İranlı Hacker Kümesi, Türkiye’yi Amaç Almaya Başladı

0

Dünya çapında siber ataklar değerli ölçüde artmaya devam ederken, bugün Türkiye’ye yönelik yapılan bir siber hücum ortaya çıkarıldı. Ağ teknolojileri şirketi Cisco’nun bünyesinde bulunan Talos İstihbarat Kümesi, İran dayanaklı bir hacker kümesinin Türkiye’ye yönelik yaptığı siber taarruzun ayrıntılarını ortaya çıkardı.

Cisco Talos tarafından paylaşılan ayrıntılı blog gönderisine nazaran neredeyse kesin olarak MuddyWater isimli ‘gelişmiş daima tehdit (GST)’ taarruz kümesi tarafından yapılan taarruz, özel Türk kuruluşları ve devlet kurumlarını amaç alıyordu. Hücum, berbat emelli kodlar içeren PDF’ler ve Office belgeleri üzere evraklarla gerçekleştiriliyordu.

Gelecek taarruzlar için köprü olacak kodları bilgisayar yüklüyorlardı

Talos tarafından yapılan açıklamaya nazaran MuddyWater’a bağlı olduğu düşünülen ataklar, Kasım 2021’e kadar takip edilebildi. TÜBİTAK’ı da maksat aldığı açıklanan taarruzlarda kullanılan makûs emelli evraklar, çoklukla e-posta üzerinden gönderiliyorlardı. Bu evraklar indirilip açıldığındaysa bir indirme kontağı yer alıyor ve bu ilişki, ‘snapfile.org’ üzerinden hackerlara erişim sağlayacak ziyanlı yazılımı içeren bir Excel belgesi indiriliyordu.

Evraklar, olabildiğince az kuşkulu gözükmek içinse Türkçe ve resmi isimleri kullanıyordu. Bu belge isimlerinden kimileri, belgenin Sıhhat ya da İçişleri Bakanlığı tarafından gönderilmiş olabileceğine işaret ediyor, kimileriyse ‘Süreç_No’ yahut ‘Teklif_form_onayli’ üzere kıymetli gösterilmek üzere isimlendiriliyordu.

Bilgisayara PDF belgesindeki ilişkiye tıklanarak indirilen evrak aracılığıyla yüklenen ziyanlı yazılım, bilgisayarda PowerShell kodlarının uzaktan çalıştırılmasını sağlıyordu. Çalıştırılan kodlar, başka hücumları sağlayacak ek kodlar için bir indirme yöneticisi misyonu görüyordu. Böylece hackerlar, bu bilgisayarlara istedikleri saldırıyı yapabilme imkânına sahip oluyorlardı.

Kelam konusu hücum hakkında Trakya Üniversitesi ve Ulusal Siber Olaylara Müdahale Merkezi (USOM), daha evvel bu hücum hakkında bir ikaz paylaşmıştı. Trakya Üniversitesi’nin ikazında belgelerin gönderildiği e-posta adresleri ve ziyanlı yazılım denetim merkezi olduğu bedellendirilen IP adresleri yer alıyordu. Bu ihtardaki adresler, Talos’un araştırmasıyla uyuşuyor.

MuddyWater kümesi kimdir?

MuddyWater olarak bilinen İran merkezli hacker kümesi, bugüne kadar casusluk, fikri mülkiyet hırsızlığı ve fidye gayesiyle taarruzlar düzenledi. 2017 yılından beri etkin olan küme, ABD Siber Komutanlığı tarafından İran İstihbarat ve Güvenlik Bakanlığı’yla bağdaştırıldı.

Taarruz hakkında daha fazla teknik ayrıntı öğrenmek için, Talos’un blog gönderisine buraya tıklayarak ulaşabilirsiniz.

(Visited 1 times, 1 visits today)
Cevap bırakın

E-posta hesabınız yayımlanmayacak.

Bu web sitesi deneyiminizi geliştirmek için çerezleri kullanır. Bununla iyi olduğunuzu varsayacağız, ancak isterseniz vazgeçebilirsiniz. Kabul etmek Mesajları Oku