Fortinet ve Ivanti Açıklarıyla Latin Amerika Kritik Altyapısı Hedef Alındı Siber Güvenlik

Fortinet ve Ivanti Açıklarıyla Latin Amerika Kritik Altyapısı Hedef Alındı

Latin Amerika'da hükümet ve finans hedeflerine yönelik koordineli bir siber saldırı, saldırganların bir staging sunucusunu açık bırakmasıyla ortaya çı

CloudSEK güvenlik araştırmacıları, Latin Amerika'da kritik altyapıyı hedef alan geniş çaplı bir siber saldırı kampanyasını gün yüzüne çıkardı. 'Operation Escaneo' adı verilen operasyon, saldırganların kendi hataları sonucu bir staging sunucusunu internete açık bırakmaları sayesinde keşfedildi. Araştırmacılar, sunucuda bulunan açık dizin sayesinde grubun araç setini ve kullandığı yöntemleri detaylıca inceleme fırsatı buldu. Kampanya ağırlıklı olarak Meksika'daki devlet kurumları, vergi daireleri, enerji şirketleri, ulaşım, telekomünikasyon ve bankaları hedef alırken, Ekvador ve Portekiz'de de daha küçük çaplı saldırılar tespit edildi. CloudSEK, en az beş kurbandan gelen beacon sinyallerini doğruladı ve büyük ölçekli veri hırsızlığının gerçekleştiğini belirtti.

Saldırganlar, ağlara sızmak için öncelikle internete açık güvenlik cihazlarındaki zafiyetleri hedef aldı. Özellikle Fortinet FortiOS SSL-VPN'deki CVE-2022-42475 ve CVE-2024-21762 ile Ivanti Connect Secure'deki CVE-2023-46805, CVE-2024-21887 ve CVE-2025-0282 gibi kritik açıkları kullanan grup, mevcut proof-of-concept (PoC) kodlarını hedef sistemi çökertmeyecek şekilde uyarladı. Saldırı yüzeyi sadece güvenlik duvarı cihazlarıyla sınırlı kalmadı; Apache Tomcat'teki GhostCat açığı, Windows'taki EternalBlue ve Zerologon ile Log4Shell gibi yaygın zafiyetler de istismar edildi. Tüm bu saldırılar, grubun Kimera adını verdiği özel bir keşif motoru tarafından yönetildi. CloudSEK'e göre Kimera, hedefleri yüksek hızda tarayıp sınıflandırarak doğrudan istismar aşamasına aktarıyor.

Bağlantıyı sürdürmek ve kalıcı erişim sağlamak için saldırganlar katmanlı bir yaklaşım benimsedi. Web sunucularında Neo-reGeorg web shell'leri ile şifreli bir dayanak noktası oluştururken, Chisel ters tünelleri ile HTTP üzerinden trafiği yönlendirdiler. Ayrıca, ele geçirilen bir Cisco yönlendiricisine, ana bilgisayar tabanlı savunmalara görünmeyen bir ağ katmanı kanalı olan GRE tüneli yerleştirildi. Chisel günlükleri, 13 günlük bir süre içinde 3.708 oturum kaydedildiğini ortaya koydu. Bu yöntemler, saldırganların tespit edilmeden uzun süre ağ içinde kalmasını sağladı.

Önemli Gelişmeler

Kurban ağlarının içine sızdıktan sonra saldırganlar, SAP ve Oracle sistemlerine erişerek komut çalıştırdı ve büyük miktarda hassas veriyi dışarı sızdırdı. Çalınan veriler arasında bir ulaşım sağlayıcısına ait 1,3 milyondan fazla kişisel kayıt, 407 MB boyutunda bir Active Directory haritası, bir veritabanı sunucusundan canlı olarak aktarılan SSL özel anahtarları, SAP servis hesabı hash'leri ve tarayıcıda saklanan şifreler yer alıyor. Bu veriler, kurumlar için ciddi bir güvenlik ihlali ve itibar kaybı anlamına geliyor.

CloudSEK, kampanyayı orta düzeyde güvenle 'Meksika Mafyası' veya 'Pancho Villa' olarak bilinen bir gruba atfediyor. Bu grup, 2024 yılı boyunca Meksika hükümeti, yargı ve enerji hedeflerine yönelik ihlaller gerçekleştirmiş ve saldırıları bazen protesto amaçlı olarak nitelendirmişti. Ancak CloudSEK, grubun geçmişteki bazı iddialarının hedefteki kuruluşlar tarafından yalanlandığını belirterek bu bağlantıyı ihtiyatla karşılıyor. Yine de, söz konusu grubun benzer taktikler kullanması, aynı aktörlerin iş başında olabileceğini düşündürüyor.

Sistem Güvenliği

Bu saldırı, Latin Amerika'daki kurumlar için bir uyarı niteliği taşıyor. CloudSEK, özellikle Fortinet ve Ivanti cihazlarındaki açıkların acilen kapatılmasını ve ağlarda GRE tünelleri, Chisel'in TCP-over-HTTP trafiği gibi olağandışı bağlantıların izlenmesini öneriyor. Ayrıca, SAP ve Oracle sistemlerinde beklenmeyen komut çalıştırma girişimleri de dikkatle takip edilmeli. Kurumların, güvenlik duvarlarını ve VPN cihazlarını güncellemeleri, ağ trafiğini sürekli izlemeleri ve hassas verilere erişimi sıkılaştırmaları hayati önem taşıyor.

Kaynak: infosecurity-magazine.com

Paylaş: