İran ve Hizbullah Hackerları İsrail-Hamas Anlatısını Etkilemek İçin Saldırılar Düzenliyor
İran ve Hizbullah tarafından desteklenen bilgisayar korsanları, Ekim 2023'ten sonra İsrail-Hamas savaşına yönelik kamuoyu desteğini azaltmak için tasarlanmış siber saldırılar düzenledi.
Bu, önemli İsrail kuruluşlarına yönelik yıkıcı saldırıları, İsrail ve ABD'deki varlıkları hedef alan hack ve sızıntı operasyonlarını, istihbarat çalmak için tasarlanmış kimlik avı kampanyalarını ve kamuoyunu İsrail'e karşı döndürmek için bilgi operasyonlarını içerir.
Google, yeni bir raporda, İran'ın 7 Ekim saldırılarına kadar geçen altı ay içinde İsrail'i hedef alan tüm hükümet destekli kimlik avı faaliyetlerinin yaklaşık% 80'ini oluşturduğunu söyledi.
Teknoloji devi, "Hack-and-leak ve bilgi operasyonları, bu ve ilgili tehdit aktörlerinin savaş boyunca hem düşmanlarına hem de etkilemeye çalıştıkları diğer izleyicilere niyet ve kabiliyetlerini telgraflama çabalarında önemli bir bileşen olmaya devam ediyor" dedi.
Ancak İsrail-Hamas çatışmasıyla ilgili dikkat çekici olan şey, siber operasyonların, Rusya-Ukrayna savaşında gözlemlenenin aksine, kinetik ve savaş alanı eylemlerinden bağımsız olarak yürütülüyor gibi görünmesidir.
Şirket, bu tür siber yeteneklerin, doğrudan askeri çatışma olmadan bölgesel rakiplerle ilişki kurmak için daha düşük bir maliyetle hızlı bir şekilde konuşlandırılabileceğini de sözlerine ekledi.
GREATRIFT (diğer adıyla UNC4453 veya Plaid Rain) olarak adlandırılan İran'a bağlı gruplardan birinin, kaçırılan İsrailliler hakkında güncelleme arayan ziyaretçileri hedef alan sahte "kayıp kişiler" sitesi aracılığıyla kötü amaçlı yazılım yaydığı söyleniyor. Tehdit aktörü ayrıca bir dağıtım vektörü olarak kan bağışı temalı cazibe belgelerini kullandı.
Karma ve Handala Hack adlı en az iki hacktivist kişi, İsrail'e karşı yıkıcı saldırılar düzenlemek ve sırasıyla Windows ve Linux sistemlerinden dosya silmek için BiBi-Windows Wiper, BiBi-Linux Wiper, ChiLLWIPE ve COOLWIPE gibi silici kötü amaçlı yazılım türlerinden yararlandı.
Charming Kitten (APT42 veya CALANQUE olarak da bilinir) adlı başka bir İran ulus devlet bilgisayar korsanlığı grubu, Ekim sonu ve Kasım 2023'te gözlemlenen bir kimlik avı kampanyasının parçası olarak POWERPUG olarak bilinen bir PowerShell arka kapısıyla medyayı ve sivil toplum kuruluşlarını (STK'lar) hedef aldı.
POWERPUG aynı zamanda düşmanın PowerLess, BellaCiao, POWERSTAR (diğer adıyla GorjolEcho), NokNok ve BASICSTAR'dan oluşan uzun arka kapı listesine en son eklenen isimdir.
Öte yandan Hamas bağlantılı gruplar, 7 Ekim saldırılarından haftalar önce SysJoker kötü amaçlı yazılımını indirmeleri için onları kandırmak amacıyla İsrailli yazılım mühendislerini kodlama atama tuzaklarıyla hedef aldı. Kampanya, BLACKATOM olarak adlandırılan bir tehdit aktörüne atfedildi.
"Saldırganlar [...] meşru şirketlerin çalışanları gibi davrandı ve hedefleri yazılım geliştirme serbest çalışma fırsatlarına başvurmaya davet etmek için LinkedIn aracılığıyla ulaştı" dedi. "Hedefler arasında İsrail ordusundaki yazılım mühendislerinin yanı sıra İsrail'in havacılık ve savunma endüstrisi de vardı."
Kaliforniya merkezli şirket, Hamas siber aktörlerinin benimsediği taktikleri basit ama etkili olarak nitelendirdi ve hem Filistin hem de İsrail'deki kullanıcıları hedeflemek için uzaktan erişim truva atları ve MAGNIFI gibi arka kapılar sunmak için sosyal mühendislik kullandıklarına dikkat çekti.
