İsrail merkezli yazılım şirketi Check Point’in yaptığı araştırma sonucunda yayınladığı rapor, Rocket Kitten takma ismini kullanan bir hacker grubunun Suudi Arabistan, Amerika, İran, Hollanda, İsrail, Gürcistan ve Türkiye’yi hedefleyen siber saldırılar gerçekleştirdiğini ortaya çıkardı. İranlı hacker grup son iki yıl içinde İsrailli fizikçilerden nükleer bilim adamlarına, akademik çevrelerden savunma sanayiideki araştırmacılara ve iş adamlarına, insan hakları aktivistlerinden diplomatlara yönelik birçok siber saldırı gerçekleştirdi.
Check Point, grubun phishing girişimlerinde kullandığı sunucuya erişmeyi başardı. Sunucu sayesinde İranlı grubun hedefinde olan 1.600’den fazla kişinin listesine ulaşan araştırmacılar aynı zamanda İranlı bir bilgisayar mühedisinin de kimliğini deşifre etti. Yapılan araştırma siber saldırıların en fazla Suudi Arabistan’a yönelik gerçekleştirildiğini ortaya çıkardı.
Üst düzey Check Point yetkilisi Shahar Tal “Phishing saldırılarının ne derece başarılı olduğuna dair kesin bir bilgimiz yok. Fakat son bir yıldaki siber saldırılara baktığımızda phishing girişimlerinin yüzde 26 oranında başarılı olduğunu söyleyebiliriz.” dedi.
Geçtiğimiz dönemlerde siber güvenlik uzmanları ve firmaları hacker grubun eylemlerini şu yüzüne çıkarmış, böylece İsrail merkezli ClearSky danışmanlık ve istihbarat şirketi Rocket Kitten’in İsrailli akademisyenleri takip ettiğini keşfetmişti. İranlı hacker grubunun en çok kullandığı yöntemlerden phishing, hedeflenen kurumlardaki üst düzey personele e-mail ya da telefon araması yoluyla ulaşarak kurumsal kimlik ve şifrelerini ele geçirmelerini sağlıyor. Grup saldırırken Metasploit gibi her yerde satılan yazılımların yanı sıra kendi yazdıkları kodları da kullanıyor. Zararlı yazılımları yaymak için birçok ülkedeki sunucuları kullanan hackerlar’ın bu ülkelerdeki internet sağlayıcılarıyla bir bağlantısı olduğu düşünülmüyor.
Bir müşterisinin grup tarafından hacklenmesinin ardından soruşturma başlatan Check Point, saldırı sunucusunu belirledikten sonra grubun hedeflediği kişilerin listesine ulaştıklarını söyledi. Hacker grubun sunucuları yönettiği yazılımın ve ağ operatörlerinin şifrelerinin hiçbir güvenlik önlemi alınmayarak açıkta bırakılması araştırmacıları şaşırttı.
Bilgi güvenliği bakımından grubun amatör olduğunu belirten Shahar Tal, aynı zamanda grubun yazdığı zararlı yazılımı da etkileyici bulmadı. Kullanılan araç ve teknikler bakımından grubun batıdaki benzerlerine göre çok kısıtlı olduğunu ekledi. Fakat buna rağmen saldırı girişimlerinden bazıları başarılı oldu.
Raporda açıklanan bir olay da hackerlardan birinin kendi bilgisayarlarına kendi geliştirdikleri virüsü bulaştırması, daha sonar zararlı yazılımı bilgisayardan silmekte başarılı olamaması üzerineydi. Bu durumu takip eden Check Point araştırmacıları e-mailinin şifresi 123456754 olan Yasser Balağı adlı hackeri buldu.
İslamic Azad Üniversitesi’nde Bilgisayar Bilimleri Bölümünden mezun olan Balağı’nın öz geçmişine bakıldığında güvenlik ve etik siber saldırı takımın başı olarak çalıştığına ve bir siber kurum için phishing sistemleri geliştirdiğine dair bir ibare bulunuyor.
Rapor gruptaki hackerların profesyonelliği hakkında eleştiri yapmasına rağmen siber casusluğun sadece büyük bir bütçesi olan siber savaşçıları ise alarak yapılmadığını, bu örnekte olduğu gibi resmi bir kurumun yerel hackerları tutarak siber casusluk yaptırabileceğini gözler önüne seriyor.