Dünya çapında siber akınlar değerli ölçüde artmaya devam ederken, bugün Türkiye’ye yönelik yapılan bir siber hücum ortaya çıkarıldı. Ağ teknolojileri şirketi Cisco’nun bünyesinde bulunan Talos İstihbarat Kümesi, İran dayanaklı bir hacker kümesinin Türkiye’ye yönelik yaptığı siber atağın detaylarını ortaya çıkardı.
Cisco Talos tarafından paylaşılan ayrıntılı blog gönderisine nazaran neredeyse kesin olarak MuddyWater isimli ‘gelişmiş daima tehdit (GST)’ taarruz kümesi tarafından yapılan akın, özel Türk kuruluşları ve devlet kurumlarını hedef alıyordu. Atak, makûs emelli kodlar içeren PDF’ler ve Office belgeleri üzere evraklarla gerçekleştiriliyordu.
Gelecek akınlar için köprü olacak kodları bilgisayar yüklüyorlardı
Talos tarafından yapılan açıklamaya nazaran MuddyWater’a bağlı olduğu düşünülen hücumlar, Kasım 2021’e kadar takip edilebildi. TÜBİTAK’ı da gaye aldığı açıklanan hücumlarda kullanılan berbat gayeli evraklar, genellikle e-posta üzerinden gönderiliyorlardı. Bu belgeler indirilip açıldığındaysa bir indirme kontağı yer alıyor ve bu irtibat, ‘snapfile.org’ üzerinden hackerlara erişim sağlayacak zararlı yazılımı içeren bir Excel dosyası indiriliyordu.
Dosyalar, olabildiğince az kuşkulu gözükmek içinse Türkçe ve resmi isimleri kullanıyordu. Bu belge isimlerinden kimileri, evrakın Sağlık ya da İçişleri Bakanlığı tarafından gönderilmiş olabileceğine işaret ediyor, kimileriyse ‘Süreç_No’ yahut ‘Teklif_form_onayli’ üzere önemli gösterilmek üzere adlandırılıyordu.
Bilgisayara PDF evrakındaki irtibata tıklanarak indirilen belge aracılığıyla yüklenen ziyanlı yazılım, bilgisayarda PowerShell kodlarının uzaktan çalıştırılmasını sağlıyordu. Çalıştırılan kodlar, başka hücumları sağlayacak ek kodlar için bir indirme yöneticisi görevi görüyordu. Böylece hackerlar, bu bilgisayarlara istedikleri saldırıyı yapabilme imkânına sahip oluyorlardı.
Söz konusu atak hakkında Trakya Üniversitesi ve Ulusal Siber Olaylara Müdahale Merkezi (USOM), daha evvel bu taarruz hakkında bir ihtar paylaşmıştı. Trakya Üniversitesi’nin ikazında evrakların gönderildiği e-posta adresleri ve ziyanlı yazılım denetim merkezi olduğu bedellendirilen IP adresleri yer alıyordu. Bu ihtardaki adresler, Talos’un araştırmasıyla uyuşuyor.
MuddyWater kümesi kimdir?
MuddyWater olarak bilinen İran merkezli hacker kümesi, bugüne kadar casusluk, fikri mülkiyet hırsızlığı ve fidye gayesiyle taarruzlar düzenledi. 2017 yılından beri faal olan küme, ABD Siber Komutanlığı tarafından İran İstihbarat ve Güvenlik Bakanlığı’yla bağdaştırıldı.
Saldırı hakkında daha fazla teknik ayrıntı öğrenmek için, Talos’un blog gönderisine buraya tıklayarak ulaşabilirsiniz.