Siber güvenlik dünyasında yeni bir tehdit dalgası, Latin Amerika’daki kritik altyapıları hedef alıyor. CloudSEK araştırmacıları, saldırganların bir sunucuyu açık bırakması sayesinde ortaya çıkan ve 'Operation Escaneo' adı verilen bir kampanyayı gün ışığına çıkardı. Bu operasyon, Meksika başta olmak üzere Ekvador ve Portekiz’deki hükümet, vergi dairesi, kamu hizmetleri, ulaşım, telekomünikasyon ve bankacılık sektörlerini hedef aldı. CloudSEK, en az beş kurbandan gelen sinyalleri doğrularken, büyük ölçekli veri hırsızlığını da tespit etti.
Saldırıların giriş noktası, genellikle internete açık güvenlik cihazları oldu. Grup, Fortinet FortiOS SSL-VPN’deki CVE-2022-42475 ve CVE-2024-21762 gibi açıklar ile Ivanti Connect Secure’daki CVE-2023-46805, CVE-2024-21887 ve CVE-2025-0282 gibi kritik güvenlik açıklarını kullandı. Üstelik saldırganlar, mevcut istismar kodlarını (PoC) hedef sistemi çökertmeyecek şekilde uyarlayarak etkili bir sızma gerçekleştirdi. Bunun yanı sıra Apache Tomcat’teki GhostCat, Windows’taki EternalBlue ve Zerologon ile Log4Shell gibi yaygın açıklardan da yararlanıldı.
Operasyonun arkasındaki motor, saldırganların 'Kimera' adını verdiği özel bir keşif aracıydı. CloudSEK’e göre Kimera, hedefleri yüksek hızda tarayıp sınıflandırıyor ve doğrudan sömürü aşamasına aktarıyordu. Bu otomasyon, saldırganların çok sayıda hedefi aynı anda ve hızlı bir şekilde değerlendirmesine olanak tanıdı. Böylece güvenlik ekiplerinin müdahale süresi kısaltıldı.
Uzmanların Görüşleri
Bağlantıyı sürdürmek için saldırganlar katmanlı bir erişim stratejisi izledi. Web sunucularına Neo-reGeorg web kabukları yerleştirerek şifreli bir tutunma noktası oluşturdular. Chisel ters tünelleri ile HTTP üzerinden trafik yönlendirdiler ve ele geçirilen bir Cisco yönlendiriciye GRE tüneli ekleyerek ağ seviyesinde, ana makine tabanlı savunmalardan gizlenen bir kanal kurdular. Chisel günlükleri, 13 günlük bir sürede 3.708 oturum kaydetti.
Kurban ağlarına sızan saldırganlar, SAP ve Oracle sistemlerine erişerek komut çalıştırdı ve büyük miktarda hassas veriyi çaldı. Bunlar arasında bir ulaşım sağlayıcısına ait 1,3 milyondan fazla kişisel kayıt, 407 MB büyüklüğünde bir Active Directory haritası, SSL özel anahtarları, SAP servis hesabı hash’leri ve tarayıcıda saklanan şifreler yer alıyor. Veriler canlı olarak dışarı sızdırıldı.
Gelecekte Ne Bekleniyor?
CloudSEK, bu kampanyayı orta düzeyde güvenle 'Mexican Mafia' veya 'Pancho Villa' olarak bilinen bir gruba atfediyor. Grup, 2024 yılı boyunca Meksika hükümeti, yargı ve enerji hedeflerine yönelik ihlaller üstlenmiş ve bazen bu saldırıları protesto eylemi olarak sunmuştu. Ancak CloudSEK, grubun geçmişteki bazı iddialarının ilgili kuruluşlar tarafından yalanlandığını da not ediyor.
Kampanyanın izlerini sürmek isteyen kuruluşlar için CloudSEK, özellikle Fortinet ve Ivanti açıklarını kapatmayı ve daha sessiz işaretleri izlemeyi öneriyor. Bu işaretler arasında dış adreslere giden GRE tünelleri, Chisel’in TCP-over-HTTP trafiği ve SAP/Oracle üzerinde beklenmedik komut çalıştırma yer alıyor. Latin Amerika’daki kuruluşların, çevre birimlerini güncellemeye öncelik vermesi ve ağ trafiğinde bu tür anormallikleri izlemesi kritik önem taşıyor.
Kaynak: infosecurity-magazine.com