İranlı Hackerların Aero Strafik ve Savunma Sektörüne Yönelik Saldırıları: TWOSTROKE ve DEEPROOT Malware
Giriş
Son yıllarda, İran merkezli tehdit aktörlerinin aero savunma ve havacılık sektörlerine yönelik siber saldırıları arttı. Mandiant tarafından yapılan araştırmalara göre, bu saldırılar TWOSTROKE ve DEEPROOT gibi arka kapı yazılımlarını içermektedir. Bu yazılım türleri, saldırganların hedef sistemlere sızmasını sağlayan etkili araçlar olarak öne çıkmaktadır.
Saldırıların Detayları
Mandiant’a göre, bu saldırılar UNC1549 adlı tehdit grubu tarafından gerçekleştirilmektedir. Bu grup, ilk olarak 2023 yılının sonlarında ortaya çıkmış ve o zamandan beri çeşitli teknikler kullanarak giriş sağlamıştır. Özellikle, üçüncü şahıs ilişkilerini istismar ederek hedefe erişim sağlamak için siber casusluk yöntemlerini kullanmaktadırlar.
Phishing ve Üçüncü Parti İlişkilerinin Kullanımı
Bu saldırılar, genellikle phishing e-postaları aracılığıyla başlamakta ve üçüncü taraf tedarikçilerin zayıf güvenlik önlemlerinden yararlanmaktadır. Araştırmalar, bu gruptaki saldırganların, tedarikçi firmalar aracılığıyla hedef organizasyona sızdığını göstermektedir. Örneğin, Citrix, VMWare ve Azure gibi hizmetlerin kimlik bilgilerini elde ederek, sanal oturumların dışına çıkarak ana sistemlere erişim sağlayabilmektedirler.
Kötü Amaçlı Yazılımlar ve Araçlar
UNC1549 grubu, birçok özel kötü amaçlı yazılım ve aracı kullanmaktadır:
- TWOSTROKE: C++ tabanlı bir arka kapı, sistem bilgilerini toplamak ve dosyaları yönetmek için kullanılmaktadır.
- DEEPROOT: Golang tabanlı bir Linux arka kapısıdır ve komut çalıştırma ile dosya işlemlerini desteklemektedir.
- MINIBIKE: Klavye ve panoya kaydetmeler yaparak kullanıcının hassas bilgilerini çalmaktadır.
- GHOSTLINE ve POLLBLEND gibi tünelleme araçları, sistem içindeki verilerin kötüye kullanılmasını kolaylaştırır.
Ayrıca, AD Explorer gibi halka açık yazılımlar, saldırganların hedef ağların yapısını anlamalarına olanak tanımaktadır.
Uzun Süreli Kalıcılık ve Gizlilik
Mandiant, UNC1549 grubunun bilgisayar sistemlerine sızdıktan sonra uzun süreli kalıcılık sağlamak için çeşitli yöntemler kullandığını belirtmektedir. Saldırganlar, gizli geri bağlantılar kurarak, fark edilmeksizin aylarca sistemde kalmayı başarmaktadırlar. Bu nedenle hedeflerin güvenlik uzmanları, siber tehditleri tespit etmekte zorluk çekmektedir.
Sonuç
İranlı siber tehdit aktörlerinin aero savunma sektörüne yönelik saldırıları, siber güvenlik konusunda ciddi bir tehdit oluşturmaktadır. TWOSTROKE ve DEEPROOT gibi kötü amaçlı yazılımlar, bu saldırıların merkezinde yer almakta ve karmaşık teknikler kullanılarak sızma gerçekleştirmektedir. Organize siber saldırılara karşı daha etkili savunma stratejilerinin geliştirilmesi, bu tehditlerle başa çıkmak için hayati öneme sahiptir.
