Amazon Tehdit İstihbaratı (Amazon Threat Intelligence), İran devlet destekli bilgisayar korsanlarının fiziksel askeri saldırıları mümkün kılmak için sistematik olarak siber keşif kullandığı yeni bir savaş modelini ortaya çıkardı. Araştırmacılar, bu durumu, ulusların savaş yürütme biçiminde “temel bir evrim” olarak nitelendiriyor.
Salı günü Arlington, Virginia’daki CYBERWARCON 2025’te sunulan bulgular, İranlı tehdit grupları Imperial Kitten ve MuddyWater’ın, füze saldırıları için hedefleme istihbaratı sağlamak amacıyla denizcilik sistemlerini ve gözetleme kameralarını nasıl ele geçirdiğini belgeliyor. Araştırma, dijital saldırıların özellikle fiziksel askeri hedefleri desteklemek için tasarlandığı operasyonları tanımlamak için “siber destekli kinetik hedefleme” (cyber-enabled kinetic targeting) terimini ortaya atıyor.
Dijital gözetlemeden fiziksel saldırıya: İki somut örnek
Araştırmada belgelenen iki vaka, bu yeni savaş modelinin ne kadar tehlikeli olabileceğini gözler önüne seriyor.
1. Vaka: Bir geminin hedef alınması (Imperial Kitten)
En detaylı vakada, İran Devrim Muhafızları Ordusu’na bağlı bir grup olan Imperial Kitten, Aralık 2021’de bir deniz taşıtının Otomatik Tanımlama Sistemi’ni (AIS) ele geçirerek kritik denizcilik altyapısına erişim sağladı. Tehdit aktörleri, Ağustos 2022’de kampanyalarını genişleterek, gerçek zamanlı görsel istihbarat elde etmek için gemilerdeki CCTV kameralarına eriştiler.
27 Ocak 2024’te Imperial Kitten, belirli bir gemi için AIS konum verilerine yönelik hedefli aramalar gerçekleştirdi. Günler sonra, 1 Şubat 2024’te, Husi güçleri tam da o gemiye, M/V KOI’ye bir füze saldırısı düzenledi, ancak saldırı başarısız oldu.
Amazon’un Baş Bilgi Güvenliği Sorumlusu CJ Moses, “Füze saldırısı sonuçsuz kalsa da, siber keşif ile kinetik saldırı arasındaki korelasyon şüphe götürmez,” diye yazdı.
2. Vaka: Kudüs’e yönelik saldırılar (MuddyWater)
Daha yakın tarihli bir olayda ise, İran İstihbarat ve Güvenlik Bakanlığı’na atfedilen bir tehdit grubu olan MuddyWater yer alıyor. Grup, 13 Mayıs 2025’te bir sunucu hazırladı ve bu altyapıyı 17 Haziran’da Kudüs’ten canlı CCTV akışları içeren ele geçirilmiş sunuculara erişmek için kullandı. Altı gün sonra, İran şehre yaygın füze saldırıları başlattı. İsrailli yetkililer, İran güçlerinin “gerçek zamanlı istihbarat toplamak ve füze hedeflemesini ayarlamak” için ele geçirilmiş güvenlik kameralarını kullandığını doğruladı.
Genişleyen tehdit modelleri ve yeni hedefler
Amazon, bu araştırmanın bulut operasyonları, MadPot “bal küpü” sistemleri ve hükümet kurumlarıyla istihbarat paylaşımı ortaklıkları aracılığıyla küresel tehditlere yönelik benzersiz bir görünürlüğe sahip olmasından kaynaklandığını belirtiyor.
Amazon Tehdit İstihbaratı Direktörü Mark Schmidt, “Tarihsel olarak kendilerini ulus-devlet aktörleri için hedef olarak görmeyen bir nakliye şirketi gibi kuruluşlar, artık gözetleme kameraları, endüstriyel kontrol sistemleri veya konum verileri gibi değerli istihbarata erişimleri olduğu için hedef alınabilir,” dedi.
Savaşın yeni yüzü
Tehdit aktörleri, anonimleştirici VPN hizmetleri aracılığıyla trafiği yönlendirerek ve ele geçirilen kurumsal sistemlere kalıcı erişim sağlamak için aktör kontrollü sunucuları kullanarak karmaşık bir teknik altyapı kullandılar. Ele geçirilen sensörlerden gelen gerçek zamanlı veri akışları, saldırganların askeri saldırılar sırasında hedeflemeyi ayarlamasına olanak tanıdı.
Moses, “Ulus-devlet aktörleri, dijital keşfi fiziksel saldırılarla birleştirmenin kuvvet çarpanı etkisini fark ediyorlar,” dedi. “Bu eğilim, siber ve kinetik operasyonlar arasındaki geleneksel sınırların çözüldüğü, savaşta temel bir evrimi temsil ediyor”.
