Saldırının Genel Çerçevesi
Son dönemde Almanya ve Avrupa’daki üst düzey siyasetçiler, askeri personel, diplomasi çalışanları ve araştırmacı gazeteciler, Signal mesajlaşma platformu üzerinden yürütülen hedefli oltalama saldırılarının odağında yer alıyor. Tehdit aktörleri, “Signal Destek” veya “Signal Security ChatBot” isimli sahte destek botları aracılığıyla doğrudan iletişime geçerek, SMS yoluyla gönderilen PIN kodlarını talep ediyor. Kullanıcılar bu taleplere yanıt verdiğinde, saldırganlar hesapları ele geçirip profil, kişi listesi ve engellenenler gibi hassas verilere erişim sağlıyor.
Bu saldırıların teknik olarak dikkat çekici yanı, zararlı yazılım dağıtımı veya platformdaki güvenlik açıklarının doğrudan istismar edilmemesi; bunun yerine platformun kendi meşru özelliklerinin kötüye kullanılmasıdır. Örneğin, QR kod tarama yoluyla cihaz bağlama seçeneği kullanılarak da hesaplara erişim sağlanabiliyor ve böylece son 45 gündeki mesajlar dahil olmak üzere sohbetler tehdit aktörlerinin kontrolüne geçebiliyor.
Saldırı Zinciri ve Teknik Detaylar
Saldırı zinciri genel olarak şu adımlardan oluşuyor:
- Tehdit aktörleri, sahte destek botu kılığında hedeflerle iletişime geçer.
- Hedeflerden SMS ile gelen PIN veya doğrulama kodunu isterler.
- PIN kodu verildiğinde, saldırganlar hesabı kendi cihazlarına kaydeder ve kontrolü ele geçirir.
- Hesap ele geçirildikten sonra, saldırganlar mesajları okuyabilir, gönderebilir ve kişi listesine erişebilir.
- Alternatif olarak, QR kod tarama yoluyla cihaz bağlama yöntemi kullanılarak da hesap ele geçirilir.
Çalınan PIN kodu geçmiş sohbetlere erişim sağlamasa da, gelen mesajların yakalanması ve mağdurmuş gibi mesaj gönderilmesi mümkün olur. Ayrıca, hesap erişimi kaybedilen kullanıcıya yeni hesap açması yönünde talimat verilir.
Bu saldırıların arkasında kimlerin olduğu kesin olarak bilinmemekle birlikte, Rusya yanlısı tehdit aktörleri Star Blizzard, UNC5792 (UAC-0195) ve UNC4221 (UAC-0185) gibi grupların benzer yöntemlerle ilişkili olduğu düşünülüyor. Ayrıca, 2025 Aralık ayında Gen Digital tarafından detaylandırılan GhostPairing kampanyası da WhatsApp cihaz bağlama özelliğini kullanarak benzer hesap ele geçirme yöntemlerine işaret ediyor.
Siber Güvenlik Ekipleri İçin Öneriler
Bu tür hedefli oltalama saldırılarına karşı kurumların ve bireylerin alabileceği önlemler şunlardır:
- Kayıt Kilidi (Registration Lock) özelliği mutlaka etkinleştirilmeli; böylece telefon numarasının başka bir cihazda kayıt edilmesi engellenir.
- Signal ve WhatsApp gibi platformlarda destek hesaplarıyla doğrudan etkileşimden kaçınılmalı, özellikle SMS ile PIN kodu paylaşılmamalıdır.
- Bağlı cihazlar listesi düzenli olarak kontrol edilmeli ve tanınmayan cihazlar derhal kaldırılmalıdır.
- EDR ve SIEM sistemleri, olağan dışı oturum açma ve cihaz bağlama aktivitelerini izlemek üzere yapılandırılmalıdır.
- Ağ segmentasyonu ve Zero Trust prensipleri uygulanarak, mesajlaşma platformlarından kaynaklanabilecek lateral hareketler sınırlandırılmalıdır.
- Olay müdahale süreçleri, bu tür hesap ele geçirme vakalarına hızlı müdahale edebilecek şekilde güncellenmelidir.
Genişleyen Tehdit Manzarası ve Diğer Riskler
Signal üzerinden başlayan bu saldırıların, WhatsApp gibi diğer popüler mesajlaşma uygulamalarına da yayılma riski bulunuyor. Çünkü WhatsApp da benzer iki aşamalı doğrulama ve cihaz bağlama özelliklerine sahip. Bu durum, özellikle kritik altyapı ve devlet kurumları için ciddi bir risk teşkil ediyor.
Norveç ve diğer Avrupa ülkelerinde Çin ve İran destekli tehdit aktörlerinin siber casusluk faaliyetleri artarken, Rusya yanlısı grupların kritik enerji altyapılarına yönelik koordineli saldırıları da devam ediyor. Bu gelişmeler, e-posta güvenliği, ağ segmentasyonu ve bulut güvenliği gibi alanlarda kapsamlı savunma stratejilerinin önemini bir kez daha ortaya koyuyor.
Teknik Özet
- Kullanılan araçlar: Sahte destek botları, QR kod tabanlı cihaz bağlama, PIN kodu oltalama.
- Hedeflenen sektörler: Siyaset, askeri personel, diplomasi, medya ve araştırma.
- Zafiyetler: Sosyal mühendislik yoluyla iki aşamalı doğrulama kodlarının ele geçirilmesi.
- Saldırı zinciri: Sosyal mühendislik → PIN kodu talebi → Hesap ele geçirme → Mesaj ve kişi listesi kontrolü.
- Önerilen savunma: Kayıt Kilidi etkinleştirme, bağlı cihazların düzenli kontrolü, EDR ve SIEM ile anomali tespiti, kullanıcı eğitimi.