Uzmanlar, kilit siyasetçi ve işadamlarını gözetim altında tutup izlemeye olanak tanıyan verilerin hırsızlığını yapan İran'ın siber dünyadaki varlık alanını genişletmesinden kaygı duyuyor.
İran'la bağlantılı bazı siber korsanlar, telekomünikasyon şirketleri ve seyahat sektörüne sızabilmek için elektronik posta aracılığıyla oltalama yöntemine başvuruyor ve kimlik bilgisi hırsızlığı yapıyor. Çalınan kişisel veriler, korsanların gelecekteki operasyonlarında kullanılıyor.
Siber güvenlik firması FireEye'ın yayınladığı rapora göre, İran'ın siber korsanlık faaliyetlerinde en aktif grup, kısaca APT 39 olarak bilinen Advanced Persistent Threat 39, yani Gelişmiş İnatçı Tehdit 39. 2014 yılından buyana faaliyet gösteren grup, güvenlik firması FireEye'a göre İran'ın ulusal çıkarlarını desteklemeyi amaçlıyor. Grubun Ortadoğu ve ötesindeki hedefleri vurma becerisine sahip olduğu biliniyor.
”APT 39'un yaygın kişisel veri hırsızlığına odaklanması, İran'daki diğer gruplardan farkını ortaya koyuyor,” denilen raporda, grubun faaliyetlerinin, İran'ın küresel çaptaki erişim potansiyelini ortaya koyduğu kaydediliyor.
FireEye firması uzmanı Cristiana Kittner, İran'ın siber faaliyetlerinin telekomünikasyon ve enformasyon teknolojisi firmalarını hedef aldığını ve büyük miktarda kimlik belirleyici veriye odaklandığını söylüyor.
Kittner, ”Ağa giriş yaptıktan sonra telefon kayıtları, personel kayıtları ya da havayolları kayıtları gibi belgeleri arıyorlar. Kimlik belirleyici verilerin hem genel gözetim hem de belirli hedefler hakkında bilgi toplamak amacıyla çalındığını düşünüyoruz. Tanınmış kişiler, politikacılar ve bir ülkenin stratejik ilişkilerinde önemli rol oynayanlar hedef alınıyor,” diyor.
Kittner, APT 39 grubunun vize ve pasaport verilerinin bile peşine düştüğünü, bunun için basılan klavye tuşlarının kayıtlarının tarandığını söylüyor.
APT 39'un hedefindeki şirketlerin büyük çoğunluğu Suudi Arabistan, Irak, Mısır, Türkiye ve Birleşik Arap Emirlikleri'nde olsa da, örgütün telekomünikasyon ve seyahat sektörüne ilişkin verilerin peşine düşmesi, çok daha uzak bölgelere erişmesiyle sonuçlandı. Norveç, Güney Kore, Avustralya ve Amerika'da da birçok şirket, APT 39'un hedefi oldu.
Güvenlik firması FireEye'ın raporu, başka siber güvenlik firmalarının yaptığı uyarıları izliyor. Bu firmalar da İran bağlantılı siber güçlerin telekomünikasyon ve seyahat sektörlerini hedef almasından giderek daha çok kaygılandıklarını dile getiriyordu. Öte yandan APT 39'un ne kadar yeni olduğuna ilişkin tartışmalar da var.
APT 39'un faaliyetlerinin çoğu, İran'daki siber örgüt Chafer'in yürüttüğü faaliyetlerle örtüşüyor. Telekomünikasyon, seyahat ve enformasyon teknolojisine odaklanan Chafer'in varlığı ilk kez 2015'te, siber güvenlik şirketi Symantec tarafından ortaya çıkarılmıştı.
Amerika'nın Sesi'nin sorularını yanıtlayan Symantec, ”Chafer'in giderek daha çok hırslandığı gözleniyor. Grup, son iki yılda, hedef aldıkları sektörlerin arz zincirlerine yönelik saldırıları yoğunlaştırdı. Arz zincirlerine yönelik bu saldırılar, Chafer'in hedef aldığı her sektöre daha geniş kapsamlı hasar vermesine neden olabilir,”dedi.
Kimi uzmanlarsa APT 39 ve Chafer'in faaliyetlerinin, siber alanda oldukça ürkütücü bir varlık sergileyen Tahran Hükümeti'nin siber casusluk doktrinini daha da geliştirdiğini kaydediyor. Uzmanlar, Tahran'ın yakında ekonomik ve siyasi avantaj elde etmek için siber casusluğu kullanmanın yeni yöntemlerini geliştirebileceği uyarısında bulunuyor.
Veri teknolojisi güvenliği danışmanlık firması TrustedSec CEO'su David Kennedy, ”İran, bu becerileri kullanarak tedarikçileri ve siparişlerin nerelere gönderildiğini belirliyor. Böylelikle insanları yakalama ya da başkalarının siparişlerini alma becerisi elde edebilirler,” diyor.
Daha önce Amerikan Ulusal Güvenlik Dairesi ve Amerikan Deniz Piyade Gücü'nün elektronik savaş biriminde görev yapan Kennedy, APT 39'un farklı firmaları izleme yöntemlerinin son derece etkili olduğunu kaydediyor.
Öte yandan Amerika ve Batılı ülkelerin İran'ın füze denemeleri ve nükleer faaliyetlerine yanıt olarak Tahran üzerindeki baskıyı arttırmasına karşılık İran'ın siber güçlerinin giderek daha çok hırslanacağı öngörüsü, Avrupalı yetkilileri kaygılandırıyor.
Avrupa Dijital Güvenlik Dairesi, kısa süre önce yayınladığı raporda, ”Yeni yaptırımlar, İran'ı, bölgesel düzeydeki jeopolitik ve stratejik emellerini gerçekleştirmek için devlet destekli siber faaliyetlerini yoğunlaştırmaya itebilir,” uyarısında bulunuyor.
Amerikalı yetkililer de İran'ın siber alanda giderek daha çok güçlendiğini söylüyor.
Amerika, geçtiğimiz Kasım ayında iki İranlı siber korsanı, fidye yazılımı SamSam'i kullanarak Amerika'daki belediyelerden, hastanelerden ve başka kamu kurumlarından milyonlarca dolar gaspetmekle suçladı.
Amerikalı savcılar 2018 yılı Mart ayındaysa İranlı dokuz siber korsanı araştırma hırsızlığı yapmak için yüzlerce üniversite ve kurumun bilgisayar ağlarına sızmakla suçlamıştı.
