İran ile İsrail arasındaki rekabet siber güvenlik alanında da yerini aldı.
Bilgi güvenliği şirketi ESET, “OilRig” adlı İran bağlantılı hacker grubunun 2021 ve 2022 yıllarında İsrail kurumlarını hedef alan iki ayrı siber saldırı gerçekleştirdiğini ortaya çıkardı.
ESET, siber casusluk amacıyla yürütülen “Outer Space” ve Juicy Mix” isimli iki siber saldırının, Orta Doğu’ya odaklanmasıyla tutarlı olarak yalnızca İsrail kurumlarını hedef aldığını açıkladı.
Bilgi güvenliği şirketi ESET’in araştırmasına göre, her iki siber saldırıda da benzer yöntemler kullanıldı. Araştırmaya göre İran bağlantılı OilRig, meşru bir web sitesini ihlal etti ve o siteyi Komuta ve Kontrol (C&C) sunucusu olarak kullandı ve ardından daha önce tespit edilmemiş, açıklanmayan bir arka kapı (back door) güvenlik açığından yararlandı. OilRig, kimlik bilgileri, bilgisayar sistemi oturum açma bilgileri, çerezler, tarama geçmişi ve tarayıcı şifreleri dahil olmak üzere ele geçirilen sistemlerden bilgi toplamak için çeşitli saldırı araçları kullandı.
2021 yılında Outer Space olarak bilinen ilk siber saldırıda OilRig, C#/.NET’te daha önce belgelenmemiş, ESET’teki araştırmacıların “Solar” adını verdiği basit bir arka kapı kullandı. Microsoft Exchange sunucularından yararlanarak bir API aracılığıyla C&C sunucusuyla iletişim kurmak için SampleCheck5000 (SC5k) adlı bir sistem dosyası kullandı.
2022 yılında gerçekleştirilen siber saldırı olan Juicy Mix’te hacker grubu, Solar’ı geliştirerek tespitten kaçınmak için ek yeteneklere ve kod gizleme tekniklerine sahip “Mango” adı verilen daha karmaşık bir arka kapı oluşturdu. Her iki arka kapı da büyük olasılıkla hedeflenen kimlik avı e-postaları yoluyla gönderilen VBS komut dosyaları aracılığıyla dağıtıldı.
ESET, bu kötü amaçlı araç setlerini tanımlamanın ve analiz etmenin yanı sıra İsrail siber güvenlik yetkililerini etkilenen siteler hakkında da bilgilendirdi.
Solar’ın temel işlevleri arasında dosyaları indirme, çıkarma ve otomatik olarak çalıştırma yeteneği vardı. OilRig, Solar’ı kullanmadan önce İsrailli bir insan kaynakları şirketinin internet sunucusunu C&C sunucusu olarak kullanmıştı.
OilRig’in her iki siber saldırısını analiz eden ESET araştırmacısı Zuzana Hromcová yaptığı açıklamada, “Bu tekniğin amacı, uç nokta güvenlik çözümlerinin şüpheli dosyanın gerçekleştirdiği eylemleri incelemesini önlemektir. Bu parametre, analiz ettiğimiz örnekte kullanımda olmasa da gelecek sürümlerde etkinleştirilebilir. “ifadelerini kullandı.
APT34, Lyceum veya Siamesekitten olarak da bilinen OilRig grubu, en az 2014 yılından beri aktif olan ve birincil operasyonel odağının İran’da olduğuna inanılan bir siber casusluk grubu olarak biliniyor. Hacker grubu, öncelikle Orta Doğu’daki hükümetleri ve aralarında kimya, enerji, finans ve iletişimin de bulunduğu çok çeşitli sektörleri hedef alıyor.
İran ile İsrail arasındaki rekabet siber güvenlik alanında da yerini aldı.
Bilgi güvenliği şirketi ESET, “OilRig” adlı İran bağlantılı hacker grubunun 2021 ve 2022 yıllarında İsrail kurumlarını hedef alan iki ayrı siber saldırı gerçekleştirdiğini ortaya çıkardı.
ESET, siber casusluk amacıyla yürütülen “Outer Space” ve Juicy Mix” isimli iki siber saldırının, Orta Doğu’ya odaklanmasıyla tutarlı olarak yalnızca İsrail kurumlarını hedef aldığını açıkladı.
