Siber güvenlik araştırmacıları, İran devletine bağlı bir hack grubu olan Seedworm’un, ABD ve İsrail’deki kritik altyapıya bağlı birkaç kuruluşa erişim sağladığını ve bunun önemli sektörleri hedef alan olası siber operasyonlar konusunda endişelere yol açtığını söylüyor.
Tehdit istihbaratı published by Symantec and Carbon Black bulgularına göre, grup Şubat başından beri birden fazla ağa gizli erişimi sürdürüyor. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın İran İstihbarat ve Güvenlik Bakanlığı ile bağlantılı olduğunu belirttiği Seedworm, hükümetleri ve stratejik sektörleri hedef alan siber casusluk kampanyalarıyla tanınıyor.
Araştırmacılar, hackerların daha önce belgelenmemiş bir arka kapı kötü amaçlı yazılım olan Dindoor kullanarak mağdur sistemlerine yetkisiz erişim sağladığını söyledi. Bu araç, saldırganların tehlikeye giren ağlar üzerinde sürekli kontrol sahibi olmalarını sağlarken tespit edilmesi zor kalır. Kurulduktan sonra, arka kapı uzaktan komut çalıştırmasını ve dahili sistemlerin sürekli izlenmesini sağlar.
Soruşturma, müdahaleden etkilenen birkaç kuruluşu tespit etti. Bunlar arasında bir ABD bankası, İsrail’de faaliyet gösteren bir teknoloji şirketi, bir havaalanı ve Amerika Birleşik Devletleri ile Kanada’da bulunan birçok sivil toplum kuruluşu bulunmaktadır. Bu kuruluşlardaki güvenlik ekiplerinin, ihlale bağlantılı şüpheli ağ faaliyetleri tespit ettiği bildirildi.
Araştırmacılar, saldırıların ABD ve İsrail’in İran’daki hedeflere yönelik askeri saldırılarının hemen ardından gerçekleştiğini ve 28 Şubat’ta başladığını belirtti. Rapor, bu olayları doğrudan bu olaylarla ilişkilendirmese de, analistler zamanlamanın jeopolitik gerilimlerin devlet bağlantılı grupların artan siber faaliyetleriyle örtüştüğünü vurguladığını söyledi.
Seedworm birkaç yıldır aktiftir ve çeşitli tehdit istihbarat takip sistemlerinde MuddyWater ve Mango Sandstorm isimleriyle de bilinir. Grup, tarihsel olarak Orta Doğu’daki kuruluşları hedef almıştır; bunlar arasında devlet kurumları, telekomünikasyon sağlayıcıları ve bölgesel altyapı operatörleri bulunmaktadır.
Son bulgular, grubun odaklanmasını Orta Doğu’nun ötesine genişlettiğini gösteriyor. Araştırmacılar, son faaliyetlerin Kuzey Amerika, Avrupa, Afrika ve Asya’daki kuruluşları da kapsayan daha geniş bir hedefleme modeli gösterdiğini belirtti. Bankacılık, havacılık ve teknoloji gibi kritik sektörler özellikle ilgi çekici görünüyor.
Güvenlik analistleri, saldırganların ağlar içinde bulunmasının yıkıcı operasyonların yakın olduğunu mutlaka göstermediğini söylüyor. Ancak, uzun vadeli erişim, tehdit aktörlerinin istihbarat toplamasına, ağ altyapısını haritalamasına ve potansiyel takip operasyonlarına hazırlanmasına olanak tanıyabilir.
Bu keşif, siber güvenlik ajansları ve özel araştırmacıların, jeopolitik çatışmalarla bağlantılı siber faaliyetlerin artabileceği konusunda uyarıda bulunması sırasında gerçekleşti. İran bağlantılı tehdit aktörlerini takip eden analistler, keşif ve sızma çabalarının genellikle altyapı veya hükümet sistemlerini hedef alan yıkıcı operasyonlardan önce gerçekleştiğini söylüyor.
Hassas sektörlerde faaliyet gösteren kuruluşlara, ağ izleme uygulamalarını gözden geçirmeleri ve kalıcı erişimi gösterebilecek olağan dışı kimlik doğrulama faaliyetlerini araştırmaları tavsiye ediliyor. Seedworm saldırılarıyla ilgili soruşturma, araştırmacılar kötü amaçlı yazılımı ve etkilenen ağların kapsamını analiz etmeye devam ediyor.