Kasım ayının ortasından bu yana İran bağlantılı bir hacktivist grup, İsrail ve çevresindeki 100’den fazla kuruluşa sızmayı başardı; sunucuları silerek, hassas verileri sızdırarak ve takip eden saldırıları tedarik zincirine yayarak gerçekleştirdi.
7 Ekim’den bu yana İsrail karşıtı hacktivistlerin büyük ölçüde etkisiz olduğu kanıtlandı — sosyal medyada büyük iddialarda bulunma konusunda hızlılar, bu iddiaları destekleyecek kanıt sunma olasılıkları daha düşük. “Siber Toufan el-Aksa” (Arapça’da sel anlamına gelen “Toufan”) için durum böyle değil.
16 Kasım’da grup, işletmeler için uluslararası web sitelerine ev sahipliği yapma konusunda uzmanlaşmış bir İsrail şirketi olan Signature-IT’yi ele geçirdi. Bu sayede hacktivistler İsrail’deki onlarca önemli şirkete ve devlet kuruluşunun yanı sıra İsrail ile iş yapan uluslararası şirketlere ulaşmayı başardılar. Son günlerde sızıntılar yavaşlamış (ama durmamış) olsa da grup, kurbanların çalışanlarına ve müşterilerine yönelik e-posta saldırıları düzenleyerek bıçağı bükmeye devam ediyor.
“Gördük 150’den fazla hacktivist grup Check Point Software’in özel kalemi Gil Messing şöyle diyor: “İsrail’deki siber savaşta faaliyet gösteriyoruz.” “CyberToufan açık ara en öne çıkanıdır.”
İsrail’in En Üretken Hacktivist Düşmanı
Cyber Toufan, kendisini ilk olarak Gazze savaşının başlamasından bir ay sonra bir Telegram kanalı oluşturarak ve bir bildiri yayınlayarak dünyaya duyurdu.
“#OpCyberToufan’ın birinci aşaması, çok uzun bir süre boyunca tamamen yok edilmesi ve yok edilmesini içeriyordu. [sic] Kısmen 1.000 sunucu ve düşmanın kritik veritabanları” yazıyordu. Operasyonun hükümet, üretim, e-ticaret, siber güvenlik ve diğer sektörlere yayılarak 150’den fazla hedefi tehlikeye attığı belirtildi. “Saldırı başarıyla gerçekleştirildi. hiçbir aksama olmadan” diye ekledi.
7 Ekim’den bu yana bu tür boş iddialar mide bulandırıcı hale getirildi ama bu sefer gerçekten doğruydu.
Cyber Toufan, Telegram kanalını kurduktan kısa bir süre sonra ACE Hardware’in bir kolu olan ACE Israel’e ait verileri yayınladı. Ertesi gün İsrailli bir e-ticaret şirketi olan Shefa Online geldi.
Daha sonra grup günde iki sızıntı yayınlamaya başladı. Üçüncü günde iki İsrailli siber güvenlik şirketi Radware ve Max Security vardı. Dördüncü günde İsrail İnovasyon Otoritesi ve Ikea İsrail.
İsrail Sağlık Bakanlığı, Ulusal Arşiv, Doğa ve Parklar Kurumu, Refah ve Sosyal Güvenlik Bakanlığı, Menkul Kıymetler Kurumu ve Devlet Ödeme Geçidi dahil olmak üzere diğer hükümet hedefleri de takip edildi. Toyota ve Toys ‘R’ Us gibi çok uluslu şirketlerin İsrail şubelerinin yanı sıra Berkshire Hathaway’in bir yan kuruluşu olan Berkshire eSupply ve SpaceX gibi İsrail firmalarıyla iş yapan şirketler de saldırıya uğradı.
Hasarın Boyutu
Bu kurbanların birçoğunun Signature-IT’e ait sunucuların ilk ihlali ve silinmesinden kaynaklandığı görülüyor.
Bu tedarik zinciri bağlantısı, sızdırılan verilerin niteliğiyle önemli ölçüde ilgilidir. Messing, her durumda şunu açıklıyor: “Veriler her zaman tam olarak bu şirketlerin kendi özel operasyonlarında kullandıkları verilerdi.” [Signature-IT hosted] web siteleri. Yani CRM verileri olabilir, sipariş olabilir; örneğin IKEA için isimler ve IKEA’dan tam olarak ne satın aldıkları vardı.”
Sızıntılar hikayenin sadece bir kısmıydı; 27 Aralık’ta sızıntı programı sona erdikten sonra bile Cyber Toufan kurbanlarına ve onlarla bağlantılı olanlara zarar vermeye devam ediyor.
Bir tarafta grup, hacktivist mesajları mümkün olduğu kadar çok insana ulaştırmak için kurbanlarının kurumsal e-posta alanlarını kullanıyor. Örneğin, Radware’in müşteri ilişkileri yönetimi (CRM) platformunda saklanan kişilere gönderilen bir e-postada grup, alıcıların “İsrail’in siber ve teknoloji ürünlerini/hizmetlerini satın almaları nedeniyle ellerinizde çocuklarımızın kanının olmamasını” istiyor. Gazze’deki çocuklarımızın öldürülmesine, evlerinin, okullarının, hastanelerinin yıkılmasına maddi katkıdır.”
Bu arada, sunucularının silinmesinin bir sonucu olarak, birçok Siber Toufan kurbanına ait web siteleri (geçen hafta itibarıyla bir düzineden fazla) bir blog yazısı Siber araştırmacı Kevin Beaumont tarafından
– aşağıda kalın.
Örneğin, ihlalin ilk duyurulmasının üzerinden bir aydan fazla süre geçtikten sonra, bu yazının yazıldığı sırada Berkshire eSupply’ın web sitesi kapalıydı. Şirket o zamandan beri bir başvuruda bulundu. veri ihlali bildirimi Maine Başsavcısı ile 16.736 kişinin etkilendiği tahmin ediliyor. Kamuya yapılan bir açıklamada şirket, “erişilen verilerin kesin kapsamına veya içeriğine sahip olmadığımızı” kabul etti, ancak bunun çok ihtiyatlı davranıldığını ve “siber uzmanların görüşleri doğrultusunda” hareket ettiğini ekledi. Konuyu araştıran kişiler, bu (bizim) sistemlerimiz tamamen güvende kaldı ve olaydan etkilenmedi.”
Messing, “Cyber Toufan’ı herhangi bir Gazze hacktivist grubuyla kıyaslayamazsınız çünkü onların yarattığı hasar çok daha büyük ölçekte ve çok sistematik” diyor. Burada görülen ölçek ve karmaşıklığın (metodolojideki örtüşmeler ve kurbanlara karşı kullanılan kötü amaçlı yazılımların yanı sıra hedeflerin niteliği ve sızdırılan veriler) Siber Toufan ile İran arasındaki bağlantılara işaret ettiğini ileri sürüyor.
“Kümülatif olarak İsraillilere ait milyonlarca kayıttan bahsediyoruz. Bu çok ciddi” diye vurguluyor. “İsrail ekonomisine zarar vermedi ama çok fazla hasara yol açtı ve bazı şirketler hala bunun bedelini ödüyor.”