İngiltere merkezli İranlı aktivist Nariman Gharib'in paylaştığı bilgilere göre, Ortadoğu'daki yüksek profilli Gmail ve WhatsApp kullanıcılarını hedef alan sofistike bir siber saldırı kampanyası yürütüldü. Gharib, kendisine WhatsApp üzerinden gönderilen şüpheli bir bağlantıya tıklamamasını belirterek, kampanyanın kendisi gibi İran ile ilgili faaliyetlerde bulunan kişileri hedef aldığını vurguladı. Bu saldırı, İran'ın tarihindeki en uzun süreli ülke çapındaki internet kesintisiyle ve ülke çapında devam eden protestolarla eş zamanlı olarak gerçekleşti.
HAKKINDA BİLGİLER ÇALINDI
Teknoloji haber sitesi TechCrunch, Gharib'in paylaştığı bağlantı üzerinden zararlı web sayfasının kaynak kodunu inceledi. Güvenlik araştırmacılarının da katkısıyla, kampanyanın temel amacının Gmail ve diğer çevrimiçi kimlik bilgilerini çalmak, WhatsApp hesaplarını ele geçirmek ve konum verileri, fotoğraflar ile ses kayıtlarını çalarak gözetim yapmak olduğu anlaşıldı. Saldırganların devlet bağlantılı ajanlar, casuslar veya siber suçlular olup olmadığı ise belirsizliğini koruyor. TechCrunch ayrıca, saldırganın sunucusunda saklanan ve şifresiz olarak erişilebilen kurban yanıtlarının gerçek zamanlı bir kopyasını görüntüleme imkanı buldu. Bu veri, kimlik bilgilerini farkında olmadan giriş yapan ve muhtemelen hacklenen düzinelerce kurbanı ortaya çıkardı. Kurbanlar arasında ulusal güvenlik çalışmaları yürüten Orta Doğulu bir akademisyen, İsrailli bir drone üreticisinin patronu, üst düzey bir Lübnanlı kabine bakanı, en az bir gazeteci ve Amerika Birleşik Devletleri'nde yaşayan veya ABD telefon numarası olan kişiler bulunuyor.
SİBER GÜVENLİK UZMANLARININ DEĞERLENDİRMELERİ
Gharib'in raporunu doğrulayan TechCrunch, bulgularını yayınlamadan önce phishing (oltalama) sitesinin artık erişime kapalı olduğunu belirtti. Saldırı zincirine göre, WhatsApp mesajındaki şüpheli bağlantı kurbanın tarayıcısında bir oltalama sitesi açıyordu. Saldırganların, IP adresleri sıkça değişebilen sunuculara kolay hatırlanabilir web adresleri bağlamak için DuckDNS adlı dinamik bir DNS sağlayıcısını kullandıkları anlaşıldı. Saldırganların, oltalama sayfasının gerçek konumunu gizlemek ve sahte bir WhatsApp bağlantısı gibi görünmesini sağlamak için DuckDNS'i kullandığı düşünülüyor. Phishing sayfası aslında alex-fabow.online adresinde barındırılıyordu ve bu alan adı Kasım 2025'in başlarında kaydedilmişti. Bu alan adı, aynı özel sunucuda barındırılan ve kampanya tarafından sanal toplantı odası sağlayıcılarını da hedef aldığını gösteren, örüntülü başka alan adlarına sahipti. Kaynak kod analizi, oltalama sayfasının Gmail kimlik bilgileri, telefon numaraları, konum verileri, ses ve fotoğraf gibi hassas bilgileri çalmayı amaçladığını gösterdi. Güvenlik araştırmacıları, bu tür saldırıların genellikle İran Devrim Muhafızları Ordusu (IRGC) gibi devlet destekli gruplar veya mali çıkarı olan siber suçlular tarafından gerçekleştirilebileceğini belirtiyor.