Bilgi güvenliği şirketi ESET’in araştırmasına göre, her iki siber saldırıda da benzer yöntemler kullanıldı. Araştırmaya göre İran bağlantılı OilRig, meşru bir web sitesini ihlal etti ve o siteyi Komuta ve Kontrol (C&C) sunucusu olarak kullandı ve ardından daha önce tespit edilmemiş, açıklanmayan bir arka kapı (back door) güvenlik açığından yararlandı. OilRig, kimlik bilgileri, bilgisayar sistemi oturum açma bilgileri, çerezler, tarama geçmişi ve tarayıcı şifreleri dahil olmak üzere ele geçirilen sistemlerden bilgi toplamak için çeşitli saldırı araçları kullandı.
2021 yılında Outer Space olarak bilinen ilk siber saldırıda OilRig, C#/.NET’te daha önce belgelenmemiş, ESET’teki araştırmacıların “Solar” adını verdiği basit bir arka kapı kullandı. Microsoft Exchange sunucularından yararlanarak bir API aracılığıyla C&C sunucusuyla iletişim kurmak için SampleCheck5000 (SC5k) adlı bir sistem dosyası kullandı.
2022 yılında gerçekleştirilen siber saldırı olan Juicy Mix’te hacker grubu, Solar’ı geliştirerek tespitten kaçınmak için ek yeteneklere ve kod gizleme tekniklerine sahip “Mango” adı verilen daha karmaşık bir arka kapı oluşturdu. Her iki arka kapı da büyük olasılıkla hedeflenen kimlik avı e-postaları yoluyla gönderilen VBS komut dosyaları aracılığıyla dağıtıldı.
ESET, bu kötü amaçlı araç setlerini tanımlamanın ve analiz etmenin yanı sıra İsrail siber güvenlik yetkililerini etkilenen siteler hakkında da bilgilendirdi.
Solar’ın temel işlevleri arasında dosyaları indirme, çıkarma ve otomatik olarak çalıştırma yeteneği vardı. OilRig, Solar’ı kullanmadan önce İsrailli bir insan kaynakları şirketinin internet sunucusunu C&C sunucusu olarak kullanmıştı.
OilRig’in her iki siber saldırısını analiz eden ESET araştırmacısı Zuzana Hromcová yaptığı açıklamada, “Bu tekniğin amacı, uç nokta güvenlik çözümlerinin şüpheli dosyanın gerçekleştirdiği eylemleri incelemesini önlemektir. Bu parametre, analiz ettiğimiz örnekte kullanımda olmasa da gelecek sürümlerde etkinleştirilebilir. “ifadelerini kullandı.
APT34, Lyceum veya Siamesekitten olarak da bilinen OilRig grubu, en az 2014 yılından beri aktif olan ve birincil operasyonel odağının İran’da olduğuna inanılan bir siber casusluk grubu olarak biliniyor. Hacker grubu, öncelikle Orta Doğu’daki hükümetleri ve aralarında kimya, enerji, finans ve iletişimin de bulunduğu çok çeşitli sektörleri hedef alıyor.
İran ile İsrail arasındaki rekabet siber güvenlik alanında da yerini aldı.
Bilgi güvenliği şirketi ESET, “OilRig” adlı İran bağlantılı hacker grubunun 2021 ve 2022 yıllarında İsrail kurumlarını hedef alan iki ayrı siber saldırı gerçekleştirdiğini ortaya çıkardı.
ESET, siber casusluk amacıyla yürütülen “Outer Space” ve Juicy Mix” isimli iki siber saldırının, Orta Doğu’ya odaklanmasıyla tutarlı olarak yalnızca İsrail kurumlarını hedef aldığını açıkladı.
Bilgi güvenliği şirketi ESET’in araştırmasına göre, her iki siber saldırıda da benzer yöntemler kullanıldı. Araştırmaya göre İran bağlantılı OilRig, meşru bir web sitesini ihlal etti ve o siteyi Komuta ve Kontrol (C&C) sunucusu olarak kullandı ve ardından daha önce tespit edilmemiş, açıklanmayan bir arka kapı (back door) güvenlik açığından yararlandı. OilRig, kimlik bilgileri, bilgisayar sistemi oturum açma bilgileri, çerezler, tarama geçmişi ve tarayıcı şifreleri dahil olmak üzere ele geçirilen sistemlerden bilgi toplamak için çeşitli saldırı araçları kullandı.
