İranlı hükümet karşıtı gruplar tarafından sızdırılan belgelerle birlikte kamuya açık kayıtlar, birçok Orta Doğulu siber güvenlik firmasının, İran Devrim Muhafızları Birliği ile bağlantısı olan karmaşık hükümet yetkilileri ve siber güvenlik uzmanlarından oluşan ağların parçası olduğunu gösteriyor.
Emen Net Pasargad ve Mahak Rayan Afraz (MRA) gibi yüklenici firmalar, Batı ülkelerindeki demokratik süreçlere yönelik saldırılardan, endüstriyel kontrol sistemlerinin ve kritik altyapıların hedef alınmasından ve büyük finans kurumlarındaki uzlaşmalardan sorumludur veya bunlara katkıda bulunmuştur. , Kaydedilen Gelecek şurada belirtildi: yeni bir rapor.
Siber güvenlik camiasında yüklenicilerin Cotton Sandstorm’un faaliyetleriyle bağlantılı olduğundan şüpheleniliyor ve İmparatorluk Kedisi – Kızıl Kum Fırtınası olarak da bilinir – sırasıyla tehdit aktörleri.
Raporda Recorded Future’a göre genel olarak araştırma ve sızdırılan veriler, İran’ın askeri ve istihbarat örgütlerine bağlanan “siber merkezler” oluşturan siber operasyonlardan sorumlu müteahhitler ve bireylerden oluşan ağları ortaya çıkarıyor.
Raporda, “Sızıntılar, istihbarat ve askeri örgütlerle İran merkezli müteahhitler arasında uzun süredir devam eden bir ilişkiyi ortaya koyuyor” denildi. “Kamuya açık kayıtlar, Devrim Muhafızları’nın çeşitli şubelerine hizmet ettiği bilinen kişiler aracılığıyla birbirine bağlanan paravan şirketlerin oluşturduğu sürekli büyüyen bir ağa işaret ediyor.”
İran’ın siber operasyon gruplarının maskesini düşürme çabası, Hamas’ın İsrailli sivillere yönelik terör saldırısı ve İsrail’in Gazze’de devam eden askeri operasyonlarının ardından ülkenin askeri ve istihbarat teşkilatlarının saldırılarını artırmasıyla ortaya çıktı. Aralık ayında İran yanlısı hackerlar Batı ülkelerinde çok sayıda su tesisini ihlal etti İsrail yapımı programlanabilir mantık denetleyicileri kullanarak ve İsrail’in kritik altyapısını hedef aldı. Aralık ortasında İsrail yetkilileri İran’ın bir hastaneye izinsiz giriş yaptığını iddia etti. 500 gigabayt tıbbi veriyi çalmak.
ABD daha önce de vardı İran istihbaratıyla bağlantılı yaptırıma tabi gruplarABD ve Avrupa ülkelerindeki kritik altyapılara yönelik siber saldırıların ardından. Secureworks’ün Karşı Tehdit Birimi (CTU) tehdit araştırma direktörü Rafe Pilling, yaptırımların bir sonucu olarak İran’daki birçok yüklenicinin kapandığını ancak uzmanların bunların farklı isimler altında yeniden başlatılmasını beklediğini söylüyor.
“Emen Net Pasargad gibi bir organizasyon [has] esasen birkaç kez yeniden markalaştı veya kimliğini değiştirdi” diyor ve şunu ekliyor: “Onlar [Iran] Kimliklerini korumak ve gizlemek için dünyanın farklı yerlerinde siber suçların ve hacktivist kişiliklerin kullanımına daha fazla yöneliyoruz.”
Suç ve Yaptırımlar
Bazı hükümet karşıtı grupların “hayber merkezleri” olarak adlandırdığı siber merkez kavramı, genellikle çok disiplinli hacker gruplarını ve siber güvenlik uzmanlarını İran’ın hükümet kuruluşlarıyla bir araya getiriyor. İsminin açıklanmasını istemeyen Recorded Future’ın Insikt tehdit istihbarat grubu üyelerine göre, bazı durumlarda başka gruplara ele geçirilen ağlara erişim gibi belirli hizmetler sağlıyorlar.
Kaydedilen Gelecek raporunda, ABD hükümetinin İranlı bireylere ve şüpheli tehdit aktörlerine yönelik suçlamaları ve yaptırımlarının etkili bir araç olduğu ve siber saldırı yüklenicilerinin işlerini zorlaştırdığı belirtildi. Ancak firmanın araştırmacılarına göre uluslararası stratejinin İran’ı siber operasyonlarını sürdürmekten caydırması pek mümkün değil.
Araştırmacılar, “Mevcut çatışmayla ilgili olarak, İslam Cumhuriyeti, Hamas’a ve Gazzelilere olan desteğini neredeyse kesinlikle meşru bir neden olarak gösteriyor” dedi. “İran’ın siber programıyla bağlantılı kişilerin, yaptırımların faaliyetlerini caydıramayacağını iddia eden örneklerini gözlemledik.”
Pilling, şirketlerin muhtemelen İran’daki meşru ticari kuruluşlar olarak değerlendirildiğini söylüyor. “İran’ın kullandığı operasyonel model, daha çok müteahhitlerin kullanıldığı bir model; bazı insanlar onları paravan şirketler olarak adlandırıyor” diyor. “Belki İran’da başka türden yarı meşru işler yapıyorlar, ama aynı zamanda muhtemelen meşru kabul edilen hükümet işleri de yapıyorlar ve bu iş, İran’ın algılanan düşmanlarına karşı saldırgan bir siber faaliyet oluyor.”
Benzersiz Bir İş Düzenlemesi Değil
İranlı müteahhitler hükümet yetkilileriyle anlaşmalarında yalnız değiller. Rusya’nın siber operasyonları genellikle özel şirketler tarafından yürütülüyor. İnternet Araştırma Ajansıiçermek büyük dezenformasyon kampanyaları Bunlar Ukrayna’nın işgalinden önce başlatıldı ve işgal sırasında da devam ediyor.
Recorded Future, raporda vurgulanan müteahhitlerin yalnızca İran’daki operasyonlardan değil, aynı zamanda sınırın ötesinde muhtemelen Irak, Suriye ve Lübnan da dahil olmak üzere diğer ülkelere hizmet satarak kâr elde ettiğini belirtti.
Raporda, “Bu gruplar üzerinde yapılan araştırmalar, İran sınırları dışında siber teknolojilerin ihracatını resmileştiren mali amaçlı faaliyetleri de öne çıkardı” ifadesine yer verildi. “Bu cephede kamuya açık bilgiler hâlâ sınırlı olsa da, bu araştırmada tespit edilen vakalar, yüklenicilerin muhtemelen kazançlı düzenlemelere girişmek için hükümetin en üst düzeylerine nüfuz etmek için IRGCQF’ye güvendiklerini gösteriyor.”