Latin Amerika Altyapısı Hedefte: Fortinet ve Ivanti Açıklarından Sistematik Sızma Siber Güvenlik

Latin Amerika Altyapısı Hedefte: Fortinet ve Ivanti Açıklarından Sistematik Sızma

Latin Amerika'da kritik altyapı hedefli siber saldırı: Saldırganların kendi sunucularını açık unutmasıyla ortaya çıkan operasyon, Fortinet ve Ivanti a

Latin Amerika genelinde hükümet ve finans kurumlarını hedef alan organize bir siber saldırı kampanyası, saldırganların kendi hataları sonucu gün yüzüne çıktı. CloudSEK güvenlik araştırmacıları, saldırganlara ait bir hazırlık sunucusunun internete açık bir dizin bırakması üzerine operasyonu tespit etti. "Operation Escaneo" adı verilen bu kampanyada, Meksika başta olmak üzere Ekvador ve Portekiz'deki kritik altyapılar hedef alındı. Saldırganların, hükümet kurumları, vergi daireleri, enerji şirketleri, ulaşım, telekomünikasyon ve bankalar gibi geniş bir yelpazede faaliyet gösterdiği belirlendi. CloudSEK, en az beş kurbandan gelen izleri doğrularken, büyük ölçekli veri hırsızlığı yaşandığını da raporladı.

Saldırganların ağlara sızma yöntemi, ağırlıklı olarak internete açık güvenlik cihazlarındaki açıkları kullanmak oldu. Araştırmacılar, saldırganların Fortinet FortiOS SSL-VPN ürünlerindeki CVE-2022-42475 ve CVE-2024-21762 gibi kritik açıkların yanı sıra Ivanti Connect Secure ürünlerindeki CVE-2023-46805, CVE-2024-21887 ve CVE-2025-0282 kodlu açıkları da kullandığını tespit etti. Saldırganlar, kamuya açık istismar kodlarını (PoC) hedef sistemi çökertmeyecek şekilde uyarlayarak sessiz bir sızma gerçekleştirdi. Bu açıklar, özellikle Latin Amerika'daki birçok kurumun hâlâ yama uygulamadığı eski sistemlerde etkili oldu.

Saldırganların yetenekleri yalnızca çevre güvenlik cihazlarıyla sınırlı kalmadı. Araştırmalar, Apache Tomcat'teki GhostCat açığı, Windows işletim sistemlerindeki EternalBlue ve Zerologon açıkları ile Log4Shell gibi kritik zafiyetlerin de kullanıldığını ortaya koydu. Tüm bu saldırılar, saldırganların "Kimera" adını verdiği özel bir keşif motoru tarafından yönetiliyordu. CloudSEK'in raporuna göre Kimera, hedefleri yüksek hızda tarayıp sınıflandırıyor ve doğrudan sömürü aşamasına aktarıyor. Bu otomasyon, saldırganların çok sayıda hedefe aynı anda saldırmasına olanak tanıdı.

Teknik Analiz

Saldırganlar, ağlara sızdıktan sonra erişimlerini sürdürmek için çeşitli tünel ve arka kapı teknikleri kullandı. Neo-reGeorg web shell'leri ile web sunucularında şifreli bir dayanak noktası oluşturan saldırganlar, Chisel ters tüneli ile HTTP trafiği üzerinden iletişim kurdu. Ayrıca, ele geçirilen bir Cisco yönlendiricisine GRE tüneli yerleştirerek, ana bilgisayar tabanlı savunmalardan gizlenen bir ağ seviyesi kanalı oluşturdular. Chisel günlükleri, yalnızca 13 günlük bir sürede 3.708 oturum kaydetti; bu, saldırganların ne kadar aktif olduğunu gösteriyor.

Önemli Gelişmeler

Saldırganlar, kurban ağlarında SAP ve Oracle sistemlerine erişerek komut çalıştırdı ve büyük miktarda hassas veri sızdırdı. Çalınan veriler arasında bir ulaşım sağlayıcısına ait 1,3 milyondan fazla kişisel kayıt, bir kurbanın Active Directory'sinin 407 MB boyutundaki haritası, bir veritabanı sunucusundan canlı olarak sızdırılan SSL özel anahtarları, SAP servis hesabı hash'leri ve tarayıcıda saklanan şifreler yer alıyor. Bu verilerin, saldırganlar tarafından kimlik avı, fidye yazılımı veya başka saldırılarda kullanılmak üzere saklandığı düşünülüyor.

CloudSEK, bu kampanyayı orta düzeyde güvenle "Mexican Mafia" veya "Pancho Villa" olarak bilinen bir gruba atfediyor. Bu grup, 2024 yılı boyunca Meksika hükümeti, yargı ve enerji hedeflerine yönelik ihlaller gerçekleştirdiğini iddia etmiş ve bazı saldırıları protesto amaçlı olarak sunmuştu. Ancak CloudSEK, grubun geçmişteki bazı iddialarının hedef kuruluşlar tarafından yalanlandığını da belirterek bu bağlantıyı temkinli bir şekilde değerlendiriyor. Yine de, saldırganların kullandığı altyapı ve taktikler, bu tür grupların zamanla daha karmaşık hale geldiğini gösteriyor.

Bu saldırı, Latin Amerika'daki kuruluşlar için kritik bir uyarı niteliği taşıyor. CloudSEK, özellikle Fortinet ve Ivanti cihazlarındaki açıkların acilen yamalanmasını öneriyor. Ayrıca, kuruluşların ağlarında GRE tünelleri, Chisel'in TCP-over-HTTP trafiği ve SAP/Oracle sistemlerinde beklenmeyen komut çalıştırma gibi sessiz işaretleri izlemeleri gerekiyor. Bu tür saldırılar, genellikle geleneksel güvenlik duvarları tarafından tespit edilemediğinden, davranışsal analiz ve ağ trafiği izleme çözümlerinin önemi bir kez daha ortaya çıkıyor.

Uzmanların Görüşleri

Sonuç olarak, Operation Escaneo, kritik altyapıya yönelik tehditlerin ne kadar organize ve hedefli olabileceğini gözler önüne seriyor. Saldırganların kendi hataları sayesinde ortaya çıkan bu kampanya, güvenlik ekiplerine proaktif tehdit avcılığı ve zafiyet yönetiminin önemini hatırlatıyor. Latin Amerika'daki kuruluşların, özellikle sınır ötesi işbirliği yapan siber suç gruplarına karşı savunmalarını güçlendirmesi ve güncel tehdit istihbaratını takip etmesi hayati önem taşıyor.

Kaynak: infosecurity-magazine.com

Paylaş: