İran destekli Seedworm adındaki siber casusluk grubu, Kuzey ve Doğu Afrika’daki telekomünikasyon şirketlerini hedef alıyor. Symantec güvenlik araştırmacılarına göre, Mısır, Sudan ve Tanzanya’daki telekomünikasyon sektörü kuruluşları Seedworm’un en son siber saldırılarına maruz kalıyor. Grup, SimpleHelp uzaktan erişim aracı ve Venom Proxy gibi araçları kullanarak kötü amaçlı etkinlikleri gizlemeye çalışıyor.
Seedworm, 2017’den bu yana aktif ve İran İstihbarat ve Güvenlik Bakanlığı (MOIS) ile bağlantılı. Hedef odaklı kimlik avı e-postaları ve RAR arşivleri gibi taktikler kullanarak kuruluşlara sızmaya çalışıyor. Son kötü amaçlı dosyalar, MuddyC2Go’ya otomatik olarak bağlanan bir PowerShell betiği içeriyor. Bu yaklaşım, saldırganların işlerini kolaylaştırıyor.
İran’ın siber casusluk grupları, güvenlik açıklarını kullanmak yerine hedefleri kötü amaçlı bağlantılar veya ekler açmaya ikna etmek için çeşitli taktikler kullanıyor. Stuxnet kötü amaçlı yazılımı, İran’ın nükleer tesislerini hedef almış ve operasyonlarını sabote etmişti. Bu saldırı ABD ve İsrail’in ortak istihbarat operasyonu olarak biliniyor.
İran’ın İslam Devrim Muhafızları Birliği (IRGC), yıkıcı saldırılarla ilişkilendiriliyor. Diğer yandan MOIS, gizli istihbarat elde etmeye odaklanmış bir sivil istihbarat servisi olarak biliniyor. Seedworm ise MOIS’in alt birimi olarak kabul ediliyor.
İranlı siber casusluk gruplarının hedefleri genellikle Orta Doğu’daki ülkeler ve kuruluşlar oluyor. Bu grupların faaliyetleri, bilgi çalma amaçlı olduğu biliniyor ve hükümetler ile özel kuruluşları hedef aldıkları saptanmış durumda.
Sonuç olarak, İran destekli Seedworm siber casusluk grubu, uzun süredir çeşitli ülkelerdeki telekomünikasyon şirketlerini hedef alıyor. Symantec’in araştırmasına göre, bu grupun etkinliği MOIS ile ilişkilendiriliyor ve gizli istihbarat amaçlayan birimler tarafından destekleniyor. Bu bilgiler ışığında, şirketlerin ve kurumların siber güvenliklerini artırmak amacıyla gerekli önlemleri alması gerekiyor.
