Giriş
Son dönemde, Rusça konuşan bir finansal motivasyonlu tehdit aktörü, 55 ülkede bulunan 600’den fazla FortiGate cihazını hedef alarak önemli bir siber güvenlik olayı gerçekleştirmiştir. Amazon Tehdit İstihbaratı’nın raporuna göre, bu olay, siber güvenlik alanındaki zafiyetleri gözler önüne sermektedir.
Saldırı Nasıl Çalışıyor?
Bu kampanya, FortiGate zafiyetlerinden yararlanmak yerine, açık yönetim portları ve zayıf kimlik bilgileri kullanarak gerçekleştirildi. CJ Moses , Amazon Entegre Güvenlik’in İstekli Bilgi Güvenliği Yöneticisi, “Bu kampanya, temel güvenlik eksikliklerini hedef alarak, basit bir aktörün ölçeklenmiş bir şekilde saldırı düzenlemesini sağladı” dedi. Tehdit aktörleri, birden fazla ticari yapay zeka aracı kullanarak, saldırının farklı aşamalarını uyguladı.
Saldırı, genel bir zayıflık taraması ile yönetim arayüzlerine erişim sağlamayı içeriyordu. İlgili portlar:
- 443
- 8443
- 10443
- 4443
Tehdit aktörleri, sıkça kullanılan kimlik bilgilerini deneyerek kimlik doğrulama sağlamaya çalıştılar. Taramalar, 212.11.64.250 IP adresinden gerçekleştirildi.
Etkilenen Sistemler
Saldırganların hedefinde, birçok organizasyonun Active Directory ortamları ve yedek altyapıları yer aldı. Elde edilen veriler, siber suç operasyonları için bir “yapay zeka destekli montaj hattı” gibiydi. Elde edilen veriler arasında:
- Tam cihaz yapılandırmaları
- Ağ topolojisi bilgileri
- Kimlik bilgileri
Saldırganlar, daha sonra bu bilgileri kullanarak daha derin infiltrasyon gerçekleştirdiler ve hedef alt ağlarda keşif yapmak için araçlar geliştirdiler.
Çözüm ve Korunma
FortiGate cihazları, belirli bir zaman diliminde tehdit aktörleri için cazip bir hedef haline gelmiştir. Kurumların alması gereken önlemler arasında:
- Yönetim arayüzlerinin internetten erişimden kapatılması
- Varsayılan ve yaygın kimlik bilgilerinin değiştirilmesi
- SSL-VPN kullanıcı kimlik bilgilerinin düzenli olarak değiştirilmesi
- Yönetim ve VPN erişimi için çok faktörlü kimlik doğrulamanın uygulanması
- Yetkisiz yönetici hesapları veya bağlantılar için denetim yapılması
Ayrıca, yedek sunucuların genel ağ erişiminden izole edilmesi, tüm yazılımların güncel tutulması ve beklenmeyen ağ maruziyetlerinin izlenmesi de kritik öneme sahiptir.
Sonuç
Bu trendin 2026 yılı boyunca devam etmesi beklenmektedir; bu nedenle, kuruluşlar, tehdit faaliyetlerinin artacağını önceden tahmin etmelidir. Güçlü savunma temelleri , siber saldırılara karşı en etkili karşı tedbirdir. Yamanlama yönetimi , kimlik bilgisi hijyeni, ağ segmentasyonu ve güçlü izleme mekanizmaları, bu tür tehditlerle başa çıkmada kritik bir rol oynamaktadır.
