleme araçları kamuoyuna sızdırıldı. Açığa çıkarılan korsanlık araçları, 2017’de sızdırılan NSA araçları kadar karmaşık olmasa da tehlikeli bir durum arz ediyor.

Mart ayının ortasından itibaren sızdırılan bilgiler Lab Dookhtegan takma adına sahip bir kişi tarafından Telegram kanalından yayınlanmış. Lab Dookhtegan, korsanlık araçlarının yanı sıra APT34’ün hacklenmiş bazı kurbanlarının verileri gibi görünen, çoğunlukla kimlik avı sayfalarından toplandığı tahmin edilen kullanıcı adı ve şifre kombinasyonlarını da yayınladı.

Kaspersky’de tehdit araştırmacısı olarak çalışan Alexey Firsch konuyla ilgili yaptığı çalışmanın sonuçlarını paylaştığı tweetinde Dookhtegan’ın açıkladığı 117 web shell URL’ini paylaştı.

 

 

 

 

 

 

 

 

 

 

 

 

 

Listede İsrail, Suudi Arabistan ve Çin gibi ülkelerin yanı sıra Türkiye’den de 3 kurumun bulunması dikkat çekti. Web shell tanımı web sunucularındaki yanlış konfigürasyonları istismar eden uygulamalar için kullanılıyor.

ZDNet, daha önce bir muhabirinin mart ortasında bir ihbar almasının ardından bu araçlardan ve kurbanların verilerinin bir kısmından haberdar olmuştu. Bir Twitter kullanıcısı, o dönemde bugün Telegram’da ortaya çıkarılan dosyalardan bazılarını paylaşmıştı. ZDNet, bu Twitter kullanıcısının Lab Dookhtegan takma adlı kişiyle aynı kişi olduğunu tahmin ediyor.

Adli Bilişim Uzmanı Halil Öztürkçi de Twitter’da Outlook Web Acess (OWA) sunucularında web shell taraması yapılması uyarısında bulundu.

66 KURUMDAN VERİ SIZDIRILMIŞ

Sızdırılan bilgiler arasında İran İstihbarat Bakanlığı için çalışan bazı kişilerin isim ve ve telefon numaraları da yer alıyor.

Bilgi sızdıran kişi ile Twitter üzerinden yapılan görüşmede, grubun DNSpionage kampanyası üzerinde çalıştığını iddia etti. Birçok siber güvenlik uzmanı, bu araçların doğruluğunu hâlihazırda onaylamış durumda. Hatta Alphabet’in siber güvenlik bölümü Chronicle, ZDNet’e konuyu teyit etti. Bugün Telegram kanalında ortaya çıkan bilgilere göre, hacker altı hackleme aracının kaynak kodunu ve kurbanların verilerinin toplandığı çeşitli aktif arka uç panellerinden gelen içeriği sızdırdı.

Sızdırılan korsan saldırı araçları şunlar:

– Glimpse (Palo Alto Networks’ün BondUpdater adını verdiği PowerShell tabanlı bir truva atının yeni sürümü)

– PoisonFrog (BondUpdater’in eski versiyonu)

– HyperShell (Palo Alto Networks’ün TwoFace olarak adlandırdığı web shell)

– HighShell (bir diğer web shell)

– Fox Panel (e-dolandırıcılık kiti)

– Webmask (DNS tünelleme, DNSpionage arkasındaki temel araç)

Bleepingcomputer.com sitesinin konuyla ilgili haberinde MisterChoc adlı güvenlik araştırmacısının yaptığı analize göre Poison Frog’un sunucu kısmının eksik olduğu ve bu şekilde çalışamayacağı ifade edildi.

Dookhtegan, yukarıdaki araçlara ait kaynak kodunun yanı sıra, APT34’ün bazı arka uç komuta ve kontrol (C&C) sunucularında toplanan kurbanlardan alınmış Telegram kanal verisine de sızmayı başardı. Chronicle’a göre, Dookhtegan toplamda, başta Orta Doğu olmak üzere Afrika, Doğu Asya ve Avrupa’dan toplam 66 hedeften veri sızdırdı.

Veriler hem devlet kurumlarından hem de özel şirketlerden alınmış. Telegram kanalında en büyük iki firma olarak Etihad Airways ve Emirates National Oil’in adları yer aldı. Mağdurların listesinin-şirket / devlet kurumu adları olmadan- burada yer aldığı belirtiliyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Tags: ,

Yorum Yaz

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d blogcu bunu beğendi: