İran hükümeti tarafından desteklenen ve APT 33 olarak bilinen siber casusluk grubu, 10 yılı aşkın süredir dünya çapında kamu ve özel sektör hedeflerine saldırılar düzenliyor. Grubun, özellikle kritik altyapılar üzerindeki casusluk faaliyetleriyle tanındığı biliniyor. Microsoft Threat Intelligence tarafından yayınlanan yeni bir rapor, grubun siber saldırı tekniklerini geliştirdiğini ve yeni bir çok aşamalı backdoor (arka kapı) zararlı yazılımı kullandığını ortaya koydu.
Peach Sandstorm olarak adlandırılan bu grup, “Tickler” adı verilen özel bir zararlı yazılım geliştirdi. Bu zararlı yazılım, grubun password spraying (şifre püskürtme) veya sosyal mühendislik yöntemleriyle hedef sistemlere ilk erişimi sağlamasının ardından devreye giriyor. Nisan 2024’ten Temmuz 2024’e kadar olan süreçte, Peach Sandstorm’un bu zararlı yazılımı, uydu, iletişim ekipmanları ve petrol ve gaz gibi sektörlerdeki kurbanlara karşı kullandığı tespit edildi. Ayrıca, ABD ve Birleşik Arap Emirlikleri’ndeki federal ve eyalet hükümet kurumları da saldırı hedefleri arasında yer aldı.
Microsoft’un tehdit istihbarat direktörü Sherrod DeGrippo, bu yeni zararlı yazılımın Peach Sandstorm’un taktiklerinde büyük bir değişiklik olmasa da, hedeflerine ulaşma konusunda aktif bir gelişim gösterdiğini belirtti. Grup, hedef sistemlerin Azure bulut altyapısını manipüle etmek için Azure aboneliklerini kullanarak sistem üzerinde tam kontrol sağlamayı başardı.
Password spraying (şifre püskürtme), Peach Sandstorm’un hala yaygın olarak kullandığı düşük teknolojili bir yöntem. Microsoft, 2023’ten bu yana binlerce organizasyona karşı bu yöntemi kullandıklarını ve ABD ile Avustralya’daki uzay, savunma, hükümet ve eğitim sektörlerine yönelik saldırılar düzenlediklerini bildirdi. Grubun ayrıca, LinkedIn gibi sosyal mühendislik araçları üzerinden istihbarat toplama faaliyetlerine devam ettiği ve sahte öğrenci veya iş alım uzmanı profilleriyle hedeflerine yaklaştığı belirtiliyor.
İran destekli bu hacker grubu, yıllardır uluslararası arenada saldırılarını sürdürüyor ve yeni zararlı yazılımlar geliştirerek faaliyetlerini devam ettiriyor.
Bu tür saldırıların artması, siber güvenlik dünyasında sadece savunma mekanizmalarının güncellenmesi gerektiğini değil, aynı zamanda sürdürülebilir bir güvenlik stratejisi oluşturmanın önemini de ortaya koyuyor. Sustainability kavramı, APT 33 gibi grupların uzun süreli tehditlerine karşı sistemlerin dinamik ve dayanıklı tutulmasını gerektirir. Örneğin, Peach Sandstorm’un Azure bulut altyapısını hedef alması, bulut hizmetleri sağlayıcılarının güvenlik protokollerini sürekli olarak güncellemeleri gerektiğini gösteriyor.
Bütüncüllük ise, saldırıların çok yönlü doğası nedeniyle, güvenlik stratejilerinin tek bir noktada yoğunlaşmaması gerektiğini vurgular. Saldırılar sadece donanım veya yazılım üzerinde değil, sosyal mühendislik gibi farklı yollarla da gerçekleşebiliyor. Bu nedenle, farklı güvenlik katmanları arasında uyumlu ve birbiriyle destekleyici bir yapı oluşturulmalıdır.
Son olarak, Compromise Assessment (Zafiyet Değerlendirmesi), tehditlerin ve ihlallerin proaktif bir şekilde tespit edilmesine yardımcı olur. Örneğin, Peach Sandstorm tarafından kullanılan zararlı yazılımın tespiti, erken bir aşamada yapıldığında, sistemlerin büyük zararlardan korunmasını sağlayabilir.
Bu üç unsuru göz önünde bulundurarak, İran destekli hacker grupları gibi sürekli evrilen tehditlere karşı daha güçlü ve dayanıklı bir dijital savunma mekanizması oluşturulabilir.
