DieNet ve Keymous+: Kuveyt, BAE, Katar ve Bahreyn Bankaları Sistematik Hedef Listesinde

DieNet ve Keymous+, Körfez bölgesindeki kritik altyapıyı ve finansal kurumları hedef alan sistematik hacktivist kampanyalar yürüten gruplardır. SOCRadar'ın takibine göre DieNet, Katar, Bahreyn, BAE, Kuveyt, Suudi Arabistan ve Umman'daki bankalar, bakanlıklar, havalimanları, telekomünikasyon operatörleri ile enerji ve su tesislerini kapsayan yapılandırılmış bir hedef listesi yayımlamıştır. Keymous+ ise Kuveyt, Ürdün ve Suudi Arabistan'ı 'günlük ziyaret' hedefi olarak ilan etmiştir. Bu grupların faaliyetleri, bölgedeki daha geniş İran-İsrail/ABD siber çatışma ortamıyla eş zamanlı yoğunlaşmakta olup olayların koordineli bir hacktivist ekosistem içinde gerçekleştiği değerlendirilmektedir.

Her iki grubun da birincil saldırı yöntemi olarak DDoS (Dağıtık Hizmet Engelleme) saldırıları öne çıkmaktadır. Bu tür kampanyalarda gruplar, Telegram kanalları üzerinden hedef ilanı yaparak takipçilerini saldırıya yönlendiren 'booter/stresser' araçlarına veya botnet altyapısına başvurmaktadır. Saldırı zinciri tipik olarak şu adımları izler: (1) Telegram'da hedef duyurusu, (2) gönüllü katılımcı ya da otomatize trafik ile hedefe yönelik yüksek hacimli istek gönderimi, (3) check-host.net veya benzeri araçlarla 'başarı' doğrulaması, (4) ekran görüntüsü veya HTTP hata kodu paylaşımıyla kamuoyu baskısı oluşturulması. Bölgede gözlemlenen benzer grupların (RuskiNet, NoName057(16)) taktikleriyle örtüşen bu TTP'ler, kampanyaların koordineli bir hacktivist ağın parçası olduğuna işaret etmektedir.

Hedef kapsam analizi yapıldığında DieNet'in öncelikli olarak kamu yüzü olan web portallarını ve internet bankacılığı ön uçlarını hedef aldığı görülmektedir. Kuveyt özelinde finansal kurumlar ve devlet portalları doğrudan tehdit kapsamına girmekte; bu durum yerel SOC ekipleri için artırılmış alarm eşiği gerektirmektedir. Etkilenebilecek sistemler arasında halka açık web sunucuları, API ağ geçitleri, DNS altyapısı ve CDN katmanları sayılabilir. Grubun geçmiş operasyonlarına bakıldığında saldırıların genellikle kısa süreli (dakikalar ile saatler arası) ancak yüksek görünürlüklü olduğu dikkat çekmektedir.

Verifier notunda belirtildiği üzere, DieNet ve Keymous+'a ilişkin spesifik hedef listesi detayları SOCRadar'ın kendi istihbarat akışlarından gelmekte olup kaynak pano içeriği bu grupları doğrudan listelememektedir. Bu nedenle gruplara atfedilen hedefleme ayrıntıları 'teyit bekleyen istihbarat' statüsünde değerlendirilmelidir. Bununla birlikte bölgedeki genel tehdit tablosu kaynak içeriğiyle tutarlıdır: 1.583'ün üzerinde siber saldırı iddiası, 54 hedef ülke ve 80'den fazla aktif Telegram kanalı ile Körfez bölgesi 'yüksek tehdit' statüsünde seyretmektedir.

Finans sektörü ve Türkiye/Orta Doğu bağlamı açısından değerlendirildiğinde, Kuveyt Türk gibi Körfez bölgesinde operasyonu bulunan veya muhabir bankacılık ilişkileri olan kurumların bu tehdit aktörlerinin dolaylı etki alanında kaldığı görülmektedir. DDoS saldırıları doğrudan veri ihlali yaratmasa da müşteri güveni, işlem sürekliliği ve düzenleyici raporlama yükümlülükleri açısından ciddi operasyonel risk oluşturmaktadır. BDDK ve yerel düzenleyici otoritelerin siber olay bildirim gereklilikleri çerçevesinde bu tür kampanyaların erken tespit edilmesi kurumsal itibar ve uyumluluk açısından kritik önem taşımaktadır.