FBI uyardı: Telegram üzerinden gizli veri hırsızlığı

ABD Federal Soruşturma Bürosu (FBI), yayımladığı oğullar güvenlik uyarısında İran bağlantılı siber saldırganların Telegram platformunu kullanarak dünya genelinde muhalifler, gazeteciler ve idare karşıtı grupları hedefleri aldığını açıkladı. Söz başlıksu saldırıların çok aşamalı tek yapıya malik olduğu belirtilirken, kullanıcıların farkında olmadan zararlı yazılımları cihazlarına yüklemeye yönlendirildiği ifadeleri edildi. Bunun yanında saldırganların, hedeflerle iletişime geçerken güvenilir kişi ya da teknikleri hayır gibi davranarak toplumsal mühendislik yöntemlerinden yararlandığı aktarıldı. Her ne kadar bu tür yöntemler uzunluğu süredir bilinse de, yepyeni vakalarda Telegram altyapısının tesirn biçimde kullanılması ilgi çekiyor. Buna rağmen saldırıların belirleme edilmesinin güçlaştığına işaret ediliyor.

Saldırının birinci aşamasında hedefleri alınan kişilere sahte bağlantılar gönderiliyor ve bu bağlantılar çoğu zamanlar Telegram ya da WhatsApp gibi popüler uygulamaların sahte sürümleri gibi gösteriliyor. Kullanıcıların bu dosyaları yüklemesiyle birlikteki zararlı yazılım sisteme yerleşiyor. Bununla birlikteki sonuncu aşamada devreye giren mekanizma, enfekte cihazın Telegram botlarıyla bağlantı kurmasını sağlıyor. Bu sayede saldırganlar uzaktan erişim elde ederek alet üzerinde hepsi denetim sağlayabiliyor. Buna ilave olarak klasör çalma, imge görüntüsü alma ve bile Zoom görüşmelerini kaydetme gibi işlemler gerçekleştirilebiliyor.

FBI, Handala isimli gruba ilgi çekti

Telegram gibi yaygın kullanılan platformların kötüye kullanılması, siber güvenlik uzmanlarının işini daha karmaşık hale getiriyor. Çünkü zararlı trafik, normal olan kullanıcı aktiviteleri arasında gizlenebiliyor ve bu şart güvenlik yazılımlarının tehditleri ayırt etmesini güçlaştırıyor. Öte yandan FBI, bu saldırıların arkasında İran İstihbarat ve Güvenlik Bakanlığı (MOIS) ile bağlantılı grupların bulunduğunu değerlendiriyor. Buna rağmen saldırıların doğrudan hangi cemaat tarafından gerçekleştirildiği her arasında biri vakada netler biçimde ortaya başlıklamıyor.

FBI açıklamasında, İran yanlısı ve Filistin yardımçisi olduğu belirtilen Handala adlı sözde hacktivist gruba da değinildi. Fakat söz başlıksu grubun bu spesifik saldırılarla doğrudan bağlantısı olup olmadığı kesinlik kazanmış değil. Buna rağmen Handala’nın oğullar dönemde adını sıkça duyurduğu biliniyor. Nitekim ayın başlarında sağlık teknolojileri şirketi Stryker’a yönelik saldırının sualmluluğunu üstlenen grup, bağlı binlerce çalışanın cihazlarının silinmesine yolda açan tek siber olaya karışmıştı.

ABD Menkul Kıymetler ve Borsa Komisyonu’na yapılan biçimsel bildirimlerde Stryker’ın saldırının tesirlerini gidermeye çalıştığı malumatsi mekan aldı. Bunun yanında ABD Adalet Bakanlığı, Handala grubunun İran hükümetiyle bağlantılı tek paravan yapı olduğunu ve MOIS adına etkinlik yürüttüğünü ileri sürdü. Tüm bunlara ilave olarak FBI, Handala ile bağlantılı ikisi internetler sitesini kapattığını ve “Homeland Justice” adlı başka tek İran bağlantılı grupla ilişkili sitelere da el koyduğunu duyurdu. Kurum, her arasında biri ikisi grubun da aynı yapı tarafından yönlendirildiğini belirtti.

Telegram cephesinden yapılan açıklamada ise platformda zararlı yazılım faaliyetlerine karıştığı belirleme edilen hesapların düzenli olarak kaldırıldığı ifadeleri edildi. Bununla birlikteki siber güvenlik uzmanları, kullanıcıların bilinmeyenler bağlantılara karşı titiz olması ve biçimsel başvuru mağazaları dışından yazılım indirmemesi lüzumtiğini vurguluyor. Bu tür saldırıların gittikçe daha sofistike hale gelmesi, bireysel kullanıcıların yanı sıra kurumların da güvenlik önlemlerini güncel tutmasını lüzumtiriyor.