Giriş
Son dönemde, İran merkezli bir siber saldırı grubu olan MuddyWater’ın, Amerika Birleşik Devletleri’nde banka, havaalanı ve yazılım şirketi gibi çeşitli sektörlerdeki şirketlerin ağlarına sızdığı tespit edilmiştir. Bu saldırıların, İran’ın stratejileri ve uluslararası ilişkilerindeki gerilimlerin etkisiyle artış gösterdiği gözlemlenmiştir.
Saldırı Nasıl Çalışıyor?
Araştırmalar, MuddyWater grubunun, başta bir savunma ve havacılık şirketi olmak üzere, bir dizi hedef alarak ağlarına sızdığını göstermektedir. Bu saldırılarda, daha önce bilinmeyen bir arka kapı olan Dindoor isimli yazılım kullanılmıştır; bu yazılım, Deno JavaScript çalışma zamanı üzerinde çalışmaktadır. Ayrıca, bu grupların saldırıları esnasında, bir U.S. bankasından veri sızdırma girişimi de gözlemlenmiştir.
Etkilenen Sistemler
Saldırılardan etkilenen başlıca sistemler şunlardır:
- Amerikan bankaları
- Havaalanları
- İsrail merkezli yazılım şirketleri
- Kanada merkezli kar amacı gütmeyen kuruluşlar
Ek olarak, bir U.S. havaalanının ve diğer bir kar amacı gütmeyen kuruluşun ağlarında Fakeset isimli Python tabanlı bir arka kapı bulunmuştur. Bu arka kapı, Backblaze adlı bir Amerikan bulut depolama ve veri yedekleme şirketine ait sunuculardan yüklenmiştir.
Olayların Arka Planı
Yapılan araştırmalar, İran’ın siber tehdit aktörlerinin son yıllarda giderek daha yetenekli hale geldiğini göstermektedir. Saldırı teknikleri ve kötü amaçlı yazılımlarındaki ilerlemenin yanı sıra, sosyal mühendislik becerilerinde de ciddi bir gelişim yaşanmıştır. Bu durum, özellikle hedefli oltalama kampanyaları ve hasat operasyonları aracılığıyla önemli bilgilerin elde edilmesini mümkün kılmaktadır.
Çözüm ve Korunma
Güvenlik uzmanları, kurumların siber güvenlik duruşunu güçlendirmeleri gerektiğini vurgulamaktadır. Önerilen önlemler şunlardır:
- Siber güvenlik izleme yeteneklerini artırmak
- İnternetle olan maruziyeti sınırlamak
- İşletim teknolojisi (OT) sistemlerine uzaktan erişimi devre dışı bırakmak
- Oltalama saldırılarına karşı koruma sağlayan çok faktörlü kimlik doğrulamayı (MFA) uygulamak
- Ağ segmentasyonu sağlamak
- Çevrimdışı yedeklemeler almak
- Tüm internetle bağlantılı uygulamalar, VPN geçitleri ve kenar cihazlarının güncel olmasını sağlamak
Sonuç
Kuruluşların, bu tür siber tehditlere karşı güçlenmesi ve gerekli önlemleri alması hayati önem taşımaktadır. Tüm sistemlerin güncellenmesi, gereksiz portların kapatılması ve sürekli izleme yapılması, siber güvenlik tehditlerine karşı alınacak en etkili önlemler arasında yer almaktadır. Unutulmamalıdır ki, siber saldırılar sadece hacktivist eylemlerle sınırlı kalmayabilir; daha ciddi ve yıkıcı operasyonlar da gündeme gelebilir.
