Latin Amerika genelinde hükümet ve finans kurumlarını hedef alan koordineli bir siber saldırı kampanyası, saldırganların kendi hatası sonucu gün ışığına çıktı. Saldırganlar, hazırlık için kullandıkları bir sunucuyu internete açık bırakınca, CloudSEK araştırmacıları bu sunucudaki açık dizini keşfederek saldırı araç setini haritalandırdı. Operasyon Escaneo adı verilen bu kampanya, başta Meksika olmak üzere Ekvador ve Portekiz'de kritik altyapıyı hedef aldı. Saldırılar, hükümet kurumları, vergi daireleri, enerji şirketleri, ulaşım, telekomünikasyon ve bankalar gibi geniş bir yelpazeyi kapsadı. CloudSEK, en az beş kurbandan gelen işaret fişeklerini doğruladı ve büyük ölçekli veri hırsızlığı tespit etti.
Saldırganlar, ağlara sızmak için öncelikle internete açık güvenlik cihazlarındaki açıklardan yararlandı. Fortinet FortiOS SSL-VPN'deki CVE-2022-42475 ve CVE-2024-21762 güvenlik açıklarını, Ivanti Connect Secure'deki CVE-2023-46805, CVE-2024-21887 ve CVE-2025-0282 açıklarını kullandılar. Kamuya açık istismar kodlarını (PoC) hedef sistemi çökertmeyecek şekilde uyarlayarak sessizce sızdılar. Bununla da yetinmeyen saldırganlar, Apache Tomcat'in GhostCat açığı, Windows'taki EternalBlue ve Zerologon ile Log4Shell gibi yaygın açıkları da kullanarak erişim alanlarını genişletti. Tüm bu saldırılar, saldırganların Kimera adını verdiği özel bir keşif motoruyla beslendi. CloudSEK'e göre Kimera, hedefleri yüksek hızda tarayıp sınıflandırarak doğrudan istismar aşamasına aktarıyor.
Saldırganlar, ağlara tutunmak için çok katmanlı erişim yöntemleri kullandı. Neo-reGeorg web kabukları ile web sunucularında şifreli bir dayanak noktası oluşturdular. Chisel ters tünelleriyle HTTP üzerinden trafiği yönlendirdiler. Ayrıca ele geçirilmiş bir Cisco yönlendiriciye, saldırganlara doğru GRE tüneli kurarak ana bilgisayar tabanlı savunmalardan görünmeyen bir ağ düzeyi kanalı oluşturdular. Sadece Chisel günlükleri, 13 günlük bir sürede 3.708 oturum kaydetti. Bu tüneller, saldırganların keşif ve veri hırsızlığı faaliyetlerini kesintisiz sürdürmesini sağladı.
Detaylar ve Etkileri
Kurban ağlarının içinde saldırganlar, SAP ve Oracle sistemlerine erişerek komut çalıştırdı ve büyük miktarda hassas veri çaldı. Elde edilen veriler arasında bir ulaşım sağlayıcısına ait 1,3 milyondan fazla kişisel kayıt, bir kurbana ait 407 MB boyutunda Active Directory haritası, bir veritabanı sunucusundan canlı olarak sızdırılan SSL özel anahtarları, SAP servis hesabı hash'leri ve tarayıcıda saklanan şifreler bulunuyor. Bu veriler, saldırganların kurban ağlarında ne kadar derinlere indiğini ve ne kadar ciddi bir tehdit oluşturduğunu gözler önüne seriyor.
Önemli Gelişmeler
CloudSEK, bu kampanyayı orta düzeyde güvenle 'Meksika Mafyası' veya 'Pancho Villa' olarak bilinen bir gruba atfetti. Bu grup, 2024 yılı boyunca Meksika hükümeti, yargı ve enerji hedeflerine yönelik ihlaller üstlenmiş ve bazen bu saldırıları protesto olarak nitelendirmişti. Ancak CloudSEK, grubun geçmişteki bazı iddialarının ilgili kuruluşlar tarafından yalanlandığını belirterek bu bağlantıyı temkinli yaklaşıyor. Yine de, bağlantı ne olursa olsun, CloudSEK Latin Amerika kuruluşlarına öncelikle Fortinet ve Ivanti açıklarını kapatmalarını ve operasyonun daha sessiz işaretlerine karşı dikkatli olmalarını tavsiye ediyor.
Bu işaretler arasında harici adreslere yönelen GRE tünelleri, Chisel'in TCP-over-HTTP trafiği ve SAP ile Oracle üzerinden gelen beklenmedik komutlar yer alıyor. Kuruluşların, güvenlik duvarı ve VPN cihazlarını güncellemeleri, ağ trafiğini şüpheli tünelleme aktivitelerine karşı izlemeleri ve kritik sistemlerdeki yetkisiz erişim girişimlerini tespit etmek için davranış analizi yapmaları önem taşıyor. Ayrıca, Active Directory ve SSL anahtarları gibi hassas varlıkların güvenliğini artırmak, veri sızıntısını önlemek için hayati önem taşıyor.
Kaynak: infosecurity-magazine.com