Giriş
Küçük bir Fransız otomotiv şirketine yapılan siber saldırı, operatörün dikkat çekici taktikleri sayesinde uzun süreli bir erişim sağladı. Bu olay, siber güvenlik uzmanları için, saldırganların yalnızca komuta ve kontrol (C2) sunucularının kapatılmasının yeterli bir çözüm olmadığını bir kez daha gözler önüne serdi.
Saldırı Nasıl Çalışıyor?
Saldırgan, “Poisson” takma adıyla bilinen bir saldırgan, hedefin sistemine keylogger yerleştirerek bankacılık ve e-posta bilgilerini çaldı. Saldırı sırasında kullanılan bazı teknik unsurlar şunlardır:
- CVE Kodları: Kullanılan araçlar arasında tespit edilen zafiyetler, dikkat edilmesi gereken noktalardan biridir.
- OpenSSH ve Tailscale: Saldırgan, bu iki aracı kurarak hedef makineye ek bir erişim yolu oluşturdu. Bu, saldırının C2’dan bağımsız olarak sürmesini sağladı.
- Havoc Framework: Saldırgan, bu framework’ü kullanarak farklı yükleme ve komut çalıştırma yöntemleri geliştirdi.
Saldırının birçok aşaması hafızada çalıştı ve bu, tespit edilmesini daha da zorlaştırdı. Geliştirilen sıradışı yöntemlerle, operatör hedef sistemi farklı bir ağ üzerinden kontrol edebildi.
Etkilenen Sistemler
Saldırının hedef aldığı sistemler arasında şu unsurlar yer aldı:
- Windows iş istasyonları
- Kritik finansal verileri içeren cihazlar
- Hassas e-posta ve bankacılık bilgilerine sahip sistemler
Bu sistemlerin korunması ve güvenlik önlemlerinin artırılması, gelecekte benzer saldırılardan korunmak için hayati önem taşımaktadır.
Çözüm ve Korunma
Kullanıcıların ve güvenlik uzmanlarının alması gereken önlemler şunlardır:
- OpenSSH Server yüklemeleri için uyarılar oluşturun; bu durum genelde meşru değildir.
- tailscale.exe dosyasını izleyin; VPN kullanımı gerekmeyen sistemlerde dikkat çekici bir durumdur.
- SSH ile yapılan reverse tunnel bağlantılarını kontrol edin.
- Wscript.exe’nin kullanıcı klasörlerinden VBS dosyalarını çalıştırdığını gözlemleyin.
- Aşırı yetkilerle belirlenen zamanlanmış görevleri inceleyin.
- Güç ayarlarının değişikliklerini izleyin; bu, sistemlerin uyku moduna geçmesini engelleyen bir durum olabilir.
- DuckDNS adresini engelleyin.
Ayrıca, C2 sunucuları kapatıldığında bile, başka erişim yolları olabileceğini unutmayın. Kapatılan C2, saldırının ilk aşamasıydı; dolayısıyla diğer yolları araştırmak gereklidir.
Sonuç
Bu olay, siber güvenlik risklerinin yalnızca yüzeydeki belirtileriyle ilgilenilmesinin yeterli olmadığını gösteriyor. Organize olmuş bir saldırıda, güncellemeler yapmak, portları kapatmak ve sistemleri güvenli hale getirmek kritik öneme sahiptir. Tüm kullanıcılara, sistemlerini düzenli olarak gözden geçirmeleri, güvenlik açıklarını tespit etmeleri ve gerekli önlemleri almaları tavsiye edilmektedir.
