İran kaynaklı siber casusluk şebekesi tespit edildi

Siber güvenlik şirketi ESET, İran bağlantılı bir tehdit grubu olan BladedFeline’ın, Irak Kürt Bölgesel Yönetimi ve Irak merkezi hükümetindeki yetkililere yönelik yeni bir siber casusluk kampanyasını ortaya çıkardı. Saldırıların, söz konusu bölgelerdeki üst düzey devlet yetkililerine yönelik sürdürülen erişim çabalarının bir parçası olduğu değerlendiriliyor.

ESET tarafından tespit edilen kampanyada, “Whisper” adlı özel bir arka kapı (backdoor), iki tünelleme aracı ve “PrimeCache” isimli kötü amaçlı bir Internet Information Services (IIS) modülü gibi gelişmiş araçların kullanıldığı belirtildi. Whisper, Microsoft Exchange sunucusundaki bir e-posta hesabı üzerinden saldırganlarla iletişim kurarken; PrimeCache’in ise hem erişimi sürdürecek hem de gizliliği koruyacak şekilde yapılandırıldığı kaydedildi.

Uzmanlara göre PrimeCache, daha önce OilRig adlı gelişmiş sürekli tehdit (APT) grubu tarafından kullanılan RDAT arka kapısıyla yapısal benzerlikler taşıyor. ESET, kod benzerlikleri ve operasyonel izler doğrultusunda BladedFeline’ın, OilRig’in bir alt grubu olabileceğini değerlendiriyor. OilRig, geçmişte de Orta Doğu’daki devlet kurumlarına ve özel sektör kuruluşlarına yönelik siber saldırılarla gündeme gelmişti.

BladedFeline’ın yeni kampanyasında, hem Kürt bölgesindeki diplomatik yetkililere yönelik sızma girişimleri hem de Irak hükümeti içinde kalıcılığı hedefleyen stratejik adımlar dikkat çekiyor. ESET, aynı zamanda Özbekistan’daki bir telekomünikasyon sağlayıcısının da bu faaliyetler için kullanıldığını belirtiyor.

Siber güvenlik uzmanları, Orta Doğu’daki petrol rezervlerinin ve Batılı ülkelerle olan diplomatik ilişkilerin bu tür siber casusluk faaliyetlerini tetikleyebileceğine dikkat çekiyor. İran merkezli tehdit gruplarının, ABD’nin Irak’taki etkisini dengelemek amacıyla bu tarz operasyonları desteklediği yönünde değerlendirmeler bulunuyor.

ESET’in daha önceki raporlarında da yer verdiği BladedFeline grubu, 2017 yılından bu yana aktif olarak gözlemleniyor. Grup, 2023 yılında da Shahmaran adlı zararlı yazılımla benzer hedefleri gözetlemişti. Ayrıca, OilRig’e bağlı bir başka alt grup olan ve HEXANE ya da Storm-0133 adlarıyla da bilinen Lyceum’un, İsrail’deki kamu ve sağlık kurumlarını hedef aldığı biliniyor.

Video: Akıllı kilit ile anahtarsız hayat: Aqara U200

Yeni videolar için buradan abone olun!