Devlet Destekli Oltalama Saldırısı İsrail Askeri Yetkililerini Hedef Aldı

Yüksek profilli hükümet ve İsrail askeri personelini hedef alan bir kimlik avı kampanyasının arkasında İran'la bağları olan gelişmiş bir kalıcı tehdit grubunun olduğuna inanılıyor. Check Point Software'in raporuna.

Kampanyanın hedefleri arasında İsrail savunma sanayisinde üst düzey bir lider, ABD'nin eski İsrail Büyükelçisi ve eski İsrail Başbakan Yardımcısı yer alıyordu.

Araştırmacılar, kampanyanın amacının hedeflerden kişisel bilgi elde etmek olduğunu söyledi.

Yasal Adreslerden Gelen Sahte E-postalar

Check Point'e göre hedeflerden biri İsrail'in eski dışişleri bakanı, adalet bakanı ve başbakan yardımcısı Tzipi Livni. Araştırmacılar, hedefin adres defterindeki yüksek kalitede kişi listesi nedeniyle seçildiğine inanıyor.

Araştırmacılara göre kısa bir süre önce, "IDF'de son derece hassas bir pozisyonda görev yapan tanınmış eski bir Tümgeneralden" bir e-posta aldı. Gönderenin adresi sahte değildi; daha önce yazıştığı alan adının aynısıydı. İbranice'den tercüme edilen mesajda şunlar yazıyordu:

Merhaba sevgili dostlarım, Yılı özetlemek için lütfen ekteki yazıya bakınız. ((*sadece gözler*)) Tabii ki dağıtılmasını istemiyorum çünkü son versiyon değil. Her türlü yorumu almaktan memnuniyet duyarım. Günün geri kalanını harika geçirin.

Mesajda bir bağlantı vardı. Livni bağlantıya tıklamayı geciktirdi ve birkaç takip e-postası gönderilmesine neden oldu.

Günaydın sizden haber alamadım. Bazı arkadaşlar bana açıklamalar gönderdi. Sizin sözleriniz de benim için çok önemli. Çok meşgul olduğunu biliyorum. Ama zamanınızı ayırıp makaleyi okumanızı rica etmek istedim. İyi hafta

Check Point'e göre gönderenin ısrarı ve mesaj telaşı şüphelerini artırdı. Livni'nin eski Tümgeneralle görüşmesinin ardından e-postaların ele geçirilmiş bir hesaptan gönderildiği ve mesajların içeriğinin bir kimlik avı saldırısının parçası olduğu ortaya çıktı.

Bu kampanyadaki diğer hedefler için de benzer bir hikaye vardı; şüpheli e-postalar meşru kişilerden gönderiliyordu.

Ne Really Happened

Saldırı yöntemi özellikle teknik değildi. Check Point Research tehdit istihbaratı grup yöneticisi Sergey Shykevich, "Operasyonun en karmaşık kısmı sosyal mühendisliktir" dedi. Kampanyanın "her hedef için özel olarak hazırlanmış, çok hedefe yönelik bir kimlik avı zinciri" olduğunu söyledi. Kişisel olarak hazırlanmış kimlik avı e-postaları, hedef odaklı kimlik avı adı verilen bir tekniktir.

Saldırganlar hedefli kimlik avı saldırılarını, öncelikle hedeflerindeki bir kişiye ait e-posta adres defterini ele geçirerek başlattı. Daha sonra, ele geçirilen hesabı kullanarak, kişi ile hedef arasında zaten var olan bir e-posta zincirini devam ettireceklerdi. Zamanla konuşmayı, hedefi kötü amaçlı bir bağlantıya veya belgeye tıklamaya veya açmaya yönlendirmeye yönlendireceklerdi.

Check Point analistleri, "Bazı e-postalarda hedefle alakalı gerçek bir belgeye bağlantı yer alıyor" dedi. Örneğin, "bir konferansa veya araştırmaya davet, Yahoo'nun kimlik avı sayfası, belge taramalarını yükleme bağlantısı."

Sonuçta "Amaç", "kişisel bilgilerini, pasaport taramalarını ve posta hesaplarına erişimi çalmaktı."

Kim ve neden

Shykevich, "Bunun en azından Aralık 2021'den itibaren başladığına dair sağlam kanıtlarımız var, ancak daha erken başladığını varsayıyoruz" diye yazdı.

Analizlerinde araştırmacılar, İran bağlantılı Phosphorus APT grubuna (diğer adıyla Charming Kitten, Ajax Security, NewsBeef, APT35) işaret ettiğine inandıkları kanıtlar buldular. Fosfor İran'ın çoğu aktif APT'ler, "İsrailli yetkilileri hedef almanın yanı sıra İran rejiminin çıkarlarıyla uyumlu, yüksek profilli siber operasyonlar yürütme konusunda uzun bir geçmişe sahip."

İran ve İsrail genellikle anlaşmazlığa düşer ve bu saldırılar “İsrail ile İran arasında artan gerilimin ortasında gerçekleşti. İranlı yetkililere (bazıları İsrail'in Mossad'ıyla bağlantılı) son zamanlarda düzenlenen suikastlar ve dünya çapındaki İsrail vatandaşlarını kaçırmaya yönelik girişimlerin engellenmesiyle, Phosphorous'un devam eden çabalarına gelecekte de devam edeceğinden şüpheleniyoruz.”