2021 yılında Outer Space olarak bilinen ilk siber saldırıda OilRig, C#/.NET’te daha önce belgelenmemiş, ESET’teki araştırmacıların “Solar” adını verdiği basit bir arka kapı kullandı. Microsoft Exchange sunucularından yararlanarak bir API aracılığıyla C&C sunucusuyla iletişim kurmak için SampleCheck5000 (SC5k) adlı bir sistem dosyası kullandı.
2022 yılında gerçekleştirilen siber saldırı olan Juicy Mix’te hacker grubu, Solar’ı geliştirerek tespitten kaçınmak için ek yeteneklere ve kod gizleme tekniklerine sahip “Mango” adı verilen daha karmaşık bir arka kapı oluşturdu. Her iki arka kapı da büyük olasılıkla hedeflenen kimlik avı e-postaları yoluyla gönderilen VBS komut dosyaları aracılığıyla dağıtıldı.
ESET, bu kötü amaçlı araç setlerini tanımlamanın ve analiz etmenin yanı sıra İsrail siber güvenlik yetkililerini etkilenen siteler hakkında da bilgilendirdi.
Solar’ın temel işlevleri arasında dosyaları indirme, çıkarma ve otomatik olarak çalıştırma yeteneği vardı. OilRig, Solar’ı kullanmadan önce İsrailli bir insan kaynakları şirketinin internet sunucusunu C&C sunucusu olarak kullanmıştı.
OilRig’in her iki siber saldırısını analiz eden ESET araştırmacısı Zuzana Hromcová yaptığı açıklamada, “Bu tekniğin amacı, uç nokta güvenlik çözümlerinin şüpheli dosyanın gerçekleştirdiği eylemleri incelemesini önlemektir. Bu parametre, analiz ettiğimiz örnekte kullanımda olmasa da gelecek sürümlerde etkinleştirilebilir. “ifadelerini kullandı.
APT34, Lyceum veya Siamesekitten olarak da bilinen OilRig grubu, en az 2014 yılından beri aktif olan ve birincil operasyonel odağının İran’da olduğuna inanılan bir siber casusluk grubu olarak biliniyor. Hacker grubu, öncelikle Orta Doğu’daki hükümetleri ve aralarında kimya, enerji, finans ve iletişimin de bulunduğu çok çeşitli sektörleri hedef alıyor.
İran ile İsrail arasındaki rekabet siber güvenlik alanında da yerini aldı.
Bilgi güvenliği şirketi ESET, “OilRig” adlı İran bağlantılı hacker grubunun 2021 ve 2022 yıllarında İsrail kurumlarını hedef alan iki ayrı siber saldırı gerçekleştirdiğini ortaya çıkardı.
ESET, siber casusluk amacıyla yürütülen “Outer Space” ve Juicy Mix” isimli iki siber saldırının, Orta Doğu’ya odaklanmasıyla tutarlı olarak yalnızca İsrail kurumlarını hedef aldığını açıkladı.
Bilgi güvenliği şirketi ESET’in araştırmasına göre, her iki siber saldırıda da benzer yöntemler kullanıldı. Araştırmaya göre İran bağlantılı OilRig, meşru bir web sitesini ihlal etti ve o siteyi Komuta ve Kontrol (C&C) sunucusu olarak kullandı ve ardından daha önce tespit edilmemiş, açıklanmayan bir arka kapı (back door) güvenlik açığından yararlandı. OilRig, kimlik bilgileri, bilgisayar sistemi oturum açma bilgileri, çerezler, tarama geçmişi ve tarayıcı şifreleri dahil olmak üzere ele geçirilen sistemlerden bilgi toplamak için çeşitli saldırı araçları kullandı.
2021 yılında Outer Space olarak bilinen ilk siber saldırıda OilRig, C#/.NET’te daha önce belgelenmemiş, ESET’teki araştırmacıların “Solar” adını verdiği basit bir arka kapı kullandı. Microsoft Exchange sunucularından yararlanarak bir API aracılığıyla C&C sunucusuyla iletişim kurmak için SampleCheck5000 (SC5k) adlı bir sistem dosyası kullandı.
