İran ile savaşın başlamasından bu yana, devlet bağlantılı ve aktivist hacker gruplar ABD ile İsrail’e yönelik bir dizi siber saldırının sorumluluğunu üstlendi.
ABD merkezli tıbbi teknoloji şirketi Stryker, 11 Mart’ta bir siber saldırının küresel ağını aksattığını doğruladı. Wall Street Journal’ın haberine göre, şirketin farklı ofislerindeki çalışanlar giriş sayfalarında İran bağlantılı bir hacker grubu olan Handala’nın logosunu gördü.
REKLAM
REKLAM
Saldırı, Stryker’ın Microsoft ortamını hedef aldı. Ancak hasarın tam boyutu ile sistemlerin ne zaman tamamen yeniden çalışır hale geleceği henüz net değil.
Siber istihbarat platformu SOCRadar’a göre, Handala saldırının sorumluluğunu üstlendi ve Microsoft’un bulut yönetim platformu Intune’u istismar ederek 79 ülkede 200 binden fazla cihazı uzaktan sildiğini öne sürdü. Euronews Next, bu iddiayı doğrulamak için Microsoft ile iletişime geçti.
Grup, operasyonun İran’ın Minab kentindeki bir kız okuluna düzenlenen ve 160’tan fazla kişinin ölümüne yol açan füze saldırısına misilleme olduğunu söyledi.
Bu ihlal, devlet bağlantılı ve aktivist hacker grupların (hacktivist) Epic Fury Operasyonu’na yanıt olarak ABD ve İsrail’i hedef aldığı daha geniş bir siber operasyon dalgasının parçası.
Hangi devlet bağlantılı aktörler işin içinde?
Siber güvenlik şirketi CloudSek’in yayımladığı bir rapora göre, İran devletiyle bağlantılı uzun süredir bilinen bazı gruplar ABD’nin kritik altyapısına karşı harekete geçti.
İran Devrim Muhafızları Ordusu (IRGC) tarafından desteklenen CyberAv3ngers, APT33 ve APT55 gibi gruplar; su arıtma tesisleri, elektrik şebekeleri ve üretim hatları gibi fiziksel altyapıyı işleten endüstriyel kontrol sistemlerine saldırılar düzenledi.
Rapora göre CyberAv3ngers hackerları, varsayılan şifreleri kullanarak endüstriyel makinelere giriş yapıyor ve bu sistemleri potansiyel olarak kontrol edebilecek zararlı yazılımlar yüklüyor.
APT33 ise yaygın kullanılan çeşitli şifrelerle ABD’li enerji şirketlerindeki çok sayıda hesaba erişim sağlıyor. Ardından bilgisayar sistemlerine kötü amaçlı yazılım yükleyerek güvenlik sistemlerini devre dışı bırakmaya çalışıyor.
CloudSek’e göre APT55 ise ABD’nin enerji ve savunma sektörleriyle bağlantılı kişilere karşı siber casusluk yürütüyor ve İran istihbaratının hedefleme faaliyetleri için bilgi topluyor.
İran İstihbarat ve Güvenlik Bakanlığı (MOIS) da MuddyWater, APT34 ve Handala gibi gruplarla birlikte İsrail ve ABD’ye karşı faaliyet yürütüyor.
MuddyWater’ın rolü, telekomünikasyon, petrol ve gaz ile kamu kurumlarını hedef almak oldu. Grup bunu bir “ilk erişim aracısı” olarak yapıyor; yani bir ağa sızarak şifreleri topluyor ve bunları diğer saldırganlara aktarıyor.
SOCRadar’a göre Handala, Stryker dışında başka saldırıları da üstlendi. Grup, Kudüs İbrani Üniversitesi sunucularından 40 terabayttan fazla veriyi sildiğini ve İsrail’de faaliyet gösteren ABD merkezli telekomünikasyon şirketi Verifone’a sızdığını iddia etti.
Ancak ABD basınındaki haberlere göre Verifone bu ihlali reddetti ve herhangi bir sızma ya da hizmet kesintisine dair kanıt bulunmadığını söyledi.
ABD’li yetkililere göre Amerikan girişimleri iletişim ağlarını 'sekteye uğrattı'
ABD ve İsrail de siber saldırılar yürütüyor.
ABD’nin en üst rütbeli askeri yetkilisi General Dan Caine, 2 Mart’taki açıklamalarında ABD Siber Komutanlığı’nın Epic Fury Operasyonu’nda "ilk harekete geçen unsurlardan biri" olduğunu söyledi.
Caine’e göre bu birim, İran’ı "görme, koordinasyon kurma ya da etkili şekilde karşılık verme kabiliyetinden yoksun bırakan" iletişim ve sensör ağlarını sekteye uğrattı.
Caine, İran’daki ABD siber operasyonlarına ilişkin başka ayrıntı vermedi.
ABD Savunma Bakanı Pete Hegseth’in 13 Mart tarihli ayrı bir açıklaması da, ABD’nin İran’a karşı yürüttüğü savaşta yapay zekâ ve siber araçlar kullandığını doğruladı.
