Giriş
Son dönemde, UAT-9244 adıyla bilinen bir tehdit aktörü, 2024 yılından bu yana Güney Amerika’daki telekomünikasyon hizmeti sağlayıcılarını hedef alarak önemli sistemleri tehlikeye atmaya devam ediyor. Bu durum, siber güvenlik alanında ciddi endişelere yol açmakta ve bu tür saldırılara karşı gerekli önlemlerin alınmasını zorunlu kılmaktadır.
Saldırı Nasıl Çalışıyor?
Cisco Talos araştırmacıları, UAT-9244 grubunun FamousSparrow ve Tropic Trooper hacker gruplarıyla bağlantılı olduğunu, ancak ayrı bir faaliyet kümesi olarak takip edildiğini belirtmektedir. UAT-9244, üç daha önce belgelenmemiş zararlı yazılım ailesi kullanmaktadır:
- TernDoor: Windows üzerinde çalışan bir arka kap.
- PeerTime: BitTorrent kullanan bir Linux arka kap.
- BruteEntry: Brute-force tarayıcı ve proxy altyapısı oluşturan bir bileşen.
TernDoor, DLL yan yükleme aracılığıyla çalıştırılmakta ve wsprint.exe adlı meşru yürütülebilir dosya üzerinden zararlı kodu yüklemektedir. Bu, BugSplatRc64.dll aracılığıyla bellek içinde deşifre edilmekte ve nihai yük TernDoor aracılığıyla çalıştırılmaktadır.
PeerTime, çoklu mimarileri (ARM, AARCH, PPC, MIPS) hedefleyen bir Linux arka kapıdır ve BitTorrent protokolünü kullanarak komutların kontrolünü sağlamaktadır. Cisco Talos, PeerTime için iki versiyon kaydetmiştir; bunlardan biri C/C++ ile, diğeri ise Rust ile yazılmıştır.
BruteEntry, kendi başına çalışan bir saldırı aracı olup, tehlikeye atılmış cihazları tarama düğümleri haline getirmekte ve yeni hedeflerin taraması için kullanılmaktadır. Bu aracın, SSH, Postgres ve Tomcat’e brute-force erişim sağlamada kullanıldığı bildirilmiştir.
Etkilenen Sistemler
UAT-9244 saldırıları, hem Windows hem de Linux sistemleri, ayrıca ağ kenarındaki cihazları kapsamaktadır. Bu çeşitlilik, saldırıların birçok farklı telekom mühendisi ortamında etkili olabileceğini göstermektedir. Özellikle, hedef sistemler arasında şunlar bulunmaktadır:
- Telekomünikasyon sunucuları
- Ağ geçitleri (Gateways)
- Gömülü sistemler
Çözüm ve Korunma
Cisco Talos araştırmacıları, UAT-9244 ile mücadelede kullanılabilecek bazı önlemleri ve tespit göstergelerini (IoC) listelemiştir. Aşağıdaki adımlar, sistemlerinizi bu tür tehditlere karşı korumaya yardımcı olacaktır:
- Güncellemeleri düzenli olarak kontrol edin ve uygulayın.
- Ağdaki bağlantıları izleyin ve şüpheli aktiviteleri anında rapor edin.
- Güvenlik duvarı ve erişim kontrol sistemlerini güncel tutun.
- Şifreleri düzenli aralıklarla değiştirin ve karmaşık şifreler tercih edin.
Bu adımlar, potansiyel saldırıları önlemenin yanı sıra sistemlerinizi daha güvenli hale getirecektir.
Sonuç
Tüm bu bilgiler doğrultusunda, UAT-9244 gibi tehditleri önlemek için sistemlerinizi güncel tutmaya, güvenlik uygulamalarını aktif hale getirmeye ve olası riskleri minimize etmeye yönelik adımlar atmanız kritik öneme sahiptir. Gereksiz portları kapatmak ve ağ izleme araçlarını kullanmak, bu tür saldırılara karşı etkili birer çözüm olabilir.
