ABD Federal Soruşturma Bürosu (FBI), yayımladığı son güvenlik uyarısında İran bağlantılı siber saldırganların Telegram platformunu kullanarak dünya genelinde muhalifler, gazeteciler ve rejim karşıtı grupları hedef aldığını açıkladı. Söz konusu saldırıların çok aşamalı bir yapıya sahip olduğu belirtilirken, kullanıcıların farkında olmadan zararlı yazılımları cihazlarına yüklemeye yönlendirildiği ifade edildi. Bunun yanında saldırganların, hedeflerle iletişime geçerken güvenilir kişi ya da teknik destek gibi davranarak sosyal mühendislik yöntemlerinden yararlandığı aktarıldı. Her ne kadar bu tür yöntemler uzun süredir bilinse de, yeni vakalarda Telegram altyapısının etkin biçimde kullanılması dikkat çekiyor. Buna rağmen saldırıların tespit edilmesinin zorlaştığına işaret ediliyor.
Saldırının ilk aşamasında hedef alınan kişilere sahte bağlantılar gönderiliyor ve bu bağlantılar çoğu zaman Telegram veya WhatsApp gibi popüler uygulamaların sahte sürümleri gibi gösteriliyor. Kullanıcıların bu dosyaları yüklemesiyle birlikte zararlı yazılım sisteme yerleşiyor. Bununla birlikte ikinci aşamada devreye giren mekanizma, enfekte cihazın Telegram botlarıyla bağlantı kurmasını sağlıyor. Bu sayede saldırganlar uzaktan erişim elde ederek cihaz üzerinde tam kontrol sağlayabiliyor. Buna ek olarak dosya çalma, ekran görüntüsü alma ve hatta Zoom görüşmelerini kaydetme gibi işlemler gerçekleştirilebiliyor.
FBI, Handala isimli gruba dikkat çekti
Telegram gibi yaygın kullanılan platformların kötüye kullanılması, siber güvenlik uzmanlarının işini daha karmaşık hale getiriyor. Çünkü zararlı trafik, normal kullanıcı aktiviteleri arasında gizlenebiliyor ve bu durum güvenlik yazılımlarının tehditleri ayırt etmesini zorlaştırıyor. Öte yandan FBI, bu saldırıların arkasında İran İstihbarat ve Güvenlik Bakanlığı (MOIS) ile bağlantılı grupların bulunduğunu değerlendiriyor. Buna rağmen saldırıların doğrudan hangi grup tarafından gerçekleştirildiği her vakada net biçimde ortaya konulamıyor.
FBI açıklamasında, İran yanlısı ve Filistin destekçisi olduğu belirtilen Handala adlı sözde hacktivist gruba da değinildi. Fakat söz konusu grubun bu spesifik saldırılarla doğrudan bağlantısı olup olmadığı kesinlik kazanmış değil. Buna rağmen Handala’nın son dönemde adını sıkça duyurduğu biliniyor. Nitekim ayın başlarında sağlık teknolojileri şirketi Stryker’a yönelik saldırının sorumluluğunu üstlenen grup, on binlerce çalışanın cihazlarının silinmesine yol açan bir siber olaya karışmıştı.
ABD Menkul Kıymetler ve Borsa Komisyonu’na yapılan resmi bildirimlerde Stryker’ın saldırının etkilerini gidermeye çalıştığı bilgisi yer aldı. Bunun yanında ABD Adalet Bakanlığı, Handala grubunun İran hükümetiyle bağlantılı bir paravan yapı olduğunu ve MOIS adına faaliyet yürüttüğünü ileri sürdü. Tüm bunlara ek olarak FBI, Handala ile bağlantılı iki internet sitesini kapattığını ve “Homeland Justice” adlı başka bir İran bağlantılı grupla ilişkili sitelere de el koyduğunu duyurdu. Kurum, her iki grubun da aynı yapı tarafından yönlendirildiğini belirtti.
Telegram cephesinden yapılan açıklamada ise platformda zararlı yazılım faaliyetlerine karıştığı tespit edilen hesapların düzenli olarak kaldırıldığı ifade edildi. Bununla birlikte siber güvenlik uzmanları, kullanıcıların bilinmeyen bağlantılara karşı dikkatli olması ve resmi uygulama mağazaları dışından yazılım indirmemesi gerektiğini vurguluyor. Bu tür saldırıların giderek daha sofistike hale gelmesi, bireysel kullanıcıların yanı sıra kurumların da güvenlik önlemlerini güncel tutmasını gerektiriyor.
