HACKER DÜNYASI : İranlı siber casusluk grubu OilRig Türkiye’deki kurumlara da saldırmış


İranlı siber casusluk grubu OilRig Türkiye’deki kurumlara da saldırmış

Shadow Brookers adlı hacker grubunun geçtiğimiz yıllarda NSA’nın hackleme araçlarını kamuoyuna sızdırmasına benzer bir olay daha yaşandı.

APT34, Oilrig ya da HelixKitten olarak bilinen İran’ın elit siber casusluk grubuna ait hackleme araçları kamuoyuna sızdırıldı. Açığa çıkarılan korsanlık araçları, 2017’de sızdırılan NSA araçları kadar karmaşık olmasa da tehlikeli bir durum arz ediyor.

Mart ayının ortasından itibaren sızdırılan bilgiler Lab Dookhtegan takma adına sahip bir kişi tarafından Telegram kanalından yayınlanmış. Lab Dookhtegan, korsanlık araçlarının yanı sıra APT34’ün hacklenmiş bazı kurbanlarının verileri gibi görünen, çoğunlukla kimlik avı sayfalarından toplandığı tahmin edilen kullanıcı adı ve şifre kombinasyonlarını da yayınladı.

Kaspersky’de tehdit araştırmacısı olarak çalışan Alexey Firsch konuyla ilgili yaptığı çalışmanın sonuçlarını paylaştığı tweetinde Dookhtegan’ın açıkladığı 117 web shell URL’ini paylaştı.

Listede İsrail, Suudi Arabistan ve Çin gibi ülkelerin yanı sıra Türkiye’den de 3 kurumun bulunması dikkat çekti. Web shell tanımı web sunucularındaki yanlış konfigürasyonları istismar eden uygulamalar için kullanılıyor.

ZDNet, daha önce bir muhabirinin mart ortasında bir ihbar almasının ardından bu araçlardan ve kurbanların verilerinin bir kısmından haberdar olmuştu. Bir Twitter kullanıcısı, o dönemde bugün Telegram’da ortaya çıkarılan dosyalardan bazılarını paylaşmıştı. ZDNet, bu Twitter kullanıcısının Lab Dookhtegan takma adlı kişiyle aynı kişi olduğunu tahmin ediyor.

Adli Bilişim Uzmanı Halil Öztürkçi de Twitter’da Outlook Web Acess (OWA) sunucularında web shell taraması yapılması uyarısında bulundu.

66 KURUMDAN VERİ SIZDIRILMIŞ

Sızdırılan bilgiler arasında İran İstihbarat Bakanlığı için çalışan bazı kişilerin isim ve ve telefon numaraları da yer alıyor.

Bilgi sızdıran kişi ile Twitter üzerinden yapılan görüşmede, grubun DNSpionage kampanyası üzerinde çalıştığını iddia etti. Birçok siber güvenlik uzmanı, bu araçların doğruluğunu hâlihazırda onaylamış durumda. Hatta Alphabet’in siber güvenlik bölümü Chronicle, ZDNet’e konuyu teyit etti. Bugün Telegram kanalında ortaya çıkan bilgilere göre, hacker altı hackleme aracının kaynak kodunu ve kurbanların verilerinin toplandığı çeşitli aktif arka uç panellerinden gelen içeriği sızdırdı.

Sızdırılan korsan saldırı araçları şunlar:

– Glimpse (Palo Alto Networks’ün BondUpdater adını verdiği PowerShell tabanlı bir truva atının yeni sürümü)

– PoisonFrog (BondUpdater’in eski versiyonu)

– HyperShell (Palo Alto Networks’ün TwoFace olarak adlandırdığı web shell)

– HighShell (bir diğer web shell)

– Fox Panel (e-dolandırıcılık kiti)

İnceleyeceğiz ...

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google fotoğrafı

Google hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s