İranlı grubun hatası iç işleyişi ortaya çıkardı

İranlı bir grubun yaptığı operasyonda güvenlik hatası sebebiyle, internet sitelerini hackleyen ve siber saldırılar düzenleyen grupların iç işleyişi ortaya çıktı.

SİBER GÜVENLİK 27.07.2020, 13:31 27.07.2020, 15:47
İranlı grubun hatası iç işleyişi ortaya çıkardı

Geçtiğimiz günlerde İranlı bir grup tarafından yapılan bir operasyon güvenliği hatası, internet sitelerini hackleyen ve siber saldırılar düzenleyen grupların iç işleyişini ortaya koydu ve perde arkasındaki yöntemlerine bakılmasına imkan verdi.IBM bünyesindeki X-Force Acil Müdahale ve İstihbarat Servisi (IRIS) ITG18 (ismi Charming Kitten, Phosphorous veya APT35 olarak da duyulmuş olan) adlı devlet destekli hacker grubunun yeni üyelerini eğitmek için kullandığı yaklaşık beş saatlik videoyu kayıt altına aldı. 


Videolardaki kurban hesaplarının bazıları ABD ve Yunan Donanması personelinin kişisel hesapları olmalarının yanı sıra, videolar ABD dışişleri bakanlığı görevlilerine ve ismi bilinmeyen bir İran-Amerikan hayırseverine yönelik başarısız kimlik avı girişimlerini de içeriyordu. Konuyla ilgilenen araştırmacılar "Videoların bazılarında hackerın kendileri tarafından oluşturulmuş hesapları yönettiği, diğerlerindeyse daha önceden ele geçirdikleri veya güvenlik duvarlarını aştıkları hesaplara erişimlerini test ettiği ve verileri dışarı sızdırdığı görülüyor" dediler.


IBM araştırmacıları videoları güvenlik ayarlarının yanlış yapılandırılması nedeniyle açıkta kalan sanal bir cloud sunucusunda bulduklarını söyledi. Bu yılın içinde birçok ITG18 domain'inin bulunduğu tespit edilen sunucuda 40 gigabayttan fazla veri vardı. Ele geçirilen video dosyaları ITG18'in spear-phishing adı verilen bir yolla hedeflerin e-posta ve sosyal medya kimlik bilgilerine erişebildiğini, hesaplarda oturum açmak için bu bilgileri kullanarak kurbanların uyarılmasını engellemek içinse şüpheli oturum açma bilgi ve bildirimlerini sildiklerini ve böylece rahat bir şekilde Google Drive'daki kişiler, fotoğraflar ve belgelere eriştiklerini gösteriyor.


Araştırmacılar "Ayrıca hacker kurbanların Chrome'dan ve ilişkililendirilmiş Android cihazlarından Google hesaplarının elde ettiği verileri kullanarak konum bilgilerini de içeren kayıtları dışa aktarmalarını sağlayan Google Takeout'ta (takeout.google.com) oturum açmış." bilgisini de not ettiler. 

Bunun yanı sıra Bandicam'ın ekran kayıt aracı kullanılarak çekilen videolar operasyonun arkasındaki hackerların kurbanlarının kimlik bilgilerini Zimbra'nın e-posta yazılımına bağladığını ve bu şekilde  e-posta hesaplarını izleyip yönettiklerini gösteriyor. Araştırmacılar saldırganların e-posta hesapları dışında bankalardan, video ve müzik akışına; pizza dağıtımından, bebek ürünleri gibi önemsiz şeylere kadar en az 75 farklı web sitesinde güvenliği ihlal edilmiş kullanıcı adları ve şifrelerinin uzun bir listesini tuttuklarını belirttiler.
Diğer klipler ITG18 grubunun Yahoo! hesaplarını kullanarak -içlerinden birisinde İran ülke koduna (+98) sahip bir telefon numarası bilgisi de var- kurbanlarına kimlik avcılığı içerikli mesajlar gönderdiklerini ve bazı mesajların/e-postaların kurbanın gelen kutusuna ulaşmadığını gösteren geribildirimler aldığını gösteriyor.


Araştırmacılar "Videolarda hacker bir kurbanın kimlik bilgilerini doğruladığı sırada eğer çok faktörlü kimlik doğrulama (MFA) ile korunan bir sitede başarılı bir kimlik doğrulaması yapıyorsa, duraklıyor ve erişim elde etmeden başka birisinin kimlik bilgilerine geçiyor" dediler. ITG18 İran'ın jeopolitik çıkarlarına hizmet edecek istihbarat toplama ve casusluk çalışmalarında kullanılması adına ABD'nin ve Ortadoğu'daki çeşitli askeri, diplomatik ve hükümet personelinin hedef alınmasında uzun bir geçmişe sahip.
Videolardan alınacak bir ders varsa o da daha güçlü şifreler kullanarak, çift faktörlü kimlik doğrulamayı açarak ve üçüncü taraf uygulamalarının erişimini inceleyip, sınırlayarak hesaplarınızı güvence altına almanız gerekiyor.


IBM X-Force araştırmacıları, "Yunan ve ABD Donanması üyelerinin kişisel dosyalarının ele geçirilmesi Umman Körfezi ve Arap Körfezi'nde meydana gelen sayısız olay ile ilgili casusluk operasyonlarını destekliyor olabilir." diyerek şöyle devam etti: "Grup kamuya yapılmış olan çok sayıda açıklamaya ve hackerlık faaliyetlerine ilişkin geniş raporlamalara rağmen operasyonlarında kalıcılık sağladığını ve sürekli olarak yeni altyapı oluşturduklarını gösterdi."

17°
açık