Zararlı Siber Ağların Yükselişi ve Brute-Force Saldırıları
Son dönemde, siber güvenlik uzmanları, Ukrayna merkezli bir IP ağını, SSL VPN ve RDP cihazlarına yönelik büyük ölçekli password spraying ve şifre kırma (brute-force) saldırıları düzenlemekle ilişkilendirdi. Bu saldırılar, Haziran ve Temmuz 2025 tarihlerinde gerçekleştiği tespit edildi ve bu etkinliklerin Ukrayna merkezli FDN3 adlı bağımsız sistemden (AS211736) kaynaklandığı belirtildi.
Ukrayna’nın Etkisi ve Kötü Amaçlı Altyapı
Fransız siber güvenlik şirketi Intrinsec, FDN3’ün daha geniş bir kötü niyetli altyapının parçası olduğunu ifade ediyor. Bu altyapı, VAIZ-AS (AS61432) ve ERISHENNYA-ASN (AS210950) adındaki iki diğer Ukrayna ağa ile birlikte kötüye kullanım faaliyetleri yürütmektedir. Raporda, bu ağların hepsinin Ağustos 2021‘de tahsis edildiği ve genellikle IPv4 öneklerini birbirleriyle değiştirerek bloklamalardan kaçmaya çalıştıkları vurgulandı.
AS61432 şu anda yalnızca tek bir önek 185.156.72[.]0/24’ü duyururken, AS210950 iki önek 45.143.201[.]0/24 ve 185.193.89[.]0/24’ü duyurmuştur. Bu iki bağımsız sistem sırasıyla Mayıs ve Ağustos 2021‘de tahsis edilmiştir. AS210848 de bu sistemler arasında yer almakta ve önemli bir IPv4 önek kümesini barındırmaktadır.
Bulut Barındırma Hizmetleri ve Kötü Amaçlı Faaliyetler
Raporda, söz konusu ağların IP Volume Inc. – AS202425 gibi offshore şirketlerle peering anlaşmaları yaptığı kaydedildi. Bu şirket, Seyşeller merkezli olup, Hollanda’da 2005 yılından beri kötüye kullanım yapan bulletproof barındırma hizmetleri konusunda kötü bir üne sahiptir. AS61432 ve AS210950 tarafından taşınan tüm önekler, bu tür kötü amaçlı ağların altında gizlenmiş olan Global Internet Solutions LLC ve diğer firmalar tarafından duyurulmaktadır.
Daha önceki keşifler, Ağustos 2021‘de tahsis edilen bu ağların spam dağıtımı, ağ saldırıları ve zararlı yazılım kontrol merkezi barındırma gibi faaliyetlerde bulunduğunu ortaya koymaktadır. Ocak 2025 itibarıyla, bazı IPv4 öneklerinin FDN3’e taşındığı belirlenmiştir. Bu durum, saldırganların aşırı derecede güçlü ve etkili bir strateji izleyerek ağları kötüye kullandığını göstermektedir.
Brute-Force ve Ransomware Saldırıları
Özellikle, FDN3’ün 88.210.63[.]0/24 öneki, büyük ölçekli brute-force ve password spraying girişimlerine maruz kalmıştır. Temmuz 2025 tarihleri arasında, bu saldırıların rekor seviyeye ulaştığı tespit edilmiştir. Brute-force ve password spraying teknikleri, özellikle ransomware-as-a-service (RaaS) grupları tarafından kurumsal ağlara sızmak amacıyla kullanılan ilk erişim vektörleri arasında yer almaktadır. Black Basta ve RansomHub gibi gruplar, bu yöntemleri kullanarak siber saldırılar gerçekleştirmektedir.
FDN3’ün Haziran ayında duyurduğu diğer iki önek (92.63.197[.]0/24 ve 185.156.73[.]0/24), daha önce AS210848 tarafından duyurulmuş, bu durum operasyonel üst üste binenlik göstermektedir. 92.63.197[.]0/24 öneğinin ise Bulgaristan merkezli spam ağlarıyla bağlantısı bulunmaktadır.
Olayların Derinlemesine İncelenmesi
FDN3’ün yapılan daha ileri analizleri, Rusya merkezli Alex Host LLC ile bağlantılı olduğu ortaya çıkarttı. Bu firma daha önce Doppelganger altyapısını barındırmak amacıyla bulletproof barındırma sağlayıcıları ile ilişkilendirilmiştir. Bu tür gelişmeler, offshore internet servis sağlayıcılarının (ISP) daha küçük bulletproof ağlarını peering anlaşmaları ve önek barındırma yoluyla nasıl desteklediğini tekrar gözler önüne sermektedir.
Bu tür offshore konumlar, zarar veren etkinliklerin doğrudan yüklenememesini sağlamakta ve suçlulara aynı zamanda anonimlik sunmaktadır. Kötü niyetli faaliyetlerin kaynağını bulmak, yaşanan sorunların boyutlarına göre daha da karmaşık bir hal almaktadır.
Censys tarafından gerçekleştirilen diğer bir analiz, PolarEdge botnet’ine ait 2.400’den fazla ana bilgisayarda çalışan bir proxy yönetim sistemini ortaya çıkardı. Buna göre, bu sistem, proxy düğümlerini yönetmek ve proxy hizmetlerini açığa çıkarmak amacıyla çalışan kötü niyetli bir sunucudur.
Bu gelişmeler, işletmelerin ve bireylerin siber tehditlere karşı daha tedbirli olmaları gerektiğini bir kez daha hatırlatmaktadır. Kötü niyetli kişilerin kullandığı yöntemlerle bir adım içeri sızabilmek, günümüzde daha da kolaylaşmıştır. Bu yüzden, Slk, güvenlik açıklarının kapatılması için sürekli bir farkındalık ve güncelleme gereklidir.