2022 yılında gerçekleştirilen siber saldırı olan Juicy Mix’te hacker grubu, Solar’ı geliştirerek tespitten kaçınmak için ek yeteneklere ve kod gizleme tekniklerine sahip “Mango” adı verilen daha karmaşık bir arka kapı oluşturdu. Her iki arka kapı da büyük olasılıkla hedeflenen kimlik avı e-postaları yoluyla gönderilen VBS komut dosyaları aracılığıyla dağıtıldı.
ESET, bu kötü amaçlı araç setlerini tanımlamanın ve analiz etmenin yanı sıra İsrail siber güvenlik yetkililerini etkilenen siteler hakkında da bilgilendirdi.
Solar’ın temel işlevleri arasında dosyaları indirme, çıkarma ve otomatik olarak çalıştırma yeteneği vardı. OilRig, Solar’ı kullanmadan önce İsrailli bir insan kaynakları şirketinin internet sunucusunu C&C sunucusu olarak kullanmıştı.
OilRig’in her iki siber saldırısını analiz eden ESET araştırmacısı Zuzana Hromcová yaptığı açıklamada, “Bu tekniğin amacı, uç nokta güvenlik çözümlerinin şüpheli dosyanın gerçekleştirdiği eylemleri incelemesini önlemektir. Bu parametre, analiz ettiğimiz örnekte kullanımda olmasa da gelecek sürümlerde etkinleştirilebilir. “ifadelerini kullandı.
APT34, Lyceum veya Siamesekitten olarak da bilinen OilRig grubu, en az 2014 yılından beri aktif olan ve birincil operasyonel odağının İran’da olduğuna inanılan bir siber casusluk grubu olarak biliniyor. Hacker grubu, öncelikle Orta Doğu’daki hükümetleri ve aralarında kimya, enerji, finans ve iletişimin de bulunduğu çok çeşitli sektörleri hedef alıyor.
İran ile İsrail arasındaki rekabet siber güvenlik alanında da yerini aldı.
Bilgi güvenliği şirketi ESET, “OilRig” adlı İran bağlantılı hacker grubunun 2021 ve 2022 yıllarında İsrail kurumlarını hedef alan iki ayrı siber saldırı gerçekleştirdiğini ortaya çıkardı.
ESET, siber casusluk amacıyla yürütülen “Outer Space” ve Juicy Mix” isimli iki siber saldırının, Orta Doğu’ya odaklanmasıyla tutarlı olarak yalnızca İsrail kurumlarını hedef aldığını açıkladı.
Bilgi güvenliği şirketi ESET’in araştırmasına göre, her iki siber saldırıda da benzer yöntemler kullanıldı. Araştırmaya göre İran bağlantılı OilRig, meşru bir web sitesini ihlal etti ve o siteyi Komuta ve Kontrol (C&C) sunucusu olarak kullandı ve ardından daha önce tespit edilmemiş, açıklanmayan bir arka kapı (back door) güvenlik açığından yararlandı. OilRig, kimlik bilgileri, bilgisayar sistemi oturum açma bilgileri, çerezler, tarama geçmişi ve tarayıcı şifreleri dahil olmak üzere ele geçirilen sistemlerden bilgi toplamak için çeşitli saldırı araçları kullandı.
2021 yılında Outer Space olarak bilinen ilk siber saldırıda OilRig, C#/.NET’te daha önce belgelenmemiş, ESET’teki araştırmacıların “Solar” adını verdiği basit bir arka kapı kullandı. Microsoft Exchange sunucularından yararlanarak bir API aracılığıyla C&C sunucusuyla iletişim kurmak için SampleCheck5000 (SC5k) adlı bir sistem dosyası kullandı.
2022 yılında gerçekleştirilen siber saldırı olan Juicy Mix’te hacker grubu, Solar’ı geliştirerek tespitten kaçınmak için ek yeteneklere ve kod gizleme tekniklerine sahip “Mango” adı verilen daha karmaşık bir arka kapı oluşturdu. Her iki arka kapı da büyük olasılıkla hedeflenen kimlik avı e-postaları yoluyla gönderilen VBS komut dosyaları aracılığıyla dağıtıldı.
