Google’a bağlı siber güvenlik şirketi Mandiant tarafından yayınlanan bir rapora göre, İran merkezli hacker grupları, Türkiye, Birleşik Arap Emirlikleri, Arnavutluk, İsrail ve Hindistan’da faaliyet gösteren savunma ve havacılık sektöründeki şirketlere yönelik koordineli bir siber saldırı gerçekleştiriyor.
Bu hacker grupları, Ekim 2022’den bu yana bir dizi saldırı girişiminde bulunarak, özellikle Türkiye, İsrail, Birleşik Arap Emirlikleri, Hindistan ve Arnavutluk’taki savunma ve havacılık sektörlerini hedef alıyor. İranlı Bulut mühendislerinden oluşan istihbarat ekipleri, geliştirdikleri özel bir sistemle şirketlerin içine sızmaya çalışıyor.
Mandiant’ın raporuna göre, bu casuslar ünlü havacılık markalarının ve savunma sanayi şirketlerinin web sitelerini kopyalayarak bilgi toplama girişiminde bulunuyor. Siber saldırı faaliyetleri, Şubat 2024 itibarıyla devam etmekte olup, bu süre zarfında birçok kuruluşun hedef alındığı tespit edildi.
Türkiye’nin de aralarında bulunduğu ülkeler, bu saldırılara karşı oldukça duyarlı bir tutum sergiliyor. Milli İstihbarat Teşkilatı (MİT) Başkanı İbrahim Kalın, MİT 2023 Faaliyet Raporu’nda ülkemizin her türlü siber tehdide karşı teyakkuzda olduğunu ve gerekli önlemleri aldığını belirtti. Türkiye, savunma sanayi ve havacılık alanındaki başarılarıyla dünya genelinde dikkat çekiyor ve bu başarılarından dolayı siber saldırılara maruz kalma potansiyeli taşıyor.
Milli İstihbarat Teşkilatı, siber güvenlik konusunda attığı adımlar ve elde ettiği başarılarla ön plana çıkarken, İbrahim Kalın, tehditlerin evrimine karşı mücadele yöntemlerini sürekli değiştirdiklerini ve geliştiklerini vurguluyor. Türkiye, bu gibi siber saldırı faaliyetlerine karşı etkili bir mücadele stratejisi izlemeye devam ediyor.
Mandiant tarafından yayınlanan raporun özeti:
Mandiant: Orta Doğu Havacılık ve Savunma Sektörlerine Yönelik İran Casusluk Faaliyeti Ortaya Çıkarıldı
Bilgi güvenliği şirketi Mandiant, bugün Orta Doğu ülkelerindeki uzay, havacılık ve savunma sanayilerini hedef alan şüpheli bir İran casusluk faaliyetini tespit ettiğini açıkladı. Şirketin yayınladığı blog yazısında, İslami Devrim Muhafızları Ordusu (IRGC) ile ilişkilendirilen UNC1549 adlı tehdit aktörünün, Haziran 2022’den beri devam eden bir casusluk kampanyası yürüttüğü belirtiliyor.
Mandiant’ın tespitlerine göre, UNC1549 özellikle İsrail, BAE ve potansiyel olarak Türkiye, Hindistan ve Arnavutluk gibi Orta Doğu ülkelerindeki savunma, havacılık ve uzay sektörlerine odaklanmış durumda. Casusluk faaliyetinin, önceki Tortoiseshell grubu ile ilişkilendirilen UNC1549’un, tedarik zincirlerini tehlikeye atmaya yönelik stratejik bir tehdit oluşturduğuna dikkat çekiliyor.
UNC1549’un faaliyetlerinin öne çıkan özellikleri arasında sosyal mühendislik planları ve Microsoft Azure bulut altyapısı kullanımı bulunuyor. UNC1549, özellikle İsrail-Hamas savaşı temasını içeren kampanyalarla öne çıkıyor. Mandiant, bu kampanyanın, İsraillilerin geri dönmesini talep eden “Onları Şimdi Eve Getirin” hareketini maskelemiş bir savaş temalı kampanya içerdiğini belirtiyor.
UNC1549’un casusluk faaliyetlerinde kullanılan arka kapılar ise “MINIBIKE” ve “MINIBUS” olarak adlandırılıyor. Bu faaliyetlerin sofistike ve koordineli bir şekilde yürütüldüğü ifade ediliyor.
MINIBUS: Güvenlik Uzmanları Tarafından İncelenen Yeni Bir Siber Tehdit
MINIBUS, son zamanlarda keşfedilen bir siber tehdit olarak güvenlik uzmanlarının dikkatini çekiyor. Mandiant tarafından yapılan analize göre, Ağustos 2023’ten bu yana faaliyet gösteren MINIBUS, önceki MINIBIKE’a kıyasla daha esnek bir kod yürütme ve komut arayüzüne sahip.
MINIBUS’un işlevselliği, daha az yerleşik komut ve özellik içerse de daha esnek bir kod yürütme ve komut arayüzü sunmasıyla öne çıkıyor. Ayrıca, kullanılan DLL adları ve iletişim yöntemleri MINIBIKE’dan farklılık gösteriyor.
Bu yeni tehdidin, özellikle İsrail, Hindistan, BAE ve Arnavutluk gibi ülkeleri hedef aldığı belirtiliyor. MINIBUS’un kullanıcıları, çeşitli yemler ve temalar kullanarak çekmeye çalıştığı ifade ediliyor.
LIGHTRAIL: MINIBIKE ve MINIBUS ile İlişkilendirilen Başka Bir Tehdit
MINIBIKE ve MINIBUS’un yanı sıra, güvenlik uzmanları “LIGHTRAIL” adlı başka bir tehdidi de tespit etti. LIGHTRAIL, benzer bir kod tabanına, isimlendirme özelliklerine ve hedeflere sahip olduğu için MINIBIKE ve MINIBUS ile ilişkilendiriliyor. Ayrıca, açık kaynaklı “Lastenzug” yardımcı programından yararlanıldığı ve web soketlerine dayalı bir Socks4a proxy’si kullandığı belirtiliyor.
MINIBIKE, MINIBUS ve LIGHTRAIL ile mücadele etmek için güvenlik uzmanları, bu tehditlere karşı güvenlik kurallarını güncelleyebilir ve belirtilen IOC’leri (Uzlaşma Göstergeleri) kullanabilirler.
Bu tür tehditlere karşı etkili bir savunma stratejisi geliştirmek, güvenlik açıklarını kapatmak ve IOC’leri dikkate almak, organizasyonların siber güvenliklerini artırmak adına kritik öneme sahiptir. Güvenlik uzmanları, bu tür tehditleri sürekli olarak izleyerek ve analiz ederek güvenlik önlemlerini güncel tutmalıdır.
© AirlineHaber.com
Not: Haber sitemizde yapılan havacılık haberleri kaynak gösterilmeden kullanılamaz.