Mysterious Team Bangladesh olarak bilinen bir hacktivist grup, Haziran 2022’den bu yana 750’den fazla dağıtık hizmet engelleme (DDoS) saldırısı ve 78 web sitesi tahrifatıyla ilişkilendirildi.
Singapur merkezli siber güvenlik firması Group-IB, “Grup en sık Hindistan ve İsrail’deki lojistik, hükümet ve finans sektörü kuruluşlarına saldırıyor” dedi. “Grup öncelikle dini ve siyasi motiflerle hareket ediyor.”
Hedeflenen diğer ülkeler arasında Avustralya, Senegal, Hollanda, İsveç ve Etiyopya yer alıyor.
Buna ek olarak, tehdit aktörünün muhtemelen bilinen güvenlik açıklarından ya da yetersiz güvenlikli şifrelerden yararlanarak web sunucularına ve yönetim panellerine erişim sağladığı söyleniyor.
Gizemli Bangladeş Ekibi’nin adından da anlaşılacağı üzere Bangladeş kökenli olduğundan şüpheleniliyor. Grubun Facebook’taki tanıtımında “Bangladeş Siber Alanımızı korumak için çalışıyoruz” yazıyor.
Grubun Telegram ve Twitter’da aktif bir sosyal medya varlığı var. LinkedIn profilinde “İsrail Operasyonu” Haziran 2022’den bu yana devam eden bir proje olarak listeleniyor ve Filistin’i desteklediğini, “İsrail Hükümetinin Filistin halkını öldürdüğünü ve işkence ettiğini” ve “Filistin Halkını öldürmeyi bırakana kadar siber alanlarına saldıracağız” iddiasında bulunuyor.
Tehdit aktörüyle ilgili ayrıntılar ilk olarak 2022’nin sonlarında CloudSEK’in Hindistan’daki kuruluşlara saldırma planlarını açıklamasıyla ortaya çıktı. Aralık 2022’de Hindistan’ın Merkezi Yüksek Öğretim Kurulu (CBHE) sistemlerine yapılan bir saldırı, devlet kimlik numaraları gibi kişisel olarak tanımlanabilir bilgilerin açığa çıkmasına neden oldu. O zamandan beri bu saldırı, BAE hükümetinin çeşitli web sitelerine yapılan DDoS saldırılarıyla ilişkilendiriliyor.
DDoS Saldırıları ve Veri İhlalleri
Hindistan’a yönelik ilk saldırı kampanyası 22 Haziran 2022’de gerçekleşti ve grup hükümet kaynakları ile banka ve finans kuruluşlarının web sitelerine yakınlık gösterdi.
Şirket, “Dünya genelinde hacktivizmin rönesansının kökleri, hacktivistlerin çok sayıda kampanya yürüttüğü devam eden jeopolitik çatışmaya dayanıyor olabilir” dedi.
“Görülebileceği gibi, modern hacktivist gruplar herhangi bir ideoloji tarafından motive edilmiyor, ancak daha sonra reklam satışı yoluyla bilgi kaynaklarından para kazanmak için kendi markalarını ve tanınırlıklarını geliştirmeye çalışıyorlar.”
Bulgular, NoName057(16) olarak adlandırılan Rusya yanlısı bir hacktivist kolektifin son haftalarda İspanyol ve İtalyan web sitelerine yönelik yeni bir yıkıcı DDoS saldırı dalgasıyla ilişkilendirilmesiyle ortaya çıktı.
Radware Çarşamba günü yayınladığı bir analizde “NoName057(16)’nın DDoS saldırılarında yeni olan şey, grup yöneticilerinin saldırı vektörlerini sahnelemeden önce keşif yapmalarıdır” dedi. “Hedef web sitesini araştırıyorlar ve sitenin en yoğun kaynak kullanan bölümlerini belirliyorlar.
“Arama işlevi ya da doldurulması gereken bir form içeren sayfalar tipik adaylardır. NoName057(16), çerezler ve olası captcha anahtarları da dahil olmak üzere bu sayfalar için GET ve POST istekleri tarafından kullanılan tüm değişkenleri kaydeder ve ardından saldırı vektörleri olarak kullanılmak üzere rastgele veriler için yer tutucular içeren belirli web istekleri oluşturur.”