ESET, bu kötü amaçlı araç setlerini tanımlamanın ve analiz etmenin yanı sıra İsrail siber güvenlik yetkililerini etkilenen siteler hakkında da bilgilendirdi.
Solar’ın temel işlevleri arasında dosyaları indirme, çıkarma ve otomatik olarak çalıştırma yeteneği vardı. OilRig, Solar’ı kullanmadan önce İsrailli bir insan kaynakları şirketinin internet sunucusunu C&C sunucusu olarak kullanmıştı.
OilRig’in her iki siber saldırısını analiz eden ESET araştırmacısı Zuzana Hromcová yaptığı açıklamada, “Bu tekniğin amacı, uç nokta güvenlik çözümlerinin şüpheli dosyanın gerçekleştirdiği eylemleri incelemesini önlemektir. Bu parametre, analiz ettiğimiz örnekte kullanımda olmasa da gelecek sürümlerde etkinleştirilebilir. “ifadelerini kullandı.
APT34, Lyceum veya Siamesekitten olarak da bilinen OilRig grubu, en az 2014 yılından beri aktif olan ve birincil operasyonel odağının İran’da olduğuna inanılan bir siber casusluk grubu olarak biliniyor. Hacker grubu, öncelikle Orta Doğu’daki hükümetleri ve aralarında kimya, enerji, finans ve iletişimin de bulunduğu çok çeşitli sektörleri hedef alıyor.
İran ile İsrail arasındaki rekabet siber güvenlik alanında da yerini aldı.
Bilgi güvenliği şirketi ESET, “OilRig” adlı İran bağlantılı hacker grubunun 2021 ve 2022 yıllarında İsrail kurumlarını hedef alan iki ayrı siber saldırı gerçekleştirdiğini ortaya çıkardı.
ESET, siber casusluk amacıyla yürütülen “Outer Space” ve Juicy Mix” isimli iki siber saldırının, Orta Doğu’ya odaklanmasıyla tutarlı olarak yalnızca İsrail kurumlarını hedef aldığını açıkladı.
Bilgi güvenliği şirketi ESET’in araştırmasına göre, her iki siber saldırıda da benzer yöntemler kullanıldı. Araştırmaya göre İran bağlantılı OilRig, meşru bir web sitesini ihlal etti ve o siteyi Komuta ve Kontrol (C&C) sunucusu olarak kullandı ve ardından daha önce tespit edilmemiş, açıklanmayan bir arka kapı (back door) güvenlik açığından yararlandı. OilRig, kimlik bilgileri, bilgisayar sistemi oturum açma bilgileri, çerezler, tarama geçmişi ve tarayıcı şifreleri dahil olmak üzere ele geçirilen sistemlerden bilgi toplamak için çeşitli saldırı araçları kullandı.
2021 yılında Outer Space olarak bilinen ilk siber saldırıda OilRig, C#/.NET’te daha önce belgelenmemiş, ESET’teki araştırmacıların “Solar” adını verdiği basit bir arka kapı kullandı. Microsoft Exchange sunucularından yararlanarak bir API aracılığıyla C&C sunucusuyla iletişim kurmak için SampleCheck5000 (SC5k) adlı bir sistem dosyası kullandı.
2022 yılında gerçekleştirilen siber saldırı olan Juicy Mix’te hacker grubu, Solar’ı geliştirerek tespitten kaçınmak için ek yeteneklere ve kod gizleme tekniklerine sahip “Mango” adı verilen daha karmaşık bir arka kapı oluşturdu. Her iki arka kapı da büyük olasılıkla hedeflenen kimlik avı e-postaları yoluyla gönderilen VBS komut dosyaları aracılığıyla dağıtıldı.
ESET, bu kötü amaçlı araç setlerini tanımlamanın ve analiz etmenin yanı sıra İsrail siber güvenlik yetkililerini etkilenen siteler hakkında da bilgilendirdi.
Solar’ın temel işlevleri arasında dosyaları indirme, çıkarma ve otomatik olarak çalıştırma yeteneği vardı. OilRig, Solar’ı kullanmadan önce İsrailli bir insan kaynakları şirketinin internet sunucusunu C&C sunucusu olarak kullanmıştı.
