Amazon, Rusça konuşan bir hackerın, 55 ülkede 600’den fazla FortiGate güvenlik duvarını hedef alan bir kampanya yürüttüğünü duyurdu. Bu olay, siber güvenlik açısından büyük bir tehdit oluşturmakta; çünkü kötü niyetli aktörler, son derece gelişmiş yapay zeka hizmetlerini kullanarak bu tür saldırılar gerçekleştirebiliyorlar.
Saldırı Nasıl Çalışıyor?
Amazon’un güvenlik direktörü CJ Moses’in raporuna göre, bu siber saldırı kampanyası 11 Ocak – 18 Şubat 2026 tarihleri arasında gerçekleşti ve Fortinet güvenlik duvarlarını etkileyen bir dizi zafiyetten yararlanmadı. Bunun yerine, saldırganlar internet üzerinden erişilebilen yönetim arayüzlerini ve çok faktörlü kimlik doğrulama (MFA) koruması olmayan zayıf kimlik bilgilerini hedef alarak, bu zayıflıklar üzerinden ağa erişim sağladılar.
Saldırganlar, şu portları tarayarak açık yönetim arayüzlerini buldular:
- 443
- 8443
- 10443
- 4443
Zafiyetleri hedeflemek yerine, saldırganlar sık kullanılan parolaları brute-force saldırılarıyla kullanarak cihaza erişim sağladılar.
Erişim sağlandıktan sonra, saldırganlar cihazın yapılandırma ayarlarını çıkardılar. Bu ayarlar şunları içermekteydi:
- SSL-VPN kullanıcı kimlik bilgileri ve geri alınabilir şifreler
- Yönetici kimlik bilgileri
- Güvenlik duvarı politikaları ve iç ağ mimarisi
- IPsec VPN yapılandırmaları
- Ağ topolojisi ve yönlendirme bilgileri
Bu yapılandırma dosyaları, görünüşe göre yapay zeka destekli Python ve Go araçları kullanılarak çözüldü.
Saldırganlar, eriştikleri ağlarda keşif yapmak için özel bir araç geliştirdiler. Bu aracı kullanarak, yönlendirme tablolarını analiz ettiler, ağları boyutuna göre sınıflandırdılar ve port taramaları gerçekleştirdiler. Kullanılan gogo tarayıcı gibi açık kaynaklı araçlar ile SMB ana bilgisayarları ve alan denetleyicilerini belirlediler.
Etkilenen Sistemler
Rapora göre, saldırılar aşağıdaki sistemleri hedef almıştır:
- Veeam Backup & Replication sunucuları
- Windows alan denetleyicileri
- Fortinet FortiGate güvenlik duvarları
Özellikle, Veeam yedekleme altyapısına gelen saldırılar, şifreleri çalmak için özel PowerShell betikleri kullandı. Amazon’un bulduğu bir sunucuda, “DecryptVeeamPasswords.ps1” adlı bir PowerShell betiği yedekleme uygulamasını hedef aldı. Saldırganlar, yedekleme altyapısını hedef alarak şifreleme öncesinde veri kaybını engellemeye çalıştılar.
Saldırganların operasyonel notlarında farklı zafiyetleri kullanmaya çalıştıkları da belirlendi. Bu zafiyetler şunları içeriyordu:
- CVE-2019-7192 (QNAP RCE)
- CVE-2023-27532 (Veeam bilgi ifşası)
- CVE-2024-40711 (Veeam RCE)
Amazon, saldırganın düşük ila orta düzeyde bir yeteneğe sahip olduğunu, fakat kullandığı yapay zeka sayesinde becerilerinin büyük ölçüde arttığını belirtti. Araştırmacılar, tehdit aktörünün kampanya boyunca iki büyük dil modeli sağlayıcısını kullandığını ortaya çıkardı.
Çözüm ve Korunma
Amazon, FortiGate yöneticilerine aşağıdaki önerileri sunmaktadır:
- Yönetim arayüzlerini internete kapatın.
- MFA‘nın aktif olduğundan emin olun.
- VPN şifrelerinin, Active Directory hesap parolalarıyla aynı olmamasına dikkat edin.
- Yedekleme altyapısını güçlendirin.
Bu tür bir siber tehdit karşısında hediyelik güncellemelerin yapılması, gerekli sistemlerin kapatılması ve yedeklemelerin düzenli olarak kontrol edilmesi kritik öneme sahiptir. Saldırı vektörlerini azaltarak sistem güvenliğinizi artırmanız gerekmektedir.
