İran rejimi İnsan Hakları İzleme Örgütü’nün internet hesaplarına saldırdı

Rejim destekli İranlı bilgisayar korsanları, İnsan Hakları İzleme Örgütü’nün (HRW) bildirdiğine göre, ‘sosyal mühendislik ve kimlik avı’ adı verilen ve devam eden bir bilgisayar korsanlığı saldırısıyla İnsan Hakları İzleme Örgütü çalışanlarını ve Orta Doğu sorunları üzerinde çalışan 18'den fazla aktivist, gazeteci, araştırmacı, akademisyen, diplomat ve politikacıyı hedef aldı.

HRW tarafından yapılan bir soruşturma, kimlik avı saldırısını Tahran rejimine bağlı ‘APT42’ olarak bilinen ve bazen ‘Charming Kitten’ (Sevimli Kedi Yavrusu) olarak anılan bir kuruluşa bağladı. İnsan Hakları İzleme Örgütü'nün Uluslararası Af Örgütü'ne (Amnesty) bağlı Güvenlik Laboratuvarı ile ortaklaşa yürüttüğü teknik analiz, aynı kampanya kapsamında hedef alınan 18 ek kurban tespit etti. Bunlardan en az üçünün e-postası ve diğer hassas verileri hacklendi. Bu üç isim: büyük bir Amerikan gazetesinin muhabiri, Körfez bölgesindeki kadın hakları savunucusu ve Lübnan'daki Refugees International'ın savunuculuk danışmanı Nicholas Noy.

Şarku’l Avsat’ın AFP’den aktardığı habere göre HRW Bilgi Güvenliği Direktörü Abeer Ghattas, “İran’ın devlet destekli bilgisayar korsanları, Orta Doğu odaklı araştırmacılar ve sivil toplum kuruluşları tarafından tutulan hassas bilgilere ve bağlantılara erişmek için agresif bir şekilde gelişmiş sosyal mühendislik ve kimlik toplama taktikleri kullanıyor. Bu, İran'da ve bölgenin başka yerlerinde gazetecilerin ve insan hakları savunucularının karşılaştığı riskleri önemli ölçüde artırıyor” dedi.

Ghattas, “Aktivistlere yönelik takip tehditleriyle dolu bir Orta Doğu bölgesinde, dijital güvenlik araştırmacılarının yalnızca bulgularını yayınlamaları ve tanıtmaları değil, aynı zamanda bölgede hedef alınan aktivistlerin, gazetecilerin ve sivil toplum liderlerinin korunmasına da öncelik vermeleri şart” diye ekledi.

Bilgisayar korsanları hesaplarının ele geçirildiği bilinen üç kişinin e-postalarına, bulut depolama sürücülerine, takvimlerine ve kişilerine erişim sağladı ve ayrıca, kullanıcıların mesajlar, bulut depolama alanı ve diğer hassas bilgiler dahil olmak üzere tüm Google hesaplarını indirmelerine olanak tanıyan bir Google Paket Servisi girişiminde bulundu.

Çeşitli güvenlik firmaları, çalışmaları Ortadoğu'ya odaklanan araştırmacıları, sivil toplum kuruluşlarını ve muhalifleri hedef alan, APT42 tarafından yürütülen ‘kimlik avı’ saldırıları bildirdi. Çoğu şirket, hedefleme modellerine ve teknik kanıtlara dayanarak APT42'yi ‘saldırgan’ olarak tanımladı. İnsan Hakları İzleme Örgütü Raporu’na göre, tehdit aktörünün tanımlanması ve adlandırılması ayrıca araştırmacıların düşmanca siber faaliyetleri tanımlamasına, izlemesine ve ilişkilendirmesine yardımcı olan Google ve dijital güvenlik firmaları ‘Recorded Future’, ‘Proofpoint’ ve ‘Mandiant’ gibi kuruluşlar, APT42'yi İran makamlarıyla ilişkilendirdi.

İnsan Hakları İzleme Örgütü ve Uluslararası Af Örgütü, bu kampanyanın hedefi olarak tanımlanan yüksek profilli 18 kişiyle temasa geçti. Bu isimlerin on beşi yanıt verdi ve 15 Eylül ile 25 Kasım 2022 arasında aynı WhatsApp mesajlarını aldıklarını doğruladı.

Raporda, İranlı hackerların 2010'dan beri yabancı hükümetlerin, orduların ve şirketlerin yanı sıra siyasi muhalifleri ve insan hakları savunucularını hedef aldığı belirtildi. Zamanla, bu saldırılar, sosyal mühendislik olarak bilinen saldırıyı uygulama yollarında daha karmaşık hale geldi. ABD merkezli siber güvenlik firması Mandiant'e göre APT42, Avrupa, Amerika Birleşik Devletleri, Orta Doğu ve Kuzey Afrika'daki çok sayıda kimlik avı saldırısından sorumlu. 14 Eylül 2022'de ABD Hazine Bakanlığı Yabancı Varlıkları Koruma Ofisi (OFAC), APT42 grubuna mensup kişilere yaptırım uyguladı.

HRW, Google'a “gazetecileri, insan hakları savunucularını ve saldırı riski en yüksek olan kullanıcılarını daha iyi korumak için Gmail'in güvenlik uyarılarını derhal güçlendirmesi” çağrısında bulundu.