Dunya capında siber saldırılar onemli olcude artmaya devam ederken, bugun Turkiye ’ye yonelik yapılan bir siber saldırı ortaya cıkarıldı. Ağ teknolojileri şirketi Cisco ’nun bunyesinde bulunan Talos İstihbarat Grubu, İran destekli bir hacker grubunun Turkiye ’ye yonelik yaptığı siber saldırının detaylarını ortaya cıkardı.
Cisco Talos tarafından paylaşılan detaylı blog gonderisine gore neredeyse kesin olarak MuddyWater isimli ‘gelişmiş surekli tehdit (GST) ’ saldırı grubu tarafından yapılan saldırı, ozel Turk kuruluşları ve devlet kurumlarını hedef alıyordu. Saldırı, kotu amaclı kodlar iceren PDF ’ler ve Office dosyaları gibi dosyalarla gercekleştiriliyordu.
[h=2]Gelecek saldırılar icin kopru olacak kodları bilgisayar yukluyorlardı[/h]
Talos tarafından yapılan acıklamaya gore MuddyWater ’a bağlı olduğu duşunulen saldırılar, Kasım 2021'e kadar takip edilebildi. TUBİTAK ’ı da hedef aldığı acıklanan saldırılarda kullanılan kotu amaclı dosyalar, genellikle e-posta uzerinden gonderiliyorlardı. Bu dosyalar indirilip acıldığındaysa bir indirme bağlantısı yer alıyor ve bu bağlantı, ‘snapfile.org ’ uzerinden hackerlara erişim sağlayacak zararlı yazılımı iceren bir Excel dosyası indiriliyordu.
Dosyalar, olabildiğince az şupheli gozukmek icinse Turkce ve resmi isimleri kullanıyordu. Bu dosya isimlerinden bazıları, dosyanın Sağlık ya da İcişleri Bakanlığı tarafından gonderilmiş olabileceğine işaret ediyor, bazılarıysa ‘Surec_No ’ veya ‘Teklif_form_onayli ’ gibi onemli gosterilmek uzere adlandırılıyordu.
Bilgisayara PDF dosyasındaki bağlantıya tıklanarak indirilen dosya aracılığıyla yuklenen zararlı yazılım, bilgisayarda PowerShell kodlarının uzaktan calıştırılmasını sağlıyordu. Calıştırılan kodlar, diğer saldırıları sağlayacak ek kodlar icin bir indirme yoneticisi gorevi goruyordu. Boylelikle hackerlar, bu bilgisayarlara istedikleri saldırıyı yapabilme imkÂnına sahip oluyorlardı.
Soz konusu saldırı hakkında Trakya Universitesi ve Ulusal Siber Olaylara Mudahale Merkezi (USOM), daha once bu saldırı hakkında bir uyarı paylaşmıştı. Trakya Universitesi ’nin uyarısında dosyaların gonderildiği e-posta adresleri ve zararlı yazılım kontrol merkezi olduğu değerlendirilen IP adresleri yer alıyordu. Bu uyarıdaki adresler, Talos ’un araştırmasıyla uyuşuyor.
[h=2]MuddyWater grubu kimdir?[/h]
MuddyWater olarak bilinen İran merkezli hacker grubu, bugune kadar casusluk, fikri mulkiyet hırsızlığı ve fidye amacıyla saldırılar duzenledi. 2017 yılından beri aktif olan grup, ABD Siber Komutanlığı tarafından İran İstihbarat ve Guvenlik Bakanlığı ’yla bağdaştırıldı.
Saldırı hakkında daha fazla teknik detay oğrenmek icin, Talos'un blog gonderisine buraya tıklayarak ulaşabilirsiniz.
Cisco Talos tarafından paylaşılan detaylı blog gonderisine gore neredeyse kesin olarak MuddyWater isimli ‘gelişmiş surekli tehdit (GST) ’ saldırı grubu tarafından yapılan saldırı, ozel Turk kuruluşları ve devlet kurumlarını hedef alıyordu. Saldırı, kotu amaclı kodlar iceren PDF ’ler ve Office dosyaları gibi dosyalarla gercekleştiriliyordu.
[h=2]Gelecek saldırılar icin kopru olacak kodları bilgisayar yukluyorlardı[/h]
Talos tarafından yapılan acıklamaya gore MuddyWater ’a bağlı olduğu duşunulen saldırılar, Kasım 2021'e kadar takip edilebildi. TUBİTAK ’ı da hedef aldığı acıklanan saldırılarda kullanılan kotu amaclı dosyalar, genellikle e-posta uzerinden gonderiliyorlardı. Bu dosyalar indirilip acıldığındaysa bir indirme bağlantısı yer alıyor ve bu bağlantı, ‘snapfile.org ’ uzerinden hackerlara erişim sağlayacak zararlı yazılımı iceren bir Excel dosyası indiriliyordu.
Dosyalar, olabildiğince az şupheli gozukmek icinse Turkce ve resmi isimleri kullanıyordu. Bu dosya isimlerinden bazıları, dosyanın Sağlık ya da İcişleri Bakanlığı tarafından gonderilmiş olabileceğine işaret ediyor, bazılarıysa ‘Surec_No ’ veya ‘Teklif_form_onayli ’ gibi onemli gosterilmek uzere adlandırılıyordu.
Bilgisayara PDF dosyasındaki bağlantıya tıklanarak indirilen dosya aracılığıyla yuklenen zararlı yazılım, bilgisayarda PowerShell kodlarının uzaktan calıştırılmasını sağlıyordu. Calıştırılan kodlar, diğer saldırıları sağlayacak ek kodlar icin bir indirme yoneticisi gorevi goruyordu. Boylelikle hackerlar, bu bilgisayarlara istedikleri saldırıyı yapabilme imkÂnına sahip oluyorlardı.
Soz konusu saldırı hakkında Trakya Universitesi ve Ulusal Siber Olaylara Mudahale Merkezi (USOM), daha once bu saldırı hakkında bir uyarı paylaşmıştı. Trakya Universitesi ’nin uyarısında dosyaların gonderildiği e-posta adresleri ve zararlı yazılım kontrol merkezi olduğu değerlendirilen IP adresleri yer alıyordu. Bu uyarıdaki adresler, Talos ’un araştırmasıyla uyuşuyor.
[h=2]MuddyWater grubu kimdir?[/h]
MuddyWater olarak bilinen İran merkezli hacker grubu, bugune kadar casusluk, fikri mulkiyet hırsızlığı ve fidye amacıyla saldırılar duzenledi. 2017 yılından beri aktif olan grup, ABD Siber Komutanlığı tarafından İran İstihbarat ve Guvenlik Bakanlığı ’yla bağdaştırıldı.
Saldırı hakkında daha fazla teknik detay oğrenmek icin, Talos'un blog gonderisine buraya tıklayarak ulaşabilirsiniz.