İran Devlet Destekli APT42 Hacker Grubu Kimlik Bilgilerini Toplamak İçin Hükümeti, STK'ları ve Hükümetlerarası Kuruluşları Hedef Alıyor

Siber güvenlik alanında dikkatli olmak çok önemlidir. Google Cloud'un Mandiant'ından gelen son açıklamalar, İran'daki İslam Devrim Muhafızları Birliği (IRGC) adına faaliyet gösterdiğine inanılan, devlet destekli bir siber casusluk grubu olan APT42'nin hain faaliyetlerine ışık tuttu. Geçmişi en az 2015 yılına dayanan APT42, STK'lar, devlet kurumları ve hükümetlerarası kuruluşlar da dahil olmak üzere çok çeşitli kuruluşları hedef alan önemli bir tehdit olarak ortaya çıktı.

Calanque ve UNC788 gibi çeşitli takma adlar altında çalışan APT42'nin işleyiş şekli endişe verici olduğu kadar karmaşıktır. Grup, sosyal mühendislik taktiklerini kullanarak, hedeflerinin ağlarına sızmak için gazeteci ve etkinlik organizatörü kılığına giriyor. APT42, bu aldatıcı stratejilerden yararlanarak, şüphelenmeyen kurbanların güvenini kazanarak, yetkisiz erişim için değerli kimlik bilgilerini toplamalarına olanak tanır.

APT42'nin yaklaşımının ayırt edici özelliklerinden biri, kötü amaçlı faaliyetlerini kolaylaştırmak için birden fazla arka kapı kullanmasıdır. Mandiant'ın raporu, son saldırılarda iki yeni arka kapının devreye girdiğini vurguluyor. Bu gizli araçlar, APT42'nin bulut ortamlarına sızmasına, hassas verilere sızmasına ve açık kaynaklı araçlardan ve yerleşik özelliklerden yararlanarak tespitten kaçmasına olanak tanır.

Mandiant'ın analizi, APT42'nin operasyonlarında kullandığı karmaşık altyapıyı daha da ortaya koyuyor. Grup, hedeflerini üç ayrı kümeye ayırarak kapsamlı kimlik toplama kampanyaları düzenliyor. APT42, kurbanlarını oturum açma kimlik bilgilerini açıklamaya ikna etmek için medya kuruluşu kılığına girmekten meşru hizmetlerin kimliğine bürünmeye kadar çeşitli taktikler kullanıyor.

Üstelik APT42'nin faaliyetleri geleneksel siber casusluğun ötesine uzanıyor. Grup, Nicecurl ve Tamecat gibi özel arka kapıların konuşlandırılmasıyla kanıtlandığı gibi, taktiklerini uyarlama konusunda istekli olduğunu gösterdi. Sırasıyla VBScript ve PowerShell'de yazılan bu araçlar, APT42'nin rastgele komutlar yürütmesine ve güvenliği ihlal edilmiş sistemlerden hassas bilgiler çıkarmasına olanak tanır.

Jeopolitik gerilimlere ve bölgesel çatışmalara rağmen APT42, istihbarat toplama arayışında kararlılığını sürdürüyor. Mandiant'ın bulguları, grubun ABD, İsrail ve ötesindeki hassas jeopolitik meselelerle bağlantılı varlıkları hedef almaya devam ederken gösterdiği dirençliliğin ve kararlılığın altını çiziyor. Dahası, APT42'nin faaliyetleri ile Charming Kitten gibi diğer İranlı bilgisayar korsanlığı gruplarının faaliyetleri arasındaki örtüşme, İran'ın siber operasyonlarının koordineli ve çok yönlü doğasını vurgulamaktadır.

Bu tür tehditler karşısında proaktif siber güvenlik önlemleri zorunludur. Kuruluşlar uyanık kalmalı, sağlam güvenlik protokolleri kullanmalı ve siber savunmadaki en son gelişmeleri takip etmelidir. İşbirliğini ve bilgi paylaşımını geliştirerek küresel topluluk, APT42 gibi grupların oluşturduğu gelişen tehdit ortamına daha iyi karşı koyabilir.

Sonuç olarak, Mandiant tarafından sağlanan açıklamalar, siber tehditlerin kalıcı ve yaygın doğasının düşündürücü bir hatırlatıcısı olarak hizmet ediyor. Teknoloji ilerlemeye devam ettikçe savunmalarımız da ilerlemelidir. APT42 gibi devlet destekli siber casusluk gruplarının oluşturduğu riskleri ancak kolektif eylem ve sarsılmaz bir çalışmayla azaltmayı umabiliriz.