Siber Muhbir

Bulgular, Windows tabanlı kötü amaçlı yazılımın "işletim sistemini yeniden başlatılamayacak şekilde çökerttiğini" söyleyen siber güvenlik şirketi ClearSky'dan geliyor.

İzinsiz girişler, Temmuz 2022'den bu yana aktif olan ve özellikle Arnavutluk'a yönelik yıkıcı saldırılar düzenleyen Vatan Adaleti olarak bilinen İranlı bir "psikolojik operasyon grubuna" atfedildi.

24 Aralık 2023'te düşman, bir aradan sonra yeniden ortaya çıktı ve son kampanyasını #DestroyDurresMilitaryCamp olarak nitelendirerek "teröristlerin destekçilerini yok etmek için geri döndüğünü" belirtti. Arnavutluk'un Dıraç kenti şu anda muhalif grup İran Halkın Mücahitleri Örgütü'ne (MEK) ev sahipliği yapıyor.

Saldırının hedefleri arasında ONE Arnavutluk, Eagle Mobile Arnavutluk, Air Albania ve Arnavutluk parlamentosu vardı.

Kampanya sırasında dağıtılan birincil araçlardan ikisi, yürütülebilir bir silici ve Windows Uzaktan Yönetimi'ni (WinRM) etkinleştirdikten sonra ilkini hedef ağdaki diğer makinelere yaymak için tasarlanmış bir PowerShell betiğidir.

Adaletsiz silecek (NACL.exe), bilgisayardaki verileri silmek için yönetici ayrıcalıkları gerektiren 220,34 KB'lık bir ikili dosyadır.

Bu, işletim sisteminin bir bilgisayarın RAM'ine yüklenebilmesi için diskte nerede bulunduğunu tanımlayan herhangi bir sabit diskin ilk sektörünü ifade eden Ana Önyükleme Kaydı'ndan (MBR) önyükleme imzasının kaldırılmasıyla gerçekleştirilir.

Saldırı sırasında ayrıca keşif, yanal hareket ve kalıcı uzaktan erişimi kolaylaştırmak için Plink (diğer adıyla PuTTY Link), RevSocks ve Windows 2000 kaynak kiti gibi meşru araçlar da sağlanır.

Gelişme, Cyber Av3ngers, Cyber Toufan, Haghjoyan ve YareGomnam Team gibi İran yanlısı tehdit aktörlerinin Orta Doğu'da devam eden jeopolitik gerilimlerin ortasında gözlerini giderek daha fazla İsrail ve ABD'ye dikmesiyle geldi.

Check Point geçen ay yaptığı açıklamada, "Cyber Av3ngers ve Cyber Toufan gibi gruplar, siber saldırılarında bir misilleme anlatısı benimsiyor gibi görünüyor" dedi.

"İsrail teknolojisini kullanarak ABD varlıklarını fırsatçı bir şekilde hedef alarak, bu hacktivist vekiller ikili bir misilleme stratejisi elde etmeye çalışıyorlar - hem İsrail'i hem de ABD'yi tek bir organize siber saldırıda hedef aldıklarını iddia ediyorlar."

Özellikle Cyber Toufan, 100'den fazla kuruluşu hedef alan, virüslü ana bilgisayarları silen ve çalınan verileri Telegram kanallarında yayınlayan bir dizi hack ve sızıntı operasyonuyla bağlantılı.

Güvenlik araştırmacısı Kevin Beaumont, "O kadar çok hasara neden oldular ki, kuruluşların çoğu - neredeyse üçte biri, aslında toparlanamadı" dedi. "Bunlardan bazıları bir aydan fazla bir süre sonra hala tamamen çevrimdışı ve silinen kurbanlar özel şirketler ve İsrail devlet devlet kurumlarının bir karışımı."

Geçen ay, İsrail Ulusal Siber Müdürlüğü (INCD), Ekim 2023'te İsrail-Hamas savaşının başlamasından bu yana İsrail siber alanında kötü niyetli olarak faaliyet gösteren İran, Hamas ve Hizbullah ile bağlantılı yaklaşık 15 hacker grubunu izlediğini söyledi.

Ajans ayrıca, kullanılan tekniklerin ve taktiklerin Ukrayna-Rusya savaşında kullanılanlarla benzerlikler paylaştığını, hassas bilgileri yok etmek için psikolojik savaş ve silici kötü amaçlı yazılımlardan yararlandığını kaydetti.