İran destekli hacker grubu olan MuddyWater’ın Türkiye’yi hedef aldığı görülüyor. 2017 yılında adı duyulan MuddyWater, geçtiğimiz yıllarda olduğu gibi bu yılda Türkiye’ye saldırmak istiyor.

İran İstihbarat ve Güvenlik Bakanlığı’nın desteklediği ileri sürülen APT grubu MuddyWater, Türkiye’yi hedef alıyor. Daha önce de grubun Türkiye’deki askeri kurumları, kamu kuruluşlarını, telekom şirketlerini ve eğitim kurumlarına saldırdığı biliniyor.

Geçtiğimiz yılın kasım ayında ortaya çıkarılan MuddyWater saldırılarının, TÜBİTAK başta olmak üzere Türkiye’den çeşitli kamu kurumlarını ve özel şirketleri hedef almıştı. Kaspersky Lab araştırmacıları, ekim 2018’de MuddyWater tarafından düzenlenen geniş çaplı bir operasyonu raporlamış, MuddyWater’ın yürüttüğü saldırılarda Suudi Arabistan, Irak, Ürdün, Lübnan ve Türkiye’deki devlet kurumları ve telekomünikasyon kuruluşlarının yanı sıra Azerbaycan, Afganistan ve Pakistan gibi ülkelerdeki çeşitli yerlerin de hedef alındığı duyurulmuştu.

Daha sonra 2019 yılında siber güvenlik şirketi Crowdstrike’ın raporunda adı Türkiye ile geçen MuddyWater’ın, Türkiye’de faaliyet gösteren Siyaset, Ekonomi ve Toplumsal Araştırma Vakfı’nın (SETA) web sitesini hedef aldığı ortaya çıkmıştı.

Cisco Talos tehdit istihbaratı araştırma ekibi tarafından tespit edilen MuddyWater’ın Türkiye’ye yönelik saldırıları nasıl gerçekleştirdiği rapor hâlinde yayımlandı.

MuddyWater, genellikle kurbanlarına Sağlık Bakanlığı veya İçişleri Bakanlığı’ndan geliyormuş gibi görünen ve gömülü zararlı bağlantılar içeren PDF belgesi biçimindeki dosyaları e-posta hâlinde gönderiyor. PDF dosyası bir hata mesajı içeriyor ve kurbandan sorunu çözmek ve belgenin doğru biçimini ya da uzantısını görüntülemek için bir bağlantıya tıklıyor. Zararlı linke tıklandığında kurban “snapfile.org” adresine yönlendiriliyor ve kurbandan zararlı VBA macro’ları barındıran çeşitli excel dosyalarının indirilmesi isteniyor. İndirilen dosyalar, VBS ve PS1 komut dosyalarını dağıtan XLS dosyalarından oluşturuyor. Dosyaları indiren kurbanlar, tehdit aktörlerinin kalıcılık ve uzaktan erişim kazanmasına  olanak sağlamış oluyor. Ayrıca zararlı dosyalara eklenen token, kurbanların makroları çalıştırdığında tehdit aktörlerine uyarı gönderiyor. Böylelikle saldırganlar, potansiyel hedeflerine ulaşma konusunda daha hızlı olabiliyor.

İran devletinin çıkarlarını gözeterek operasyonlar düzenleyen MuddyWater’ın saldırıları, casusluk, fikri mülkiyet hırsızlığı ve fidye yazılım saldırıları etrafında gelişiyor. Orta Doğu’da ulus devletlerin siyasi egemenliğini desteklemek, İran’a ekonomik avantajlar sağlamak gibi hedefleri olan grup Amerika, Avrupa ve Asya ülkelerinde sıklıkla yüksek profilli hedeflere yönelik kampanyalar yürüttüğü de gelen bilgiler arasında.