LATAM Altyapısı Fortinet ve Ivanti Açıklarıyla Hedef Alındı: Saldırganların Hatası Ortaya Çıkardı Siber Güvenlik

LATAM Altyapısı Fortinet ve Ivanti Açıklarıyla Hedef Alındı: Saldırganların Hatası Ortaya Çıkardı

Saldırganların açıkta bıraktığı bir sunucu sayesinde, Latin Amerika'da devlet ve finans kurumlarını hedef alan koordineli bir kampanya gün yüzüne çıkt

CloudSEK araştırmacıları, Latin Amerika genelinde hükümet ve finans hedeflerine yönelik koordineli bir siber saldırı kampanyasını ortaya çıkardı. 'Operation Escaneo' adı verilen operasyon, saldırganların bir hazırlık sunucusunu açıkta bırakması sonucu keşfedildi. 2026 yılının başlarında bulunan açık dizin sayesinde araştırmacılar, grubun araç setini ve kullandığı yöntemleri haritalandırdı. Kampanya başta Meksika olmak üzere Ekvador ve Portekiz'deki kritik altyapıları hedef aldı; vergi daireleri, kamu hizmetleri, ulaşım, telekomünikasyon ve bankalar etkilendi. CloudSEK, en az beş kurbandan gelen işaret fişeği (beacon) tespit ettiğini ve büyük ölçekli veri hırsızlığını doğruladığını belirtti.

Saldırganlar, güvenlik duvarı ve VPN cihazlarındaki açıkları kullanarak ağlara sızdı. Fortinet FortiOS SSL-VPN'deki CVE-2022-42475 ve CVE-2024-21762 ile Ivanti Connect Secure'deki CVE-2023-46805, CVE-2024-21887 ve CVE-2025-0282 gibi güvenlik açıklarından yararlandılar. Ayrıca Apache Tomcat'teki GhostCat, Windows'taki EternalBlue ve Zerologon ile Log4Shell gibi yaygın açıkları da kullandılar. Tüm bu saldırılar, grubun 'Kimera' adını verdiği özel bir keşif motoru tarafından yönlendirildi. CloudSEK'e göre Kimera, yüksek hızda hedef taraması yapıp sömürü aşamasına hazır hale getiriyordu.

Bağlantıyı sürdürmek için saldırganlar çok katmanlı bir erişim yapısı kullandı. Neo-reGeorg web kabukları ile web sunucularında şifreli dayanak noktaları oluşturdular, Chisel ters tüneli ile HTTP üzerinden trafiği yönlendirdiler ve ele geçirilen bir Cisco yönlendiriciye ana bilgisayar tabanlı savunmalardan gizlenen bir GRE tüneli kurdular. Chisel günlüklerine göre 13 günlük bir dönemde 3.708 oturum kaydedildi. Ağlara sızdıktan sonra saldırganlar SAP ve Oracle sistemlerine erişerek komut çalıştırdı ve büyük miktarda hassas veri çaldı. Bunlar arasında bir ulaşım sağlayıcısına ait 1,3 milyondan fazla kişisel kayıt, bir kurbana ait 407 MB Active Directory haritası, SSL özel anahtarları, SAP servis hesabı hash'leri ve tarayıcıda saklanan şifreler yer alıyor.

CloudSEK, kampanyayı orta düzeyde güvenle 'Meksika Mafyası' veya 'Pancho Villa' olarak adlandırılan bir gruba atfetti. Bu grup, 2024 yılı boyunca Meksika hükümeti, yargı ve enerji hedeflerine yönelik saldırılar üstlenmiş ve bazen bunları protesto olarak nitelendirmişti. Ancak CloudSEK, grubun geçmişteki bazı iddialarının ilgili kuruluşlar tarafından reddedildiğine dikkat çekerek bu bağlantıyı temkinli değerlendirdi. Her durumda, Latin Amerika kuruluşlarına çevre güvenlik cihazlarını yamalamaları ve GRE tünelleri, Chisel trafiği ile SAP/Oracle üzerinden gelen beklenmedik komutları izlemeleri tavsiye edildi.

Paylaş: