Siber güvenlik araştırmacıları tarafından İran merkezli bir APT grubunun Kuveyt ve Suudi Arabistan’daki kritik altyapılara saldırısına yönelik siber casusluk kampanyasına ışık tutuldu.
Bitdefender Ekibi istihbarat toplama operasyonlarının, ülkenin jeopolitik çıkarlarına hizmet eden kişisel bilgileri toplamak için Orta Doğu’daki telekomünikasyon ve seyahat endüstrilerine yaptığı saldırılar ile bilinen bir tehdit aktörü olan APT39 (Chafer APT veya Remix Kitten) grubuna yönelik yürütüldüğünü belirtti. Firma tarafından, “Analiz edilen saldırıların kurbanları, Orta Doğu’da bulunan hava taşımacılığı ve devlet kurumları gibi bu aktörün tercih ettiği kalıplara uyduğu ve grubun saldırılarının atıfta bulunmayı zorlaştıran farklı araçlara ve özel yapım bir arka kapıya dayandığı” belirtildi.
2014 yılından beri aktif olduğu bilinen APT39, hassas verileri elde etmek amacıyla daha önce ülkemizde bulunan hükümet kurumlarına ve İran merkezli yabancı diplomatik kuruluşları da hedef almıştı.
2019 Ocak tarihinde FireEye tarafından yayınlanan rapor APT39 grubunun telekomünikasyon ve seyahat endüstrilerine odaklandığına dair kanıtlara eklenmişti. Şirket, “telekomünikasyon firmalarının büyük miktarda kişisel ve müşteri bilgilerini sakladıkları, iletişim için kullanılan kritik altyapılara erişim sağladıkları ve geniş bir potansiyel hedef yelpazesine de erişebildikleri için cazip hedef olduğunu” aktardı.
APT39, zararlı ek barındıran hedef odaklı oltalama saldırıları, erişim kazanmak için çeşitli arka kapı araçları, iç keşif yapmak ve hedef alınan ortam da kalıcılık sağlamak için çeşitli araçlar kullanarak hedeflerine saldırmaktadır. Bitdefender’a göre
Bitdefender’a göre Kuveyt saldırısını daha özenli yapan durum, kurbanların makinesinde bir kullanıcı hesabı oluşturulması, ağ içerisinde keşif (CrackMapExec kullanılarak) dahil olmak üzere zararlı eylemlerin yapılması, Mimikatz kullanılarak kimlik bilgilerinin toplanması ve ellerinde bulunan geniş araçlar ile ağ içerisinde yanal hareketlerin yapılmasıdır.
Araştırmacılara göre aktivitelerin çoğu cuma ve cumartesi günleri yapılmıştır. Öte yandan, Suudi Arabistan’a yapılan saldırı, kurbanı kandırmak için kullanılan sosyal mühendislik yöntemine aynı zamanda kurbanı uzaktan yönetmeyi sağlayan bir RAT aracının da dahil edildiği ve bazı bileşenlerin Kuveyt ve ülkemizi hedef alan saldırılar içerisinde de kullanılanlar ile benzerlikleri olduğu vurgulandı.Araştırmacılar Suudi Arabistan ve Kuveyt’e yapılan saldırıların aynı grup tarafından düzenlenmiş olabileceğini gösteren bazı adli kanıtların olduğunu fakat Kuveyt’e yapılan saldırı kadar kapsamlı bir saldırı olmadığını belirtti. Elde ettikleri ağ keşfi kanıtlarına rağmen herhangi bir yanal hareket izine rastlamadıklarını ve bunun sebebinin yüksek ihtimalle tehdit aktörlerinin zafiyet barındıran herhangi bir makine bulamadığı olduğunu belirtti.
Bu iki ülkeye yönelik saldırılar, İran’ın siber casusluk çabalarında herhangi bir yavaşlama belirtisi olmadığını tekrardan gözler önüne sermiştir. Hedef alınan endüstrilerin önemi ve niteliği değerlendirildiğinde, APT39’un eylemlerinin, ulusal hırslarına karşı hareket eden ülkelere karşı devam ettiği gözlenmektedir.
Bitdefender, bu iki saldırının Orta Doğu’da meydana gelen en son saldırı örnekleri olsa da, bu tür saldırıların dünyanın herhangi bir yerinde olabileceğini, hükumet ve hava taşımacılığı gibi kritik altyapıların çok hassas hedefler olduğunu anlamanın önemli olduğunu vurguladı.
Referans:
- https://securelist.com/chafer-used-remexi-malware/89538/
- https://unit42.paloaltonetworks.com/new-python-based-payload-mechaflounder-used-by-chafer/
- https://www.fireeye.com/blog/threat-research/2019/01/apt39-iranian-cyber-espionage-group-focused-on-personal-information.html
- https://www.bitdefender.com/files/News/CaseStudies/study/332/Bitdefender-Whitepaper-Chafer-creat4491-en-EN-interactive.pdf
- https://malpedia.caad.fkie.fraunhofer.de/actor/apt39
- https://attack.mitre.org/groups/G0087/
- https://github.com/byt3bl33d3r/CrackMapExec
- https://thehackernews.com/2020/05/iran-hackers-kuwait.html
- https://www.anomali.com/files/white-papers/Anomali_Threat_Research-Islamic_Republic_of_Iran_Cybersecurity_Profile.pdf
