İran devleti destekli gelişmiş kalıcı tehdit (APT) grupları, hacktivist kılığına girerek İsrail’in kritik altyapısına ve hava savunma sistemlerine saldırılar yapıldığını iddia ediyor.
Gazze’deki tehdit aktörleri ise radyo sessizdiCrowdStrike’ın yeni bir raporuna göre, son aylarda İsrail’e yönelik siber saldırıların çoğunluğu hacktivist operasyonlar ve bunları “TV’de oynayan” ulus devlet aktörleri tarafından gerçekleştirildi.
Bu sözde “sahtecilikçiler” şu ana kadar İsrail-Gazze savaşı üzerinde karışık bir etki yarattılar; birçok halkla ilişkilerin kazandığını iddia ettiler, ancak gerçekten yıkıcı saldırıların az olduğuna dair kanıt bıraktılar.
Modelin faydaları daha açık: devlet için makul bir inkar katmanı oluşturmak ve halkta saldırıların tabandan ilham aldığı izlenimini yaratmak. Bu inkar edilebilirlik her zaman devlet destekli siber saldırılarda önemli bir etken olsa da, araştırmacılar bu örneği maskaralığın ardındaki çaba açısından dikkate değer olarak nitelendirdi.
CrowdStrike’ın karşı düşman operasyonlarından sorumlu kıdemli başkan yardımcısı Adam Meyers, bu hafta düzenlediği basın toplantısında, “Ulus devletlerin bu ‘inkar edilebilir’ yeteneğe sahip olmaya çalıştığı anlaşılan çok sayıda hacktivist faaliyet gördük” dedi. “Ve böylece bu gruplar, geleneksel olarak web sitesi tahrifatı ve DDoS saldırılarından çok sayıda hack ve sızıntı operasyonuna geçerek faaliyetlerini sürdürmeye devam ediyor.”
İranlı Fakektivistler
Fakektivistler, İstihbarat Bakanlığı’na bağlı BANISHED KITTEN’in cephesi olan “Karma Power” gibi ulus devlet aktörleri olabilir veya “Malek Ekibi” aslında SPECTRAL KITTEN – veya HAYWIRE KITTEN gibi kurumsal şirketler – çeşitli zamanlarda Yare Gomnam Siber Ekibi adıyla faaliyet gösteren İslam Devrim Muhafızları yüklenicisi Emennet Pasargad ile bağlantılı ve al Toufan Ekibi (diğer adıyla Siber Toufan).
Sahteciler, kişiliği satmak için estetiği, retoriği, taktikleri, teknikleri ve prosedürleri (TTP’ler) ve bazen de meşru hacktivist kıyafetlerle ilişkilendirilen gerçek isimleri ve ikonografiyi benimsemeyi severler. Dikkatli gözler, bunların genellikle büyük jeopolitik olayların hemen ardından, yerleşik bir faaliyet geçmişi olmaksızın, hükümet sponsorlarının çıkarlarıyla uyumlu olarak ortaya çıktığını fark edecektir.
Çoğu zaman sahtecileri hacktivistlerden ayırmak zordur çünkü her biri diğerinin faaliyetlerini teşvik edebilir ve destekleyebilir.
Ekim sonrası İran’ın sahtecilerinin (gerçek ya da gerçek dışı) faaliyetleri, kritik altyapıya ve İsrail’in “Demir Kubbe” füze savunma sistemine yönelik sözde saldırıların yanı sıra sık sık yapılan bilgi operasyonlarını içeriyordu.
Ve ilki genellikle ikincisinin zayıf bir görünümüdür. Sahteciler seçilmiş sayıda başarıya ulaşırken not ihlalleriçoğunluğunun düşük maddi etkiye sahip fırsatçı saldırılar olduğu görülmektedir. Bir tarafın moralini yükseltirken diğer tarafın moralini bozun.
Meyers, “İsrail’i hedef alan aksamalar gördük, gelen füze saldırıları hakkında uyarı veren hava uyarı sistemleri gibi şeylere odaklanıldı. Elbette İsrail’deki altyapıyı bozmaya yönelik girişimler de gördük” dedi ve bu tür faaliyetlerin muhtemel olduğunu ekledi. İsraillileri terörize etmeye devam edecek. “Bu, temelde Rusya’nın Ukrayna’da kullandığı, halkı nasıl terörize edebileceğimize, hükümetlerini gayri meşru hale getirebileceğimize ve bazı şeylere güvenmemelerine neden olabileceğimize dair taktik kitabın aynısı.”
Hamas Tehdit Aktörlerinin Bıraktığı Boşluk
İran’ın sahteciliği İsrail’de yükselirken aynı zamanda Hamas’la bağlantılı siber faaliyetler de büyük bir düşüş yaşadı.
İsrail’deki 7 Ekim terörist saldırısından bu yana, tehdit analistleri Extreme Jackal (diğer adıyla BLACKSTEM, MOLERATS) ve Renegade Jackal (diğer adıyla DESERTVARNISH, UNC718, Desert Falcons, Arid Viper) gibi Hamas bağlantılı siber tehdit aktörlerinden sürekli olarak hiçbir şey bulamadılar.
CrowdStrike raporunda bunun, bölgedeki önemli İnternet kesintileriyle açıklanabileceğini öne sürüyor. Savaşın başlangıcından bu yana Gazze’deki bağlantının kinetik savaş, elektrik kesintileri ve dağıtılmış hizmet reddi (DDoS) saldırılarının bir kombinasyonu nedeniyle engellendiği açıklandı.
Konuya ilişkin örnek: Komuta ve kontrol (C2) altyapısı savaşın başlangıcından bu yana aktif kalan Hamas bağlantılı bir grup – CruelAlchemy – var. Grubun Gazze bağlantılı olmasına rağmen fiziki olarak Türkiye’de yerleşik olduğu görülüyor.
Dolayısıyla Hamas çevrimiçi MIA olarak kalırken, müttefikleri aradaki farkı kapatıyor (kalite olmasa da hacim olarak).
Meyers, “Önemli olan şu ki, APT’ler çoğalmaya devam ediyor. Her yıl daha fazla tehdit aktörü görüyoruz ve bu tehdit aktörlerinin her yıl daha fazla faaliyet gösterdiğini görüyoruz” diyor.