İran İlişkili Hacking Grubunun KRG ve Irak Hükümetine Yönelik Yeni Siber Saldırıları
Son dönemde, İran ile bağlantılı bir hacking grubu olan BladedFeline, Kürt ve Irak hükümeti yetkililerini hedef alan yeni bir dizi siber saldırı gerçekleştirdi. Bu saldırılar, ESET tarafından hazırlanan teknik raporda detaylandırılmıştir. Grubun, 2017 yılından bu yana Kürdistan Bölgesel Hükümeti’ne (KRG) yönelik siber faaliyetlerde bulunduğu bildirilmektedir.
BladedFeline ve Aktivite Alanları
ESET, BladedFeline grubunun, İran devletine ait OilRig siber aktörünün bir alt kümesi olduğuna inanmaktadır. Şirket, BladedFeline’in Irak ve KRG içindeki kuruluşlara erişim sağlamak için kötü amaçlı yazılımlar geliştirdiğini belirtmektedir. Bu grup, Kürt diplomatik resmi ve Irak hükümeti yetkililerine yönelik sürekli bir sızma çabası içerisindedir. Özellikle, Özbekistan’daki bir telekomünikasyon sağlayıcısı üzerinde de çalışarak bölgedeki etkisini artırmayı hedefliyor.
Saldırıların İşleyişi ve Kullanılan Yöntemler
BladedFeline’in 2024’te ilk defa belgeye döküldüğü tarih olan Mayıs 2024 itibarıyla, KRG’ye yönelik bir hükümet kuruluşuna saldırı gerçekleştirdiği gözlemlenmiştir. Grubun Shahmaran adlı basit bir arka kapı kullanarak sızdığı belirtildi. Bu arka kapı, uzaktan bir sunucu ile bağlantı kurarak, enfekte olan sistemde her türlü komutu çalıştırma yeteneğine sahiptir.
Hacker grubu, ayrıca geçen yıl düzenlediği saldırılarda Whisper, Spearal ve Optimizer gibi özel arka kapılar kullanarak, Irak’ın komşu ülkelerinde de siber saldırılara imza atmıştır. ESET’in notlarına göre, BladedFeline, özellikle Irak’taki diplomatik ve finansal bilgileri toplamaya büyük yatırım yapmıştır.
İlk Erişim Yöntemi ve Uzun Süreli Erişim Sağlama
KRG hedefleri üzerinde uygulanan saldırıların başlangıçta hangi yöntemle yapıldığı tam olarak bilinmemekle birlikte, bir internet uygulamasındakı zafiyetin etkili olduğu düşünülmektedir. Bu sayede, Irak hükümeti ağlarına sızmış ve Flog web shell kullanarak sürekli uzaktan erişim sağlamıştır.
BladedFeline’in kullandığı arka kapılar arasındaki çeşitlilik, grup üyelerinin kötü amaçlı yazılım portföyünü geliştirme kararlılığını göstermektedir. Whisper arka kapısı, Microsoft Exchange sunucusunda bir webmail hesabına giriş yaparak saldırganlarla iletişim kurmak için kullanılmaktadır. Bu tür iletişim, e-posta ekleri aracılığıyla gerçekleşmektedir. Diğer yandan, Spearal adlı arka kapı, komut kontrol iletişimi için DNS tünellemesi teknolojisini kullanmaktadır.
Saldırılar ve Kullanılan Diğer Araçlar
Aralık 2023’te gözlemlenen bazı saldırılarda, Slippery Snakelet adında Python tabanlı bir implant kullanıldığı ve bu implantın, sınırlı yeteneklere sahip olduğu, dosya indirme ve yükleme işlemleri gerçekleştirebildiği belirlenmiştir. Bunun yanı sıra, BladedFeline, Laret ve Pinar gibi çeşitli tünelleme araçları kullanarak hedef ağına erişimini sürdürmektedir.
Ayrıca, ESET’in adlandırdığı PrimeCache isimli zararlı bir IIS modülü, saldırganın belirlediği komutları işlemek için HTTP taleplerini izlemekte ve enfekte olan sistemlerde dosyaları dışarı sızdırmaktadır. Bu yapı, ilk başta OilRig ile benzerlik göstermektedir ve grup içindeki hiyerarşiyi sorgulamak için bir temel oluşturmaktadır.
ESET’in Bulgu ve Sonuçları
ESET, bu grubun özellikle KRG ve Irak Hükümeti için siber casusluk amacıyla faaliyet gösterdiğini vurgulamaktadır. Irak’ın, Batılı ülkelerle olan diplomatik ilişkileri ve Kürdistan bölgesindeki petrol rezervleri, İran yanlısı tehdit aktörleri için ilgi çekici hedefler haline gelmektedir. Bugün gelinen noktada, bu tür siber saldırıların İran hükümetinin stratejik çıkarlarına hizmet ettiğine dair güçlü bir inanç vardır.
Tüm bu bulgular, BladedFeline’in varlığının siber dünyadaki önemini ve bu grupların uluslararası ilişkilerdeki ciddiyetini gözler önüne sermektedir.
