Giriş
Gelişmiş kalıcı tehdit (APT) grupları, son yıllarda kritik telekomünikasyon altyapılarını hedef alarak siber casusluk faaliyetlerini artırmıştır. 2024 yılından itibaren Güney Amerika’daki telekomünikasyon sistemlerine yönelen bu saldırılar, şirketlerin siber güvenlik önlemlerinin ne kadar önemli olduğunu bir kez daha gözler önüne sermektedir.
Saldırı Nasıl Çalışıyor?
Cisco Talos’un UAT-9244 olarak adlandırdığı bu faaliyet, Windows ve Linux sistemleri ile uç cihazlara yönelik üç farklı implant kullanarak gerçekleştirilmektedir. Yapılan analizlerde aşağıdaki implantlar tespit edilmiştir:
- TernDoor: Windows sistemleri hedef alıyor. DLL yan yükleme yöntemiyle, meşru bir yürütülebilir dosya olan “wsprint.exe” üzerinden kötü niyetli bir DLL (“BugSplatRc64.dll”) yükleniyor.
- PeerTime: Linux sistemleri için tasarlanmış bir arka kap. ARM, AARCH, PPC ve MIPS mimarileri için derlenmiştir.
- BruteEntry: Ağ uç cihazlarında çalışan bir brute-force tarayıcıdır.
TernDoor’un çalışma şekli, başlangıçta “msiexec.exe” içine enjekte edilmesi ve ardından komut kontrol (C2) sunucusuyla iletişim kurarak işlemler oluşturmasıdır. PeerTime ise Docker varlığını kontrol ederek, eğer mevcutsa yükleniyor ve BitTorrent protokolünü kullanarak C2 bilgilerini indiriyor.
Etkilenen Sistemler
Saldırılar, genellikle güncel olmayan Windows Server ve Microsoft Exchange Server sürümlerini hedef alıyor. Aşağıdaki CVE kodları, güncellenmemiş sistemlerin risk taşıdığını göstermektedir:
- CVE-2020-0601: Windows CryptoAPI bilgi sızıntısı.
- CVE-2021-34527: Windows Print Spooler uzaktan kod yürütme açığı.
Bu tür açıklar, saldırganların sistemlere erişimini kolaylaştırmaktadır.
Çözüm ve Korunma
Siber saldırılara karşı alınacak önlemler son derece önemlidir. Aşağıdaki adımlar, sistem güvenliğini artırmak için gereklidir:
- Sistemleri ve yazılımları en son sürüm ve güncellemelerle koruyun.
- Güvenlik duvarı ve güvenlik yazılımları kullanarak sistemi koruyun.
- Erişim kontrollerini sıkılaştırın ve gereksiz hizmetleri kapatın.
Ayrıca, kullanıcıların şifrelerini düzenli olarak değiştirmeleri ve karmaşık şifreler kullanmaları da büyük önem taşımaktadır.
Sonuç
UAT-9244 ve benzeri APT gruplarının hedef aldığı sistemler, sürekli olarak güncellenmeli ve izlenmelidir. Kullanıcılar, var olan güvenlik açıklarına karşı önlem almak için sistemlerini en son sürümlere güncellemeli ve gereksiz portları kapatmalıdır. Bu, siber saldırılara karşı en önemli savunmayı oluşturacaktır.