OilRig’in her iki siber saldırısını analiz eden ESET araştırmacısı Zuzana Hromcová yaptığı açıklamada, “Bu tekniğin amacı, uç nokta güvenlik çözümlerinin şüpheli dosyanın gerçekleştirdiği eylemleri incelemesini önlemektir. Bu parametre, analiz ettiğimiz örnekte kullanımda olmasa da gelecek sürümlerde etkinleştirilebilir. “ifadelerini kullandı.
APT34, Lyceum veya Siamesekitten olarak da bilinen OilRig grubu, en az 2014 yılından beri aktif olan ve birincil operasyonel odağının İran’da olduğuna inanılan bir siber casusluk grubu olarak biliniyor. Hacker grubu, öncelikle Orta Doğu’daki hükümetleri ve aralarında kimya, enerji, finans ve iletişimin de bulunduğu çok çeşitli sektörleri hedef alıyor.
İran ile İsrail arasındaki rekabet siber güvenlik alanında da yerini aldı.
Bilgi güvenliği şirketi ESET, “OilRig” adlı İran bağlantılı hacker grubunun 2021 ve 2022 yıllarında İsrail kurumlarını hedef alan iki ayrı siber saldırı gerçekleştirdiğini ortaya çıkardı.
ESET, siber casusluk amacıyla yürütülen “Outer Space” ve Juicy Mix” isimli iki siber saldırının, Orta Doğu’ya odaklanmasıyla tutarlı olarak yalnızca İsrail kurumlarını hedef aldığını açıkladı.
Bilgi güvenliği şirketi ESET’in araştırmasına göre, her iki siber saldırıda da benzer yöntemler kullanıldı. Araştırmaya göre İran bağlantılı OilRig, meşru bir web sitesini ihlal etti ve o siteyi Komuta ve Kontrol (C&C) sunucusu olarak kullandı ve ardından daha önce tespit edilmemiş, açıklanmayan bir arka kapı (back door) güvenlik açığından yararlandı. OilRig, kimlik bilgileri, bilgisayar sistemi oturum açma bilgileri, çerezler, tarama geçmişi ve tarayıcı şifreleri dahil olmak üzere ele geçirilen sistemlerden bilgi toplamak için çeşitli saldırı araçları kullandı.
2021 yılında Outer Space olarak bilinen ilk siber saldırıda OilRig, C#/.NET’te daha önce belgelenmemiş, ESET’teki araştırmacıların “Solar” adını verdiği basit bir arka kapı kullandı. Microsoft Exchange sunucularından yararlanarak bir API aracılığıyla C&C sunucusuyla iletişim kurmak için SampleCheck5000 (SC5k) adlı bir sistem dosyası kullandı.
2022 yılında gerçekleştirilen siber saldırı olan Juicy Mix’te hacker grubu, Solar’ı geliştirerek tespitten kaçınmak için ek yeteneklere ve kod gizleme tekniklerine sahip “Mango” adı verilen daha karmaşık bir arka kapı oluşturdu. Her iki arka kapı da büyük olasılıkla hedeflenen kimlik avı e-postaları yoluyla gönderilen VBS komut dosyaları aracılığıyla dağıtıldı.
ESET, bu kötü amaçlı araç setlerini tanımlamanın ve analiz etmenin yanı sıra İsrail siber güvenlik yetkililerini etkilenen siteler hakkında da bilgilendirdi.
Solar’ın temel işlevleri arasında dosyaları indirme, çıkarma ve otomatik olarak çalıştırma yeteneği vardı. OilRig, Solar’ı kullanmadan önce İsrailli bir insan kaynakları şirketinin internet sunucusunu C&C sunucusu olarak kullanmıştı.
OilRig’in her iki siber saldırısını analiz eden ESET araştırmacısı Zuzana Hromcová yaptığı açıklamada, “Bu tekniğin amacı, uç nokta güvenlik çözümlerinin şüpheli dosyanın gerçekleştirdiği eylemleri incelemesini önlemektir. Bu parametre, analiz ettiğimiz örnekte kullanımda olmasa da gelecek sürümlerde etkinleştirilebilir. “ifadelerini kullandı.
