Güney Amerika'da Kritik Altyapıya Yönelik Fortinet ve Ivanti Açıklarıyla Büyük Siber Saldırı Yazılım

Güney Amerika'da Kritik Altyapıya Yönelik Fortinet ve Ivanti Açıklarıyla Büyük Siber Saldırı

Saldırganların kendi hatasıyla ortaya çıkan operasyon, Fortinet ve Ivanti açıklarını kullanarak Meksika başta olmak üzere kritik altyapıları hedef ald

Latin Amerika'da hükümet ve finans kurumlarını hedef alan koordineli bir siber saldırı, saldırganların bir hazırlık sunucusunu internete açık bırakmasıyla ortaya çıktı. CloudSEK'in analizine göre, 'Operation Escaneo' adı verilen operasyon kapsamında Meksika'daki kritik altyapılar hedef alınırken, Ekvador ve Portekiz'de de daha az yoğunlukta faaliyet tespit edildi. Saldırılar vergi daireleri, kamu hizmetleri, ulaşım, telekomünikasyon ve bankaları kapsıyor.

Saldırganlar, ağ çevre birimlerindeki güvenlik açıklarını kullanarak sistemlere sızdı. Özellikle Fortinet FortiOS SSL-VPN (CVE-2022-42475, CVE-2024-21762) ve Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2025-0282) açıkları istismar edildi. Ayrıca Apache Tomcat GhostCat, EternalBlue, Zerologon ve Log4Shell gibi bilinen açıklar da kullanıldı. Saldırganlar, özel olarak geliştirdikleri 'Kimera' adlı tarama motoruyla yüksek hızda hedef tespiti yaparak doğrudan sızma aşamasına geçtiler.

Erişimi sürdürmek için Neo-reGeorg web shell'leri, Chisel ters tüneli ve ele geçirilmiş bir Cisco yönlendirici üzerinden GRE tüneli kullanan saldırganlar, ağ içinde SAP ve Oracle sistemlerine ulaşarak büyük miktarda hassas veri çaldı. Çalınan veriler arasında bir ulaşım firmasına ait 1.3 milyondan fazla kişisel kayıt, 407 MB büyüklüğünde Active Directory haritası, SSL özel anahtarları, SAP servis hesabı hash'leri ve tarayıcıda saklanan şifreler yer alıyor.

Nasıl Önlem Alınmalı?

CloudSEK, saldırıyı orta düzeyde güvenle 'Mexican Mafia' veya 'Pancho Villa' olarak bilinen bir gruba atfediyor. Bu grup daha önce Meksika hükümeti, yargı ve enerji hedeflerine yönelik saldırılar düzenlemişti. Araştırmacılar, Latin Amerika kuruluşlarını öncelikle Fortinet ve Ivanti açıklarını kapatmaya çağırırken, GRE tünelleri, Chisel trafiği ve SAP/Oracle üzerinden gelen beklenmedik komutlar gibi operasyonun sessiz belirtilerine karşı dikkatli olunması uyarısında bulunuyor.

Paylaş: