Güvenlik araştırmacıları, Orta Doğu ve Kuzey Afrika’da gazetecileri, aktivistleri ve devlet yetkililerini hedef alan bir hack-for-hire grubunu tespit ettiklerini duyurdu. Bu siber saldırganlar, phishing saldırılarıyla hedeflerin iCloud yedeklemelerine ve Signal mesajlaşma hesaplarına erişim sağladı ve hedeflerin cihazlarını ele geçirme yeteneğine sahip Android kötü amaçlı yazılımlarını kullandı.
Bu hack kampanyası, devlet ajanslarının siber saldırı operasyonlarını özel hack-for-hire şirketlerine dış outsourcing yaptığı büyüyen bir trendi gözler önüne seriyor. Bazı hükümetler halihazırda, polis ve istihbarat kurumları tarafından insanların telefonlarındaki verilere erişim sağlamak için kullanılan kötü amaçlı yazılım ve istismarlar geliştiren ticari şirketlere bağımlı durumda.
Dijital haklar örgütü Access Now araştırmacıları, 2023 ile 2025 arasında iki Mısırlı gazeteci ve dijital haklar örgütü SMEX tarafından da belgelenen bir Lübnanlı gazeteciye yönelik üç saldırı örneği belgeleri hazırladı.
Mobil siber güvenlik şirketi Lookout da bu saldırıları inceledi. Üç kuruluş, birbirleriyle işbirliği yaparak Çarşamba günü ayrı raporlar yayınladı.
Lookout’a göre, saldırılar sadece Mısırlı ve Lübnanlı sivil toplum üyeleriyle sınırlı değil; Bahreyn ve Mısır hükümetlerindeki hedefleri, ayrıca Birleşik Arap Emirlikleri, Suudi Arabistan, Birleşik Krallık ve muhtemelen Amerika Birleşik Devletleri veya Amerikalı üniversitelerden mezunları da içeriyor.
Lookout, bu casusluk kampanyasından sorumlu olan hackerların, Hint hükümetiyle bağlantıları olan BITTER APT adlı bir hack-for-hire tedarikçisi için çalıştıklarını belirtti. BITTER APT, siber güvenlik şirketleri tarafından, Hindistan hükümetiyle bağlantılı olduğuna dair şüpheler taşımaktadır.
Lookout’da baş araştırmacı olan Justin Albrecht, kampanyanın arkasındaki şirketin Hint hack-for-hire girişimi Appin’in bir uzantısı olabileceğini belirtti ve olası bir şüpheli olarak RebSec adını anarak, 2022 ve 2023’te Reuters’ın kapsamlı soruşturmalarını yayınladığını hatırlattı. Bu soruşturmalar, bu tür şirketlerin iş insanlarını, politikacıları, askeri yetkilileri ve diğerlerini hedef almak için nasıl kiralandığını ortaya çıkardı.
Appin’in daha sonra kapandığı anlaşılıyor, ancak Albrecht, bu yeni hack kampanyasının keşfinin, “bu faaliyetlerin kaybolmadığını ve sadece daha küçük şirketlere geçtiklerini” gösterdiğini belirtti.
Bu gruplar ve müşterileri, “tüm operasyonları ve altyapıyı yönettikleri için olası bir inkar edilebilirlik kazanıyorlar.” Albrecht’e göre, hack-for-hire grupları, ticari kötü amaçlı yazılımları satın almak yerine müşterileri için daha uygun maliyetli bir alternatif sunuyor.
Rebsec’le iletişim kurulamadı; çünkü şirket sosyal medya hesaplarını ve web sitesini silmiş durumda.
Access Now’ın Dijital Güvenlik Yardım Hattı’nda çalışan araştırmacı ve direktör Mohammed Al-Maskati, “bu operasyonların daha ucuz hale geldiğini ve özellikle son kullanıcıyı kim olduğunu bilmeyecek olmamız nedeniyle sorumluluktan kaçmanın mümkün olduğunu” ifade etti.
BITTER gibi gruplar en gelişmiş hacking ve casusluk araçlarına sahip olmasa da, taktikleri son derece etkili olabiliyor.
Bu kampanya kapsamındaki saldırılarda, siber saldırganlar çeşitli teknikler kullandı. iPhone kullanıcılarını hedef alırken, hackerlar, iCloud yedeklemelerine girebilmek için hedeflerin Apple ID kimlik bilgilerini vermesi için onları kandırmaya çalıştılar; bu, hedeflerin iPhone’larının tam içeriğine erişim sağlayacaktı.
Access Now’a göre bu, “daha karmaşık ve pahalı iOS kötü amaçlı yazılımlarının kullanılmasına göre potansiyel olarak daha ucuz bir alternatif.”
Android kullanıcılarını hedeflerken, hackerlar, Signal, WhatsApp ve Zoom gibi popüler mesajlaşma ve iletişim uygulamaları olarak gizlenen ProSpy adlı bir kötü amaçlı yazılım kullandılar; ayrıca Orta Doğu’da popüler olan ToTok ve Botim uygulamalarını kullandılar.
Bazı durumlarda, hackerlar, kurbanları yeni bir cihazı — hackerlar tarafından kontrol edilen — Signal hesaplarına kaydetmeye ikna etmeye çalıştılar; bu teknik, Rus casusları da dahil olmak üzere çeşitli hacking grupları arasında popülerdir.
Washington, D.C.’deki Hindistan büyükelçiliğinden bir temsilci hemen yorum yapmadı.
