Siber güvenlik araştırmacıları, Latin Amerika'da hükümet ve finans kurumlarını hedef alan geniş çaplı bir siber saldırı kampanyasını gün ışığına çıkardı. CloudSEK tarafından 'Operation Escaneo' adı verilen operasyon, saldırganların bir hazırlık sunucusunu açıkta bırakmasıyla ortaya çıktı. Araştırmacılar, 2026 başlarında keşfettikleri bu sunucudaki açık dizin sayesinde grubun araç setini haritalayarak saldırının boyutlarını gözler önüne serdi. Kampanya ağırlıklı olarak Meksika'da kritik altyapıyı hedef alırken, Ekvador ve Portekiz'de de izler tespit edildi. Saldırıdan etkilenen sektörler arasında devlet kurumları, vergi daireleri, enerji şirketleri, ulaşım, telekomünikasyon ve bankalar yer alıyor. CloudSEK, en az beş kurbandan 'beacon' sinyali aldığını ve büyük ölçekli veri hırsızlığını doğruladı.
Saldırganların ağlara sızarken kullandığı ana yöntem, internete açık güvenlik cihazları oldu. Özellikle Fortinet FortiOS SSL-VPN'deki CVE-2022-42475 ve CVE-2024-21762 kodlu güvenlik açıkları ile Ivanti Connect Secure ürünlerindeki CVE-2023-46805, CVE-2024-21887 ve CVE-2025-0282 kodlu açıklar kullanıldı. Saldırganlar, kamuya açık proof-of-concept (PoC) kodlarını hedef sistemleri çökertmeyecek şekilde uyarlayarak sessiz bir giriş sağladı. Bununla da yetinmeyen grup, Apache Tomcat'teki GhostCat açığı, Windows'taki EternalBlue ve Zerologon zafiyetleri ile Log4Shell gibi bilinen kritik açıkları da kullanarak etki alanını genişletti. Tüm bu saldırılar, grubun 'Kimera' adını verdiği özel bir keşif motoru tarafından yönlendirildi. CloudSEK'e göre Kimera, hedefleri yüksek hızda tarayıp sınıflandırarak doğrudan sömürü aşamasına aktarıyor.
Saldırganlar, ağ içinde kalıcılığı sağlamak için çeşitli tünelleme yöntemleri kullandı. Neo-reGeorg web shell'leri ile web sunucularında şifreli bir dayanak noktası oluşturulurken, Chisel ters tünelleri HTTP üzerinden trafik taşıdı. Daha da dikkat çekici olan ise, ele geçirilen bir Cisco yönlendiricisine ana bilgisayar tabanlı savunmaların göremediği bir GRE tüneli yerleştirilmesi oldu. Sadece Chisel günlüklerinde 13 günlük bir süreçte 3.708 oturum kaydedildi. Bu tüneller sayesinde saldırganlar, kurban ağlarında SAP ve Oracle sistemlerine erişerek komut çalıştırdı ve büyük miktarda hassas veriyi dışarı sızdırdı. Çalınan veriler arasında bir ulaşım sağlayıcısına ait 1,3 milyondan fazla kişisel kayıt, bir kurbanın Active Directory yapısının 407 MB boyutundaki haritası, bir veritabanı sunucusundan canlı olarak dışarı aktarılan SSL özel anahtarları, SAP servis hesabı hash'leri ve tarayıcıda saklanan şifreler bulunuyor.
CloudSEK, operasyonu orta düzeyde güvenle 'Meksika Mafyası' veya 'Pancho Villa' olarak bilinen bir gruba atfediyor. Bu grup, 2024 yılı boyunca Meksika hükümeti, yargı ve enerji hedeflerine yönelik ihlaller üstlenmiş ve zaman zaman bu saldırıları protesto amaçlı olarak nitelendirmişti. Ancak firma, grubun geçmişteki bazı iddialarının hedef kuruluşlar tarafından yalanlandığını da hatırlatarak bu bağlantıyı temkinli bir şekilde değerlendiriyor. Bağlantı ne olursa olsun, CloudSEK Latin Amerika'daki kuruluşları öncelikle Fortinet ve Ivanti cihazlarındaki açıkları kapatmaya çağırıyor. Ayrıca, GRE tünelleri, Chisel'in TCP-over-HTTP trafiği ve SAP/Oracle sistemlerinde beklenmedik komut çalıştırma gibi operasyonun daha sessiz işaretlerine karşı da uyarıda bulunuyor.
Bu saldırı, kritik altyapıya yönelik tehditlerin ne kadar karmaşık hale geldiğini bir kez daha gösteriyor. Özellikle güvenlik duvarı ve VPN gibi ağ çevre birimlerindeki açıklar, saldırganlara iç ağlara doğrudan erişim imkanı veriyor. Türkiye'deki kamu kurumları ve özel sektör firmaları da benzer saldırılara karşı dikkatli olmalı. Fortinet ve Ivanti ürünlerinin en güncel yamalarının uygulanması, ağ trafiğinde anormal tünelleme aktivitelerinin izlenmesi ve SAP/Oracle gibi kritik sistemlere yönelik erişim kontrollerinin sıkılaştırılması, bu tür saldırılara karşı alınabilecek temel önlemler arasında yer alıyor. Ayrıca, düzenli güvenlik taramaları ve sızma testleri ile olası zafiyetlerin önceden tespit edilmesi büyük önem taşıyor.
Sonuç olarak, 'Operation Escaneo' sadece Latin Amerika'yı değil, tüm dünyadaki kritik altyapıları hedef alan gelişmiş tehdit aktörlerinin yöntemlerini gözler önüne seriyor. Saldırganların açık kaynak istihbaratı ve özel araçları birleştirerek oluşturduğu bu hibrit yaklaşım, savunma ekiplerinin de proaktif ve çok katmanlı bir güvenlik stratejisi benimsemesi gerektiğini ortaya koyuyor. Kurumların, yalnızca bilinen açıkları kapatmakla kalmayıp, aynı zamanda ağ trafiğindeki anormallikleri tespit edebilecek davranışsal analiz araçlarına yatırım yapması, gelecekteki benzer saldırıların önüne geçilmesinde kritik rol oynayacaktır.
Kaynak: infosecurity-magazine.com