Bu kampanyalara başka bir boyut eklemek, hassas bilgileri toplayabilen ve verileri saldırgan kontrolündeki altyapıya sızdırabilen Android telefonları hedef alan casus yazılımların kullanılmasıdır.
MOAAZDROID ve LOVELYDROID adı verilen kötü amaçlı yazılım türleri, Arid Viper, Desert Falcons, Renegade Jackal ve UNC718 olarak da izlenen Hamas bağlantılı aktör DESERTVARNISH'in eseridir. Casus yazılımla ilgili ayrıntılar daha önce Ekim 2023'te Cisco Talos tarafından belgelenmişti.
MYSTICDOME (diğer adıyla UNC1530) gibi İran'dan devlet destekli grupların da İsrail'deki mobil cihazları MYTHDROID (diğer adıyla AhMyth) Android uzaktan erişim truva atının yanı sıra istihbarat toplama için SOLODROID adlı ısmarlama bir casus yazılımla hedef aldığı gözlemlendi.
Google, "MYSTICDOME, SOLODROID'i, 302 kullanıcıları casus yazılımı yüklemelerinin istendiği Play Store'a yönlendiren Firebase projelerini kullanarak dağıttı" dedi ve o zamandan beri uygulamaları dijital pazardan kaldırdı.
Google ayrıca, İsrail'de gelen roket saldırılarına karşı uyarmak için kullanılan meşru Red Alert uygulamasının truva atı haline getirilmiş bir sürümü olan REDRUSE adlı bir Android kötü amaçlı yazılımını da vurguladı. Polisin kimliğine bürünen SMS kimlik avı mesajları yoluyla yayıldı.
Devam eden savaş, Aralık 2023'te Gonjeshke Darande (Farsça'da Yırtıcı Serçe anlamına gelir) adlı bir aktör tarafından kritik altyapısı bozulan İran'ı da etkiledi. Şahsın İsrail Askeri İstihbarat Müdürlüğü ile bağlantılı olduğuna inanılıyor.
Bulgular, Microsoft'un İran hükümetine bağlı aktörlerin "Hamas'ın İsrail'e ve siyasi müttefiklerine ve iş ortaklarına yardım etmeyi ve zayıflatmayı amaçlayan bir dizi siber saldırı ve etki operasyonu (IO) başlattığını" ortaya çıkarmasıyla geldi.
Redmond, erken aşamadaki siber ve etki operasyonlarını reaktif ve fırsatçı olarak nitelendirirken, Google'ın savaşın patlak vermesinin ardından saldırıların "giderek daha hedefli ve yıkıcı hale geldiği ve IO kampanyalarının giderek daha karmaşık ve gerçek dışı hale geldiği" yönündeki değerlendirmesini de doğruladı.
Microsoft, Arnavutluk, Bahreyn ve ABD de dahil olmak üzere İran'ın İsrail'e yardım ettiğini düşündüğü ülkeleri kapsayacak şekilde saldırı odaklarını İsrail'in ötesine genişletmenin yanı sıra, Pembe Kum Fırtınası (diğer adıyla Agrius) ve Hizbullah siber birimleri gibi İran'a bağlı gruplar arasında işbirliği gözlemlediğini söyledi.
Microsoft Tehdit Analizi Merkezi (MTAC) genel müdürü Clint Watts, "İşbirliği, her grubun mevcut yeteneklere katkıda bulunmasına olanak tanıyarak giriş engelini azaltır ve tek bir grubun tam bir araç veya zanaat yelpazesi geliştirme ihtiyacını ortadan kaldırır" dedi.
Geçen hafta NBC News, ABD'nin kısa süre önce Kızıldeniz ve Aden Körfezi'ndeki kargo gemileri hakkında istihbarat toplayan MV Behshad adlı bir İran askeri gemisine siber saldırı başlattığını bildirdi.
Recorded Future'ın geçen ay yaptığı bir analizde, İran'daki bilgisayar korsanlığı yapan kişilerin ve paravan grupların, "hedef ülkelerde istikrarsızlığı kışkırtmak" için istihbarat toplama ve bilgi operasyonları yürüten İran'daki çeşitli müteahhitlik firmaları aracılığıyla nasıl yönetildiği ve işletildiği de ayrıntılı olarak anlatıldı.
Microsoft, "İranlı gruplar savaşın ilk günlerinde operasyonlar yürütmek ya da basitçe uydurmak için acele ederken, İranlı gruplar son operasyonlarını yavaşlattı ve onlara istenen erişimi elde etmeleri veya daha ayrıntılı etki operasyonları geliştirmeleri için daha fazla zaman tanıdı" dedi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı