Genel bakış

APT34 (diğer isimleriyle OilRig, HELIX KITTEN, IRN2) en az 2014 yılından beri aktif olduğu bilinen siber casusluk grubudur. APT34 grubu genel olarak Ortadoğu ülkelerini hedef almaktadır^[1]. Grubun hedef kitlesini devlet kurumları, finansal kurumlar, enerji ve telekomünikasyon kurumları oluşturmaktadır. Grubun İran kökenli olduğu biliniyor. 2019 Nisan ayında Telegram üzerinden kullandıkları araçlar, grup üyelerine ait fotoğraflar, saldırdıkları ve ele geçirdikleri sistemlere ait bilgiler sızdırıldı.

Özet

Bu yazımızda en az 4 senedir aktif olan ve Türkiye’de hedefleri arasında olan APT34 grubunu anlatmaya çalıştım. Bu APT grubunun amacı İran için istihbarat sağlamak. Kendini diğer gruplardan ayıran özelliklerden bir tanesi de DNS trafiği üzerinden haberleşme sağlayıp, buraya önem vermesi. Bu teknik genelde kullanılan bir teknik olmadığı için yer vermek gerektiğini düşünüyorum. APT34 grubunun kullandığı araçların, gruba ait insanların bilgilerinin, yükledikleri ve kullandıkları webshell’lerin adreslerinin, birileri tarafından ifşa edilmeside bu grubu son günlerde göz önüne getiriyor. Aşağıdaki görselde grubun genel atak şeması verilmiştir.