Financial Times’a göre İsrailli ajanlar da Ayetullah Ali Hamaney’i etkisiz hale getirme planlarında, Tahran genelinde hacklenen trafik kameralarından elde edilen bilgileri kullandı.
Koordine bir hacktivist 'operasyon odası'
CloudSek’e göre Epic Fury Operasyonu’nun ilk saatlerinde 60’tan fazla aktivist hacker gruplar (hacktivist) harekete geçirildi ve "Cyber Islamic Resistance (Siber İslami Direniş)" adlı bir koalisyon oluşturdu.
Rapora göre İran yanlısı bu kolektif, saldırılarını Telegram’daki bir "Elektronik Operasyon Odası" içinde organize ediyor. CloudSek raporunda, grubun "merkezi devlet yönlendirmesinden ziyade ideolojik inisiyatifle hareket ettiği", bunun da faaliyetlerini izlemeyi zorlaştırdığı belirtildi.
Raporda ayrıca, "Bu aktörler devlet yönlendirmeli gruplara kıyasla daha az disiplinli, potansiyel olarak daha pervasız ve siviller üzerindeki etki konusunda siyasi bir kısıt taşımıyor," denildi.
Bu kolektif içindeki aktörlerin, teknik derinlik eksiklerini telafi etmek için yapay zekâ kullanma ihtimalinin de en yüksek grup olduğu ifade edildi.
Siber istihbarat platformu SOCRadar’a göre, savaşın ilk iki haftasında Cyber Islamic Resistance, 100’den fazla Telegram kanalında 600’ün üzerinde ayrı saldırının sorumluluğunu üstlendi.
Grup, İsrailli savunma şirketi Rafael’in hava savunma sistemlerine yönelik bir operasyonun, VigilAir adlı bir drone tespit hizmetine saldırının ve Tel Aviv’deki bir otelin elektrik ile su sistemlerine yönelik koordineli saldırının sorumluluğunu üstlendi.
Aynı grup, çatışmanın ilk hafta sonunda, Google Play Store’da 5 milyondan fazla indirilen popüler dini uygulama İran’ın BadeSaba Calendar uygulamasını da hacklediğini iddia etti.
Sosyal medyada dolaşıma giren ekran görüntülerine göre, kullanıcılara "Yardım yolda!" ve "Hesaplaşma zamanı geldi" mesajlarını içeren bildirimler gönderildi.
Rus, Suriyeli ve Iraklı aktörler de çatışmaya katılıyor
SOCRadar, ülkedeki süregelen internet kısıtlamaları nedeniyle çatışmaya dahil olan İran merkezli hacktivist sayısının daha az olduğunu belirtiyor. Platforma göre bu durum, Telegram tabanlı koordinasyonu aksatıyor.
Çatışma sürdükçe platform, Güneydoğu Asya, Pakistan ve Orta Doğu’nun başka bölgelerindeki İran yanlısı grupların da harekete geçtiğini söylüyor.
Siber güvenlik şirketi Unit 42’ye göre, Irak’taki İslami Siber Direniş olarak bilinen 313 Team, İran yanlısı bir hücre ve Kuveyt’te Silahlı Kuvvetler ile Savunma Bakanlığı dahil çeşitli devlet bakanlıklarının internet sitelerini hedef aldığını üstlendi. Grup ayrıca Romanya ve Bahreyn’deki siteleri de hedef aldı.
Unit 42’nin tehdit değerlendirmesine göre, Orta Doğu genelinde kökleri bulunan İran yanlısı hacktivist grup DieNet de Bahreyn, Suudi Arabistan ve Birleşik Arap Emirlikleri’ndeki havalimanlarına yönelik siber saldırıların sorumluluğunu üstlendi.
SOCRadar’a göre, Ukrayna’ya karşı çok sayıda saldırı düzenlemiş NoName057(16) gibi İran yanlısı Rus hacker grupları da bulunuyor.
Tehdit istihbarat platformu FalconFeeds’e göre, NoName057(16), savunma yüklenicisi Elbit Systems dahil olmak üzere İsrail’de belediye, siyaset, telekomünikasyon ve savunma alanıyla bağlantılı kurumların internet sitelerini çökertmeye yönelik bir dizi hizmet engelleme saldırısı (DDoS) başlattı.
SOCRadar’a göre bu grubun ayrıca Kuzey Afrika merkezli Hider-Nex ile ittifakı var. Hider-Nex de İran savaşı sırasında Kuveyt hükümetine ait çeşitli internet alan adlarını hedef aldığını iddia etti.
İranlı bir teknoloji şirketine sızdığını ve PayPal hesaplarına ait kullanıcı bilgileri, e-postalar ve şifreleri sızdırdığını öne süren Anonymous Syria Hackers gibi İsrail yanlısı aktif gruplar da var.
SOCRadar, İsrail’in siber saldırılarını çoğunlukla devlet eliyle yürüttüğünü, bu nedenle bağımsız grupların "büyük ölçüde gereksiz" kaldığını belirtiyor.
Var olan İsrail yanlısı grupların ise büyük ölçüde yeterince belgelenmediği ifade ediliyor. Bunun nedeni, bu grupların ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) uyarı sistemlerinde görünür olmaması.