İran Wiper Saldırılarına Yönelik Önlemler
Jeopolitik gerilimler, siber alanda önemli sonuçlar doğuruyor. Bu durum, şirketlerin siber güvenlik stratejilerini yeniden gözden geçirmelerini zorunlu kılıyor, çünkü saldırılar artık sadece maddi kazanç elde etmek amacıyla değil, operasyonel kaos yaratmak için gerçekleştiriliyor.
- İran Wiper Saldırılarına Yönelik Önlemler
- Saldırı Nasıl Çalışıyor?
- Etkilenen Sistemler
- Çözüm ve Korunma
- 1. Kimlik hırsızlığını engelleyin
- 2. Yönetim portları üzerinden yönlü hareketi engelleyin
- 3. Ayrıcalıklı hesapları sınırlayın
- 4. Yetkisiz erişim yollarını ve tünelleri tespit edin
- 5. Yıkıcı etkinliği kontrol altına alın
- Sonuç
Saldırı Nasıl Çalışıyor?
Handala ve Void Manticore gruplarına yönelik tehdit istihbaratı araştırmaları, İran kaynaklı yıkıcı kampanyaların genellikle manuel operasyonlara dayanarak gerçekleştiğini göstermektedir.
- İlk erişim, çalınan VPN kimlik bilgileri aracılığıyla sağlanır.
- Ortam içinde aktif olarak çalışma yapılır.
- Yönlü hareket, yönetsel araçlar kullanılarak gerçekleştirilir.
- Ayrıcalıklar artırılır.
- Birden fazla silme mekanizması eş zamanlı olarak devreye sokulur.
Saldırganlar, genellikle aşağıdaki araçları kullanarak hareket ederler:
- RDP
- PowerShell uzaktan yönetim
- WMI
- SMB
- SSH
Bu araçlar, meşru yönetim hizmetleri olduğundan, saldırganlar geleneksel kötü amaçlı yazılım tespit sistemlerini tetiklemeksizin ağda hareket edebilirler.
Etkilenen Sistemler
Bu tür saldırılar, genellikle kritik tedarik zincirleri, sağlık ekosistemleri veya ulusal altyapı gibi alanlarda faaliyet gösteren kuruluşları hedef alır. Sonuç olarak, bu sistemlerde meydana gelen kesintiler, dünya genelinde büyük etkilere yol açabilir. Örneğin, Mart 2026’da İran ile bağlantılı Handala grubunun Stryker’a düzenlediği saldırıda, şirketin global ağındaki on binlerce cihaz silinmiş ve 79 ülkede operasyonlar durma noktasına gelmiştir.
Çözüm ve Korunma
CISO’lar, yıkıcı saldırıların etkisini azaltmak için aşağıdaki temel önlemleri almalıdır:
1. Kimlik hırsızlığını engelleyin
- Kimlik-farkındalığına dayalı erişim kontrolleri uygulayın.
- Yönetim hizmetlerine erişimde çok faktörlü kimlik doğrulama (MFA) zorunlu hale getirin.
- Sürekli olarak kimliklerin hangi sistemlere eriştiğini izleyin.
2. Yönetim portları üzerinden yönlü hareketi engelleyin
- Yönetim portları için varsayılan olarak reddetme politikaları oluşturun.
- Doğrulanmış kimlik doğrulaması sonrası açılan erişimler sağlayın.
- Sistemler arası bağlantılara ilişkin gerçek zamanlı görünürlük sağlayın.
3. Ayrıcalıklı hesapları sınırlayın
- Ayrıcalıklı erişimi rol ve ortam bazında bölümleyin.
- Yönetim için sadece ilgili sistemlerle sınırlı erişim sağlayın.
- Ayrıcalıklı erişim aktivitelerini sürekli izleyin.
4. Yetkisiz erişim yollarını ve tünelleri tespit edin
- Doğu-batı bağlantılarını izleyin.
- Yönetim iletişimine dair kıstaslar oluşturun.
- Sıradışı bağlantı yolları veya tünelleme davranışlarını tespit edin.
5. Yıkıcı etkinliği kontrol altına alın
- Tehdit altındaki sistemlerin otomatik izolasyonunu sağlayın.
- Yönetim erişim yollarını hemen kısıtlayın.
- Etkilenen sistemlerin hızlı bir şekilde çevresini kapatın.
Sonuç
İran kaynaklı yıkıcı kampanyalar, saldırganların sofistike kötü amaçlı yazılımlara ihtiyaç duymadığını ortaya koymaktadır; zira kayıtsız iç erişim, saldırganların hareket kabiliyetini artırmaktadır. Kuruluşların, saldırganların hareketini sınırlayarak bu tür tehditleri minimize etmesi gerekmektedir.
Bu bağlamda, okuyucuların yapması gerekenler:
- Ağınızda gerekli güncellemeleri sağlayın.
- Yönetim portlarınızı kapatın veya sıkı erişim kontrolü uygulayın.
- Kimlik doğrulama ve erişim kontrol sistemlerinizi gözden geçirin.
Unutmayın: Siber tabanda sızmalar gerçekleşse bile, doğru önlemler ile ortamınızı koruyabilirsiniz.
