Uluslararası siber güvenlik firması ESET, İran bağlantılı bir siber tehdit grubunun Irak ve Irak Kürt Bölgesel Yönetimi’ni hedef alan yeni bir casusluk operasyonunu deşifre etti. BladedFeline adı verilen bu tehdit aktörü, kurumsal ve devlet düzeyinde etkili olabilecek sızma yöntemleriyle dikkat çekiyor.
ESET’in elde ettiği verilere göre BladedFeline, bölgedeki sistemlere gizli erişim sağlamak için gelişmiş kötü amaçlı yazılımlar kullanıyor. Grup, bu kapsamda özellikle üst düzey kamu kurumları ve devlet yetkililerine ait sistemlerde uzun süreli bir siber hakimiyet kurmayı amaçlıyor.
Whisper ve PrimeCache: Casusluğun İleri Seviyesi
BladedFeline’ın kullandığı en dikkat çekici araçlar arasında Whisper ve PrimeCache isimli iki gelişmiş zararlı yazılım yer alıyor. Whisper, Microsoft Exchange sunucularında ele geçirilen e-posta hesapları üzerinden uzaktan erişim sağlayan bir arka kapı görevi görüyor. E-posta ekleri aracılığıyla sızan bu yazılım, sessizce sistemde varlığını sürdürüyor.
PrimeCache ise, Microsoft’un Internet Information Services (IIS) altyapısına entegre edilen kötü amaçlı bir modül olarak tanımlanıyor. Bu araç, hem sistem izleme hem de dış bağlantılarla iletişim kurma işlevi görüyor. ESET, bu modülün daha önce OilRig tarafından kullanılan RDAT arka kapısı ile teknik benzerlik taşıdığını belirtiyor.
OilRig’in Gölgesindeki BladedFeline
ESET’in teknik analizleri, BladedFeline grubunun OilRig adlı daha büyük ve bilinen bir İran merkezli APT (Advanced Persistent Threat – Gelişmiş Kalıcı Tehdit) grubunun alt kolu olabileceğini gösteriyor. Grup, önceki yıllarda da Orta Doğu’da faaliyet göstermiş ve benzer taktiklerle dikkat çekmişti.
OilRig’in, sadece Irak değil aynı zamanda İsrail, Özbekistan ve bölgedeki başka ülkelerde de siber casusluk girişimlerinde bulunduğu biliniyor. BladedFeline ise özel olarak Kürt bölgesine ve Irak yönetimine odaklanmış durumda. ESET, bu grubun faaliyetlerini 2017’den bu yana aktif olarak izliyor.
Bölgesel Telekom ve Devlet Sistemleri Hedefte
Grubun kullandığı teknikler arasında tünelleme araçları, özel tasarlanmış arka kapılar ve siber iz kaybettirme yöntemleri yer alıyor. Ayrıca BladedFeline’ın Özbekistan’daki bir telekom sağlayıcısını da operasyonlarında geçici üs olarak kullandığı bildiriliyor. Bu da grubun yalnızca devlet kurumlarına değil, iletişim altyapılarına da sızma stratejisini benimsediğini gösteriyor.
Petrol ve Batı İlişkileri: Casusluğun Ana Gerekçesi
ESET uzmanları, İran destekli tehdit gruplarının özellikle Irak’taki enerji kaynakları ve Batılı ülkelerle olan siyasi bağlar nedeniyle bu bölgeye yoğunlaştığını düşünüyor. ABD’nin Irak’taki geçmiş askeri varlığı ve Batı hükümetlerinin diplomatik etkisi, İran’ın karşı istihbarat faaliyetlerine zemin hazırlıyor. Bu bağlamda BladedFeline’ın amacı, hassas bilgilere erişerek İran’ın bölgesel çıkarlarını korumak ve güçlendirmek olabilir.
Lyceum da Devrede: OilRig’in Diğer Kolu
BladedFeline dışında, Lyceum (diğer adıyla HEXANE veya Storm-0133) adlı başka bir alt grup da ESET’in radarında. Lyceum, daha çok İsrail’deki sağlık ve devlet kuruluşlarını hedef alıyor. Bu da gösteriyor ki OilRig sadece Irak’ta değil, bölgesel ölçekte çok yönlü casusluk faaliyetleri yürütüyor.
BladedFeline’ın Gelecekteki Hamleleri
ESET Research, BladedFeline grubunun önümüzdeki dönemlerde de yeni araçlar geliştirerek saldırı yelpazesini genişletebileceğini öngörüyor. Grup, erişim sağladığı sistemlerde mümkün olduğunca uzun süre fark edilmeden kalmaya çalışıyor. Bu da sadece devlet kurumlarını değil, kritik altyapıları da risk altına sokuyor.
Kaynak: bihaber.tr