Latin Amerika'da Kritik Altyapıya Yönelik Fortinet ve Ivanti Açıkları Kullanılarak Düzenlenen Koordineli Siber Saldırı Siber Güvenlik

Latin Amerika'da Kritik Altyapıya Yönelik Fortinet ve Ivanti Açıkları Kullanılarak Düzenlenen Koordineli Siber Saldırı

Latin Amerika'da hükümet ve finans hedeflerine yönelik koordineli bir siber saldırı kampanyası, saldırganların yanlışlıkla bir hazırlık sunucusunu açı

CloudSEK güvenlik araştırmacıları, Latin Amerika'da kritik altyapıyı hedef alan geniş çaplı bir siber saldırı kampanyasını gün yüzüne çıkardı. 'Operation Escaneo' adı verilen bu operasyon, saldırganların bir hazırlık sunucusunu internete açık bırakması sonucu keşfedildi. Araştırmacılar, sunucuda bulunan açık bir dizin sayesinde grubun araç setini haritalandırdı ve saldırı yöntemlerini detaylıca analiz etti. Kampanya, ağırlıklı olarak Meksika'daki kritik altyapıyı hedef alırken, Ekvador ve Portekiz'de de daha küçük çaplı faaliyetler tespit edildi. Saldırılardan etkilenen kurumlar arasında hükümet daireleri, vergi otoriteleri, enerji şirketleri, ulaşım firmaları, telekomünikasyon sağlayıcıları ve bankalar yer alıyor. CloudSEK, en az beş kurbandan gelen 'beacon' sinyallerini doğrularken, büyük ölçekli veri hırsızlığı yaşandığını da tespit etti.

Saldırganların ağlara sızma yöntemi, büyük ölçüde internete açık güvenlik cihazları üzerinden gerçekleşti. Grup, Fortinet FortiOS SSL-VPN'deki CVE-2022-42475 ve CVE-2024-21762 gibi kritik güvenlik açıklarını, Ivanti Connect Secure'deki CVE-2023-46805, CVE-2024-21887 ve CVE-2025-0282 açıklarını kullanarak hedef sistemlere erişim sağladı. Dikkat çekici bir şekilde, saldırganlar kamuya açık istismar kodlarını (PoC) uyarlayarak hedef sistemleri çökertmeden sızmayı başardı. Bunun yanı sıra, Apache Tomcat üzerindeki GhostCat açığı, Windows sistemlerindeki EternalBlue ve Zerologon açıkları ile Log4Shell gibi geniş bir yelpazede istismar araçları kullandılar. Tüm bu saldırıları besleyen ise, CloudSEK tarafından 'Kimera' olarak adlandırılan özel bir keşif motoru oldu. Bu motor, hedefleri yüksek hızda tarayıp sınıflandırarak doğrudan sızma aşamasına aktarıyor.

Saldırganlar, ağ içinde kalıcılığı sağlamak için çok katmanlı bir erişim yapısı kurdular. Neo-reGeorg web shell'leri ile web sunucularında şifreli bir dayanak noktası oluştururken, Chisel ters tüneli ile HTTP üzerinden trafik yönlendirdiler. Daha da ilginci, ele geçirilen bir Cisco yönlendiricisine, saldırganlara geri dönen bir GRE tüneli yerleştirdiler. Bu ağ seviyesindeki kanal, ana bilgisayar tabanlı savunmalar tarafından görülemediği için tespit edilmesi oldukça zor. Chisel günlükleri, sadece 13 günlük bir süreçte 3.708 oturum kaydetti. Bu da saldırganların ne kadar aktif olduğunu gösteriyor.

Sonuç ve Değerlendirme

Kurban ağlarında derinlemesine ilerleyen saldırganlar, SAP ve Oracle sistemlerine erişerek komutlar çalıştırdı ve büyük miktarda hassas veriyi dışarı sızdırdı. Çalınan veriler arasında bir ulaşım sağlayıcısına ait 1,3 milyondan fazla kişisel kayıt, bir kurbanın Active Directory'sinin 407 MB boyutunda haritası, bir veritabanı sunucusundan canlı olarak akışı yapılan SSL özel anahtarları, SAP servis hesabı hash'leri ve tarayıcıda saklanan parolalar yer alıyor. Bu verilerin büyüklüğü, saldırının ciddiyetini ve kurbanlar için olası sonuçlarını gözler önüne seriyor.

Nasıl Önlem Alınmalı?

CloudSEK, bu kampanyayı orta düzeyde güvenle 'Mexican Mafia' veya 'Pancho Villa' olarak adlandırılan bir gruba atfediyor. Bu grup, 2024 yılı boyunca Meksika hükümeti, yargı ve enerji hedeflerine yönelik ihlaller gerçekleştirmiş ve bazen bu saldırıları protesto amaçlı olarak nitelendirmişti. Ancak CloudSEK, grubun geçmişteki bazı iddialarının ilgili kuruluşlar tarafından yalanlandığını da belirterek bu bağlantıyı ihtiyatla karşılıyor. Yine de, saldırganların kimliği ne olursa olsun, bu kampanya Latin Amerika'daki kurumlara önemli dersler veriyor.

Sistem Güvenliği

Bu saldırıdan çıkarılacak en önemli ders, özellikle Fortinet ve Ivanti gibi çevre birim cihazlarındaki güvenlik açıklarının acilen kapatılması gerekliliğidir. CloudSEK, Latin Amerika'daki kuruluşlara öncelikle bu cihazları yamalamalarını ve operasyonun daha sessiz işaretlerine karşı dikkatli olmalarını tavsiye ediyor. Bu işaretler arasında harici adreslere giden GRE tünelleri, Chisel'in TCP-over-HTTP trafiği ve SAP ile Oracle sistemlerinde beklenmeyen komutların çalıştırılması yer alıyor. Kuruluşlar, ağ trafiğini düzenli olarak izlemeli, anormal bağlantıları tespit etmek için güvenlik duvarlarında ve IPS/IDS sistemlerinde uygun kurallar tanımlamalıdır.

Sonuç olarak, Operation Escaneo, siber saldırganların giderek daha karmaşık ve koordineli yöntemler kullandığını gösteriyor. Özellikle kritik altyapıya yönelik bu tür saldırılar, sadece veri hırsızlığı değil, aynı zamanda hizmet kesintileri ve ulusal güvenlik riskleri de doğurabilir. Bu nedenle, Latin Amerika'daki kuruluşların siber güvenlik stratejilerini gözden geçirmeleri, düzenli güvenlik açığı taramaları yapmaları ve çalışanlarını sosyal mühendislik saldırılarına karşı eğitmeleri hayati önem taşıyor. Ayrıca, olay müdahale planlarının güncellenmesi ve bir siber güvenlik ihlali durumunda hızlı tepki verilmesi de kritik bir gerekliliktir.

Kaynak: infosecurity-magazine.com

Paylaş: