İran hükümeti hackerlarının, dünya genelinde rejime karşı duran gazeteciler, muhalif gruplar ve muhalif kişilerden veri çalmak için Telegram’ı kullandığı bildirildi. Bu bilgi, Cuma günü yayımlanan bir FBI uyarısında yer aldı.
Saldırının ilk aşamasında, hackerlar hedefleriyle iletişime geçerek, tanıdık bir kişi veya teknik destek gibi davranıyor ve onları Telegram ve WhatsApp gibi meşru uygulamalar olarak görünen zararlı dosyaları indirmeye ikna ediyor. Hedef, kötü amaçlı yazılımı kurduğunda, saldırının ikinci aşaması devreye giriyor ve enfekte olan kişi, hackerların uzaktan komut ve kontrol sağladığı Telegram botları ile bağlantılandırılıyor. Bu şekilde, hackerlar kurbanların cihazlarına uzaktan erişim sağlıyor; dosyaları çalabiliyor, ekran görüntüleri alabiliyor ve Zoom görüşmelerini kaydedebiliyor.
Telegram’ı uzaktan cihaz kontrolü için kullanmak, hackerların kötü amaçlı faaliyetleri gizlemek amacıyla legitimate ağ trafiği içinde saklanma yöntemlerinden biri. Bu durum, siber güvenlik savunucuları ve kötü yazılım önleyici ürünlerin tehditleri tespit etmesini zorlaştırıyor.
FBI’ya göre, bu saldırılardan sorumlu olan hackerlar, İran’ın İstihbarat ve Güvenlik Bakanlığı (MOIS) için çalışıyorlar. FBI, bu saldırıların İran hükümeti hackerlarının rejimin “jeopolitik gündemini” dayatma çabalarının bir örneği olduğunu belirtti.
Bize Ulaşın
Handala veya diğer İran bağlantılı hacker operasyonları hakkında daha fazla bilginiz var mı? Çalışma dışı bir cihazdan, Lorenzo Franceschi-Bicchierai’ye Signal üzerinden +1 917 257 1382 numarasından güvenli bir şekilde ulaşabilirsiniz ya da Telegram, Keybase ve Wire üzerinden @lorenzofb ile iletişim kurabilirsiniz.
Uyarıda, FBI, pro-Iranian ve pro-Filistin yanlısı sahte hacktivist grup Handala’dan bahsetse de, bu uyarıda referans verilen saldırıların bu grup tarafından gerçekleştirilip gerçekleştirilmediği net değil. Bu ayın başlarında Handala, tıbbi teknoloji devlerinden Stryker’a yönelik bir saldırının sorumluluğunu üstlendi ve bu saldırı sonucu on binlerce çalışanın cihazının silinmesine yol açtı.
Pazartesi günü ABD Menkul Kıymetler ve Borsa Komisyonu’na yapılan bir 8-K bildiriminde, Stryker’ın siber saldırının ardından hala iyileşme sürecinde olduğu belirtildi.
Geçtiğimiz hafta, ABD Adalet Bakanlığı Handala’yı İran hükümetinin, özellikle MOIS’in bir ön cephesi olarak suçladı ve Stryker hackinin arkasında olduğunu iddia etti. Aynı zamanda FBI, Handala ile bağlantılı iki web sitesini kapatıp el koydu ve “Homeland Justice” adlı bir diğer İran hacktivist grubuyla ilişkilendirilen iki başka siteyi de hedef aldı. Yakın zamanda yayımlanan FBI uyarısında, iki grubun MOIS tarafından kontrol edildiği ve bağlantılı olduğu ifade edildi.
FBI’dan bir sözcü, e-posta ile yaptığı açıklamada, “ek bir yorumumuz yok” dedi.
Telegram sözcüsü Remi Vaughn ise platformun “moderatorlerinin kötü amaçlı yazılımlarla ilişkili bulunan hesapları rutin olarak kaldırdığını” belirtti.
FBI ve Telegram’ın yanıtlarını içerecek şekilde güncellenmiştir.
