Siber güvenlik araştırmacıları Kuveyt ve Suudi Arabistan’daki kritik altyapılara yönelik İran siber casusluk saldırı raporluyorlar. Bitdefender firması, istihbarat toplama operasyonlarının , İran’ın kendi jeopolitik çıkarlarına hizmet eden kişisel bilgileri toplamak için Orta Doğu’daki telekomünikasyon ve seyahat endüstrilerine yaptığı saldırılarla bilinen bir tehdit oyuncusu olan Chafer APT ( APT39 veya Remix Kitten) tarafından yürütüldüğünü söyledi [1][2].
Geçen yıl yayınlanan bir FireEye raporu da Apt39’un özellikle telekomünikasyon ve seyahat endüstrilerine odaklandığını söylüyordu [3];
“Telekomünikasyon firmaları, büyük miktarda kişisel ve müşteri bilgilerini sakladıkları, iletişim için kullanılan kritik altyapıya erişim sağladıkları ve çok sayıda dikey alanda çok çeşitli potansiyel hedeflere erişebildikleri için cazip hedeflerdir.”
Bu sefer ki Bitdefender raporunda APt39’un faaliyetleri şöyle açıklandı;
“Analiz edilen saldırılardaki kurbanlar hep Ortadoğu’da hava taşımacılığı ve devlet şirketlerinde çalışan kişiler. Saldırılardan en az birinin 2018’den bu yana yani bir buçuk yıldan fazla bir süre boyunca keşfedilmediği de görülüyor [2].
Saldırılar için çeşitli araçlar kullanılmış. Özel yaratılmış arka kapılar da mevcut. Bu nedenle de tespit edilmesi zor oluyormuş.
APT39 Türkiye’ye de Saldırıyor
Geçen yıl Polo Alto, 2014 yılından bu yana aktif olduğu bilinen Chafer APT’ın Türk devlet kurumlarına da saldırı yaptığını raporlamıştı [4][5].
APT39, kötü niyetli eklere sahip oltalama e-postaları ya da arka kapı araçları kullanıyor. Bu yolla saldırdığı sunucularda yetki kazanıyor, iç keşifler yapıyor, içeride kalıcılık ortamı oluşturuyor.
Bitdefender’a göre Kuveyt saldırısını daha ayrıntılı yapan şey, kurbanların makinesinde bir kullanıcı hesabı oluşturma ve ağ taraması (CrackMapExec), kimlik bilgisi toplama (Mimikatz) ve yanlamasına hareket etme de dahil olmak üzere ağ içinde kötü niyetli eylemler gerçekleştirebilmeleridir.
Araştırmacılar, aktivitelerin çoğunun Cuma ve Cumartesi günleri yani Orta Doğu’ya özgü hafta sonu ile çakıştığını söylediler.
Suudi Arabistan’a yapılan saldırı ise, kurbanı uzaktan yönetim aracı (RAT) yürütmek için kandırmak için sosyal mühendislik kullanımını içeriyordu ve bazı bileşenleri Kuveyt ve Türkiye’ye karşı kullanılanlarla benzerlikler taşıyordu.
Güvenlik araştırmacılarına göre, Kuveyt ve Suudi Arabistan’a yönelik saldırılar, İran’ın siber casusluk çabalarının yavaşlama belirtisi göstermediğini düşündürüyor. İlgili endüstrilerin hayati niteliği göz önüne alındığında, APT39 eylemleri önemli olarak görülüyor. Bunu da Bitdefender şöyle açıklıyor;
“Bu iki sektör Orta Doğu’da meydana gelen en son saldırı örnekleri olsa da, bu tür saldırıların dünyanın herhangi bir yerinde olabileceğini ve hükümet ve hava taşımacılığı gibi kritik altyapıların çok hassas hedefler olarak kaldığını anlamak önemlidir.”
[1] APT39 (Chafer, Remix Kitten)
[2] Iranian Chafer APT Targeted Air Transportation and Government in Kuwait and Saudi Arabia
[3] APT39: An Iranian Cyber Espionage Group Focused on Personal Information
[4] New Python-Based Payload MechaFlounder Used by Chafer
[5] Araştırmaya Göre, İranlılar –Türkiye Dahil– VPN Sunucularına Sızmaya Uğraşıyor