APT34, Lyceum veya Siamesekitten olarak da bilinen OilRig grubu, en az 2014 yılından beri aktif olan ve birincil operasyonel odağının İran’da olduğuna inanılan bir siber casusluk grubu olarak biliniyor. Hacker grubu, öncelikle Orta Doğu’daki hükümetleri ve aralarında kimya, enerji, finans ve iletişimin de bulunduğu çok çeşitli sektörleri hedef alıyor.
İran ile İsrail arasındaki rekabet siber güvenlik alanında da yerini aldı.
Bilgi güvenliği şirketi ESET, “OilRig” adlı İran bağlantılı hacker grubunun 2021 ve 2022 yıllarında İsrail kurumlarını hedef alan iki ayrı siber saldırı gerçekleştirdiğini ortaya çıkardı.
ESET, siber casusluk amacıyla yürütülen “Outer Space” ve Juicy Mix” isimli iki siber saldırının, Orta Doğu’ya odaklanmasıyla tutarlı olarak yalnızca İsrail kurumlarını hedef aldığını açıkladı.
Bilgi güvenliği şirketi ESET’in araştırmasına göre, her iki siber saldırıda da benzer yöntemler kullanıldı. Araştırmaya göre İran bağlantılı OilRig, meşru bir web sitesini ihlal etti ve o siteyi Komuta ve Kontrol (C&C) sunucusu olarak kullandı ve ardından daha önce tespit edilmemiş, açıklanmayan bir arka kapı (back door) güvenlik açığından yararlandı. OilRig, kimlik bilgileri, bilgisayar sistemi oturum açma bilgileri, çerezler, tarama geçmişi ve tarayıcı şifreleri dahil olmak üzere ele geçirilen sistemlerden bilgi toplamak için çeşitli saldırı araçları kullandı.
2021 yılında Outer Space olarak bilinen ilk siber saldırıda OilRig, C#/.NET’te daha önce belgelenmemiş, ESET’teki araştırmacıların “Solar” adını verdiği basit bir arka kapı kullandı. Microsoft Exchange sunucularından yararlanarak bir API aracılığıyla C&C sunucusuyla iletişim kurmak için SampleCheck5000 (SC5k) adlı bir sistem dosyası kullandı.
2022 yılında gerçekleştirilen siber saldırı olan Juicy Mix’te hacker grubu, Solar’ı geliştirerek tespitten kaçınmak için ek yeteneklere ve kod gizleme tekniklerine sahip “Mango” adı verilen daha karmaşık bir arka kapı oluşturdu. Her iki arka kapı da büyük olasılıkla hedeflenen kimlik avı e-postaları yoluyla gönderilen VBS komut dosyaları aracılığıyla dağıtıldı.
ESET, bu kötü amaçlı araç setlerini tanımlamanın ve analiz etmenin yanı sıra İsrail siber güvenlik yetkililerini etkilenen siteler hakkında da bilgilendirdi.
Solar’ın temel işlevleri arasında dosyaları indirme, çıkarma ve otomatik olarak çalıştırma yeteneği vardı. OilRig, Solar’ı kullanmadan önce İsrailli bir insan kaynakları şirketinin internet sunucusunu C&C sunucusu olarak kullanmıştı.
OilRig’in her iki siber saldırısını analiz eden ESET araştırmacısı Zuzana Hromcová yaptığı açıklamada, “Bu tekniğin amacı, uç nokta güvenlik çözümlerinin şüpheli dosyanın gerçekleştirdiği eylemleri incelemesini önlemektir. Bu parametre, analiz ettiğimiz örnekte kullanımda olmasa da gelecek sürümlerde etkinleştirilebilir. “ifadelerini kullandı.
APT34, Lyceum veya Siamesekitten olarak da bilinen OilRig grubu, en az 2014 yılından beri aktif olan ve birincil operasyonel odağının İran’da olduğuna inanılan bir siber casusluk grubu olarak biliniyor. Hacker grubu, öncelikle Orta Doğu’daki hükümetleri ve aralarında kimya, enerji, finans ve iletişimin de bulunduğu çok çeşitli sektörleri hedef alıyor.
