İran, siber uzaydaki vekillerini kullanarak Orta Doğu’daki bir ülkeye düzenlediği son siber saldırıda, rakiplerine ve müttefiklerine karşı siber operasyonlarını artırmaya devam ediyor.
Saldırıda, İran İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlı ve APT34 olarak bilinen bir siber casusluk grubu, bir zamanlar düşman olan ve şimdi bazen İran’ın rakibi ve bazen müttefiki olan Irak’taki hükümet bakanlıklarını hedef aldı. Saldırı, Hazel Sandstorm olarak da bilinen grubun tüm ayırt edici özelliklerine sahipti: iletişim için e-posta tünellemesi kullanan özel altyapı, önceki APT34 koduna benzer iki kötü amaçlı yazılım programının kullanımı ve önceki operasyonlara benzer alan adı şemaları.
APT34’ün (diğer adıyla OilRig, Helix Kitten ve Hazel Sandstorm) benzer araç ve yöntemleri kullanarak gerçekleştirdiği önceki saldırılar, Ürdün, Lübnan ve Pakistan da dahil olmak üzere bölgedeki diğer ülkeleri hedef aldı. Siber güvenlik firması Check Point’in araştırma grubunun bir analizi.
“Amaç muhtemelen casusluktur, çünkü bu ülkeler en azından bir dereceye kadar İran’ın müttefikleridir, bu yüzden bu durumda asıl hedefin yıkım olduğunu düşünmüyorum,” diyor Check Point Research’te tehdit istihbarat grubu yöneticisi olan Sergey Shykevich. “Ayrıca teknolojik tarafta da herhangi bir ipucumuz yok herhangi bir yıkıcı amaçve gördüğümüz kadarıyla -özellikle Irak’ta- hedefin veri sızdırma olduğunu açıkça görüyoruz ve [the like].”
Yaklaşık bir yıl önce İsrail ile Hamas arasındaki çatışmanın başlamasının ardından, bölgedeki rekabetler ve ilişkiler değişti. İlkbaharın sonlarında, İran Ürdün’ü eleştirdi — ve daha az ölçüde diğer Arap ülkeleri — İsrail’in İran’ın 13 Nisan’daki Yahudi ulusuna saldırısı sırasında füzeleri izlemesine ve engellemesine yardımcı olduğu bildirildiği için. Bu arada, Irak devam ediyor İran’la güçlü bağlar İran’la bağlantılı siyasi partiler ve vekalet ağları aracılığıyla.
İran’ın Siber Operasyonları Büyüyor
Aynı zamanda İran, bölgedeki siber operasyon stratejisini genişletti. İran İslam Devrim Muhafızları Kolordusu’na (IRGC) bağlı bir grup — ve çeşitli şekillerde APT33 (Mandiant) ve Şeftali Kum Fırtınası (Microsoft) — Birleşik Arap Emirlikleri ve Amerika Birleşik Devletleri’ndeki iletişim ekipmanlarını, hükümet kurumlarını ve petrol ve gaz endüstrisini hedef aldı, genellikle istihbarat toplamak için, Microsoft Ağustos ayında açıkladı.
Geçtiğimiz ayın sonlarında, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Fox Kitten olarak da bilinen İranlı grup Lemon Sandstorm’un, çeşitli ülkelere karşı fidye yazılımı saldırıları düzenledive bir diğer grup, Charming Kitten veya APT42, hem Demokrat hem de Cumhuriyetçi başkanlık kampanyalarıyla ilişkili hedeflenen bireyler.
Siber güvenlik firması Trend Micro’da siber tehdit istihbaratı araştırmacısı olan Mohamed Fahmy, İran’ın siber alanda ve özellikle Orta Doğu bölgesindeki rakiplerine karşı giderek daha fazla güç kullandığını söylüyor.
“APT34 de dahil olmak üzere İranlı APT grupları, son zamanlarda Orta Doğu’yu, özellikle de Körfez bölgesindeki hükümet sektörünü hedef alma konusunda oldukça aktif hale geldi,” diyor. “APT34’ün araç setini ve faaliyetlerini gördüğümüz kadarıyla, mümkün olduğunca çok sayıda kuruluşa sızmayı, daha fazla saldırı başlatmak için tehlikeye atılmış altyapıyı kullanmayı hedefliyorlar. … APT34’ün birincil hedefleri casusluk ve hassas hükümet bilgilerini çalmak gibi görünüyor.”
Kaçamak Yeni Kötü Amaçlı Yazılım: Veaty ve Spearal
Son kampanyada, APT34 bu yılın Mart ve Mayıs ayları arasında Irak’ı hedef alan sahte belge ekleri kullandı ve kullanıcıları bağlantıları açmaya ve bir yükleyici çalıştırmaya ikna etmek için muhtemelen sosyal mühendislik kullandı. Saldırı, bir .NET arka kapısının kurulumuyla sonuçlandı. Şu anda, bir arka kapı Veaty ve diğeri Spearal olarak adlandırılıyor ve her iki kötü amaçlı yazılım ikili dosyası da tehlikeye atılmış sistemlerin komuta ve kontrolüne (C2) izin veriyor.
Check Point, analizinde Veaty ve Spearal’ın kullandığı tekniklerin, her ikisi de APT34’e atfedilen Karkoff ve Saitama olarak bilinen iki başka kötü amaçlı yazılım ailesiyle benzerlikler gösterdiğini belirtti.
Araştırmaya göre İranlı siber operasyon grupları, e-posta konu satırlarına dayalı özel DNS tünelleme protokolleri ve bir C2 kanalı kullanma eğiliminde: “.NET’te yazılmış basit araçların, gelişmiş C2 altyapısıyla bir araya geldiği bu ayırt edici karışım, benzer İranlı tehdit aktörleri arasında yaygındır.”
Check Point’ten Shykevich, APT34 ve İran’ın diğer gruplarının yeteneklerinin daha da artacağını söylüyor.
“Sadece geliştiriyorlar,” diyor. “Sadece aynı içeriği kullanıyorlar, ancak her hedef veya saldırdıkları her ülke, aynı konseptin yeni bir neslini kullanıyorlar… ve onu geliştirip daha gizli hale getiriyorlar [or add other features].”
Orta Doğu’daki şirketler, bir sıfır güven mimarisi Trend Micro’dan Fahmy, yönetilen uç nokta algılama ve yanıt (MDR) yeteneklerine sahip olgun bir güvenlik operasyon merkezi (SOC) kurulması da dahil olmak üzere savunmaları güçlendirmeyi hedefliyor.
Bölgede artan jeopolitik gerginliklerin, siber saldırılar yoluyla istihbarat elde etme çabalarının artması anlamına geleceğini söylüyor.
“Orta Doğu ve Körfez bölgesindeki hükümet sektörleri bu tehdidi ciddiye almalı,” diyor. “Bu gruplar, kötü amaçlı yazılımlarını tespit edilmekten kaçınmak için özelleştirerek ağ ortamına uyum sağlamayı hedefliyor. [so] “Onların tekniklerinin önemli ölçüde değişmediğini anlamak çok önemlidir.”
En son haberleri kaçırmayın Karanlık Okuma Gizli podcastIowa’nın Dallas County bölgesinde kalem testi işlerini yaptıkları için tutuklanan ve geceyi hapishanede geçirmek zorunda kalan iki siber güvenlik uzmanıyla konuşuyoruz. Şimdi dinle!