İran, siber alanda ABD ve Batılı hedeflerine saldırılarını yoğunlaştırıyor. İran’ın sosyal medya platformlarında ABD askeri personeli ve savunma firmalarını hedef alan manipülasyon kampanyası yürüttüğü gözleniyor.
Tahran’ın Facebook’ta Tortoiseshell (bağa) adıyla bilinen bir grup üzerinden yürüttüğü son kampanya, ABD askeri personeli ve büyük savunma firmalarının çalışanlarıyla temas kurmak ve kullandıkları bilgisayarlara kötü amaçlı yazılımlar yüklemek için bir dizi sahte online kimlik kullanmaya odaklanıyor.
Facebook’tan Perşembe günü bir blog yazısı üzerinden paylaşılan açıklamada, “Bu faaliyetler, arkasında kimlerin olduğunu gizlemek için güçlü güvenlik önlemlerine dayanarak oluşturulan ve geniş kaynaklarla beslenen, ısrarcı bir operasyonun özelliklerini taşıyor” denildi.
Sahte kimlik kullanımı
İngiltere ve diğer bazı Avrupa ülkelerinde faaliyet gösteren savunma şirketlerinin çalışanları da İran’ın yürüttüğü online kampanyanın hedefi oldu.
Facebook açıklamasında, “Bu sahte hesaplara, çoğunlukla hedef alınan kişilerin bulunduğu ülkelerdeki savunma, uzay ve havacılık firmalarının çalışanı ve personel alımlardan sorumlu kişi süsü verildi. Bazı sahte hesaplar; ikram ve ağırlama sektörü, tıp, gazetecilik, sivil havacılık ve sivil toplum örgütü gibi alanlarda faaliyet gösterdiklerini iddia etti” ifadelerine yer verildi.
Siber saldırganların aceleci davranmadıkları da göze çarpan özelliklerden biri oldu.
“Yürüttüğümüz inceleme, bu grubun, internet çapında yürüttüğü sosyal mühendislik faaliyetlerine büyük zaman yatırımı yaptığını, bazı durumlarda hedef aldıkları kişilerle aylar boyunca iletişimde kaldıklarını ortaya çıkardı” açıklamasında bulunan Facebook, “Görüşmeleri platform dışına taşımak ve hedefledikleri kişilerin bilgisayarlarına kötü amaçlı yazılım göndermek için bazı ortak çalışma ve mesajlaşma platformlarını kullandılar” dedi.
İran tarafından hedef alındığı görünen kullanıcılarını bu durumdan haberdar ettiğini belirten Facebook, sahte hesapların kapatıldığını, kötü amaçlı alanların (domain) paylaşılmasına engelleme getirdiğini açıkladı.
Facebook, bu faaliyetlerin İran kaynaklı olduğunu, kötü amaçlı yazılımın, Tahran’da faaliyet gösteren ve İran Devrim Muhafızları’yla bağları olduğu bilinen Mahak Rayan Afraz adlı firma tarafından geliştirildiği bilgisi sayesinde ortaya çıkardı.
Özel siber güvenlik firması Mandiant Threat Intelligence, Facebook’un, İran’ın ve özellikle İran Devrim Muhafızları’nın siber operasyonun arkasında olduğu şeklindeki değerlendirmesine katıldığını bildirdi.
Mandiant firmasından uzman Sarah Jones, Tortoiseshell olarak bilinen grubun “En az 2018 yılından bu yana ABD ordusu ve Ortadoğu’daki bilişim teknolojileri hizmeti sunan şirketlerle bağlantısı olan kişi ve kuruluşları hedef aldığını” söyledi.
Jones ayrıca İran’ın yürüttüğü kampanyayla bağlantılı sahte alan adlarının (domain) eski Başkan Donald Trump’ın adını kullandığını, “trumphotel[.]net”, “trumporganization[.]world”, and “trumporganizations[.]com” gibi alan adlarının bunlardan bazıları olduğunu kaydetti.
“Bu gibi alan adları, Amerika’daki siyasi konularla bağlantılı sosyal mühendislik faaliyetlerine işaret ediyor” diyen Jones, “Bu alan adlarının kullanılır hale getirilip-getirilmediği ya da Trump ailesi ya da mal varlıklarıyla bağlantılı herhangi bir kişiyi hedef alıp-almadığı hakkında elimizde kanıt yok” şeklinde konuştu.
Siber saldırı kampanyasını ortaya çıkaran Facebook, İran’ın kritik ya da hassas veri hırsızlığı yapmayı başarıp-başaramadığı konusunda herhangi bir yorumda bulunmadı.
ABD askeri yetkilileri de İran’ın veri hırsızlığı yapıp-yapmadığı ya da ne gibi verilerin çalındığı konusunda bilgi vermedi.
Bir sözcü, Amerika’nın Sesi’ne, “ABD Siber Komutanlığı, güvenlik nedeniyle operasyonlar, istihbarat ve siber planlama konularında yorum yapmıyor” bilgisini iletti.
Sözcü, “Sosyal medya iletişiminin yol açtığı tehditler, tek bir bir sosyal medya platformuna özgü değildir. Savunma Bakanlığı personeli, online faaliyetlerde bulunduğu zamanlarda dikkatli olmak zorundadır” ifadelerine de yer verdi.
‘Ciddi tehdit’
ABD’li istihbarat yetkilileri, İran’ın siber alandaki becerileri ve saldırgan tutumunun giderek artmasından kaygı duyuyor.
Ulusal İstihbarat Dairesi’nin Nisan ayında yayınladığı yıllık Küresel Tehdit Değerlendirmesi raporu, Tahran’ı “ABD’nin ve müttefiklerinin bilişim ağlarına ve veri güvenliğine yönelik ciddi bir tehdit” olarak nitelemişti.
Rapor, “Tahran’ın sahte tehditler ya da güvenliği zedelenmiş seçim altyapısı gibi konularda dezenformasyon ve Amerikan karşıtı içerikler yaymasını, internette gizli etki kampanyaları yürütmeye odaklanmasını bekliyoruz” denilmişti.
ABD istihbaratı, bu yılın başında ayrıca İran’ı, “Eski Başkan Donald Trump’ın yeniden seçilme çabalarına zarar vermeye yönelik çok yönlü ve gizli etki kampanyası” yürüterek 2020 başkanlık seçimlerine müdahale etmekle suçlamıştı.
ABD’li yetkililer, bu çabalar arasında, en az bir eyaletteki seçmen kayıt sistemine siber müdahalede bulunma ve seçmenlere tehdit içerikli elektronik posta mesajları göndermenin de olduğunu ifade etmişti.
Siber güvenlik firması Proofpoint, kısa süre önce, TA453 ve Charming Kitten olarak bilinen ve İran Devrim Muhafızları’yla bağı olan ortak siber saldırı girişimlerinin, düşünce kuruluşları ve akademisyenlerden veri ve araştırma çalmak için kendilerine İngiliz üniversite profesörü süsü verdiğini bildirmişti.
Kaynak: VOA