İran, Türkiye dahil birçok ülkeye siber saldırılar düzenliyor

Devrim Muhafızları’na ve hükümete bağlı olan grup emtia virüslerini kullanıyor

Tehdit araştırma şirketi olan Recorded Future tarafından yayımlanan yeni bir rapor, İran yönetimindeki APT33 isimli bir siber grubun sahip olduğu 1.200 web site adresi ile çeşitli ülkelere ve organizasyonlara saldırdığını ortaya çıkardı. Bu ülkeler ve kurumlar arasında Hindistan, Suudi Arabistan ve Türkiye var. Saldırı Türkiye kanadında askeri anlamda yapıldı.

İranlı APT33 grubu hedeflediği ülkeleri siber saldırıyla yıpratıyor

Bu siber casusluk saldırıları şimdiye kadar virüs bulaştırılmış binlerce web site domain'i kullanılarak yapıldı. Kendilerini "Elfin" olarak tanımlayan APT33'e bağlı kişiler, içlerinde iki sağlık organizasyonunun olduğu Suudi şirketlere, Hindistanlı bir medya şirketine, diplomatik bir kurumun delegasyonuna ve Türk askeri tedarikçisi bir markaya saldırdı.

iran siber saldırı türkiye
Iran cyber attacks concept with flag

Bu saldırıların büyük kısmı, uzaktan erişim sağlayan programlar (RAT'ler) yoluyla "emtia" virüsleri kullanılarak yapıldı. Hükümete bağlı olduğu bilinen İranlı siber saldırı grubuna ait web sitelerin %60'ında njRAT virüsüyle ilgili zararlılar ve diğerlerinde ise AdwindRAT ve RevengeRAT gibi uzaktan erişim virüsleri kullanıldı.

Symantec isimli dünyaca ünlü güvenlik şirketinin, APT33'ün kullandığı altyapıların birçoğunu geçtiğimiz mart ayında ortaya çıkarmasının ardından grup sahip olduğu web site adreslerini 'park etti' ve 1.200 yeni adres satın aldı. Bu adreslerin yaklaşık çeyreğinde neler yapıldığı hakkında hiçbir bilgi yok. Ancak yarısının Shamoon virüsünün gelişmiş versiyonu olan StoneDrill ile ilişkili olduğu bulundu. StoneDrill geçmişte Avrupa'da kullanıldı ve ele geçirilen bilgilerin otomatik olarak yok edilmesini sağlıyor.

Saldırılar Nasr Enstitüsü tarafından yönetiliyor

İran'ın siber operasyonlarının birçoğu İran hükümetinin Nasr Enstitüsü tarafından kontrol ediliyor. Enstitü, Devrim Muhafızları Ordusu ve hükümet adına çalışıyor. Çalışmanın gizliliği için saldırılar 50 farklı organizasyon üzerinden yürütülüyor. Ancak bu boyutta bir dağılım tehdit araştırma şirketinin operasyonda bazı çakışmalar olduğunu tespit etmesini de sağlamış.

Türk askeri tedarikçisine saldırıldı

Bu organizasyonlardan biri Kavosh Güvenlik Merkezi adını taşıyor. Kendileri "Muddywater" isimli siber saldırı grubu ile bağlantıları olan bir bilgi güvenlik organizasyonu. Muddywater grubu bir Türk askeri tedarikçisine casusluk operasyonu gerçekleştirdi.

Bu emtia saldırıları doğrudan bir suç faaliyeti olarak görülüyor. Tüm saldırılar teknik altyapı ve teknikleri itibariyle birbirleriyle benzer ve tümünde emtia zararlıları kullanılıyor. Uygulanan suç taktikleri arasında kimlik bilgisi doldurma gibi yaygın yöntemler mevcut. Recorded Future, APT33'ün hedefi olan havacılık, askeri ve enerji şirketlerinin güvenlik önlemleri tarafında dikkatli olmasını öneriyor. Bunlar arasında yetkisiz girişler, sahte kampanyalar, web korumaları ve üçüncü parti tedarikçilerle ilişkiler var.

İran, Türkiye dahil birçok ülkeye siber saldırılar düzenliyor yazımız burada son buldu. Daha fazla içerik için bu bağlantıyı takip edebilirsiniz: https://2ladd.com/k/politika/