SpoofedScholars Operasyonu: Orta Doğu konularıyla ilgili gazeteciler ve akademisyenler hedef alınmış
İran devleti destekli olduğu iddia edilen APT grubu TA453‘ün yürüttüğü casusluk kampanyası kapsamında üniversite, düşünce kuruluşları ve medyadan Orta Doğu meseleleriyle ilgili uzmanların şifre ayrıntılarını elde etmek için tasarlanan kimlik avı saldırılarında Birleşik Krallık’taki akademisyenler gibi hareket ettiği tespit edildi.
Proofpoint güvenlik araştırmacıları tarafından SpoofedScholars operasyonu olarak adlandırılıyor ve bu casusluk kampanyası ile ilgili yayınlanan rapora göre;
1. Ocak 2021’in daha öncesinde başladığı düşünülen operasyon kapsamında tehdit aktörü TA453, Londra Üniversitesi Doğu ve Afrika Çalışmaları Okulu (SOAS) ile Birleşik Krallık’ta yaşayan akademisyenler maskesi altında hassas bilgileri elde edebilmek için pek çok kişi ile iletişime geçmeye çalıştığı veye geçtiği belirtiliyor.
2. Araştırmacılar, oluşturulan kimlik avı kampanyalarıyla hedeflenmiş kişileri üç ana kategoride toplamış: Kıdemli düşünce kuruluşu personelleri, Ortadoğu meselelerine odaklanan gazeteciler ve Profesörler.
3. Saldırganlar, Londra Üniversitesi Doğu ve Afrika Çalışmaları Okulu’ndaki (SOAS) gerçek akademisyenlere ait gibi görünecek şekilde tasarlanmış Gmail adreslerini kullanarak, gerçek personelin adlarına duyulan güveni istismar etme yolunu kullanmışlar.
4. Saldırganlar, olası hedeflere mesajlar göndererek onları ABD’nin Orta Doğudaki işlevi vs. gibi konuları konuşabilmek için online bir konferansa davet etttiği, hatta daha ayrıntılı konular için hedeflere telefonda konuşma teklifi etmişler.
5. Saldırganlar, Londra Üniversitesi’nin bir araştırma kurumu olan SOAS’a ait yasal ancak güvenliği ihlal edilmiş bir web sitesinde “Web Semineri Kontrol Paneli”ne yönlendirilen bir bağlantıyı hedefledikleri kişilere göndermişler. Güvenliğini ihlal ettikleri bu web sitesinide çeşitli kimlik bilgilerini yakalayacak şekilde yapılandırmışlar. Kullanıcıdan bir e-posta adresi aracılığıyla da platformda oturum açmasını istemişler ve kurbanın e-posta barındırma sağlayıcısının seçimine bağlı olarak farklı bağlantı seçenekleri eklemişler. Seçenekler arasında Google, Yahoo, Microsoft, iCloud, Facebook ve diğer seçenekler yer alıyormuş.
Proofpoint güvenlik araştırmacıları TA453 adlı APT grubunu değerlendirmelerinde; bu grubun İran devleti destekli olabileceği, yaptıkları casusluk kampanyalarıyla da Devrim Muhafızları’nın istihbarat toplama işlemlerinde destek oldukları yönünde iddiaları bulunuyor.
