Son günlerde Amerika Birleşik Devletleri‘nde Remote Desktop Protocol (RDP) hizmetlerine yönelik büyük ölçekli bir botnet saldırısı ortaya çıktı. 8 Ekim 2023’te başlayan bu saldırı kampanyası, 100.000’in üzerinde IP adresinden gelmekte. Araştırmacılar, bu saldırıların birden fazla ülkeden gelen bir botnet tarafından düzenlendiğine inanıyor.

RDP Nedir ve Nasıl Çalışır?

RDP, Windows sistemlerinin uzaktan bağlanma ve kontrol edilmesine olanak tanıyan bir ağ protokolüdür. Genellikle yönetici, yardım masası personeli ve uzaktan çalışanlar tarafından kullanılır. Ancak, bu protokolün yarattığı erişim imkanı, siber saldırganlar için de cazip hale gelmiştir.

Saldırganlar, genellikle açık RDP portlarını tarar veya şifreleri zorla kırarak, sistemdeki zayıflıkları sömürü veya zamanlama saldırıları gerçekleştirirler. Böyle bir saldırının hedef alınması, kullanıcı verilerinin tehlikeye girmesine neden olabilir.

GreyNoise’in Tespiti ve Saldırı Türleri

Tehdit izleme platformu GreyNoise, botnetin RDP ile ilgili iki tür siber saldırıya dayandığını tespit etti:

1. RD Web Access Zamanlama Saldırıları: Bu tür saldırılarda, RD Web Access uç noktaları üzerinde testler yapılarak anonim kimlik doğrulama akışları sırasında yanıt süresi farkları ölçülür. Bu verilerle geçerli kullanıcı adları çıkarılabilir.

2. RDP Web Client Giriş Sayımlama: Bu saldırılar, RDP Web Client kimlik doğrulama akışıyla etkileşimde bulunarak, sunucu davranışındaki değişiklikleri ve yanıtları gözlemleyerek kullanıcı hesaplarını sayısal olarak sıralar.

Saldırının tespiti, Brezilya’dan gelen alışılmadık bir trafik artışı ile başlamış olup, ardından Arjantin, İran, Çin, Brezilya, Meksika, Rusya, Güney Afrika ve Ekvador gibi ülkelerden benzer aktiviteler gözlemlenmiştir.

Teknik İnceleme ve IP Adresleri

Araştırmacılar, neredeyse tüm IP adreslerinin ortak bir TCP parmak izi paylaştığını belirtiyor. Maximum Segment Size (MSS) gibi bazı küçük varyasyonlar olsa da, bu durum botnetin oluşturduğu kümelerden kaynaklandığı düşünülmektedir. Bu tür paylaşım, botnetin etkisinin ne denli geniş olduğunu göstermektedir.

Siber Güvenlik Önlemleri ve Öneriler

Bu tür bir saldırı ile başa çıkmak amacıyla sistem yöneticilerine belirli önerilerde bulunulmuştur. Öncelikle, saldırıları gerçekleştiren IP adreslerinin engellenmesi ve RDP ile ilgili logların düzenli olarak kontrol edilmesi önemlidir.

Genel bir güvenlik önlemi olarak, uzaktan masaüstü bağlantılarının kamu internetine kapalı tutulması önerilmektedir. Ayrıca, bir VPN (Sanal Özel Ağ) kullanımı ve çok faktörlü kimlik doğrulama (MFA) gibi ek koruma katmanları sağlanması, siber güvenlik açısından hayati önem taşır.

Gelecekteki Riskler ve Önlemler

Siber saldırıların giderek artan bir tehditle karşılaştığı günümüzde, organizasyonlar ve bireylerin güvenlik önlemlerini artırması gerekmektedir. Bu bağlamda, siber güvenlik eğitimleri ve sürekli güncel yazılım kullanımı önemlidir.

Siber saldırılar, özellikle uzaktan çalışma modelinin yaygınlaşmasıyla birlikte daha da yaygın hale gelmiştir. Sistem yöneticileri, tüm çalışanlarının RDP kullanımına dair farkındalığını artırmalı ve koruma mekanizmalarını güçlendirmelidir.

Bu tür olaylar sadece teknik bir sorun olmaktan öte, aynı zamanda veri güvenliği ve gizlilik açısından da büyük riskler barındırmaktadır. Bu nedenle, siber güvenlik stratejileri geliştirilirken her açıdan özen gösterilmeli, tüm çalışanlar bu konuda bilgilendirilmelidir.

Siber Güvenlikte Yeni Yaklaşımlar

Sonuç olarak, siber saldırılar karşısında kurumların daha proaktif önlemler alması da kaçınılmaz hale gelmiştir. Bulut güvenliği, tehdit istihbaratı ve sürekli eğitim, siber güvenlik alanında önemli unsurlar haline gelmiştir.

Gelecek dönemde, daha akıllı ve esnek sistemler geliştirmek için yeni teknolojilerin entegrasyonu da büyük önem taşımaktadır. Bu, günümüzün siber tehditlerine karşı daha dayanıklı bir yapı oluşturmak için kritik bir adımdır.

Güncel Siber Güvenlik Haberleri – 2

Son dönemde, siber güvenlik uzmanları, Ukrayna merkezli bir IP ağını, SSL VPN ve RDP cihazlarına yönelik büyük ölçekli password spraying ve şifre kırma (brute-force) saldırıları düzenlemekle ilişkilendirdi. Bu saldırılar, Haziran ve Temmuz 2025 tarihlerinde gerçekleştiği tespit edildi ve bu etkinliklerin Ukrayna merkezli FDN3 adlı bağımsız sistemden (AS211736) kaynaklandığı belirtildi.

Ukrayna’nın Etkisi ve Kötü Amaçlı Altyapı

Fransız siber güvenlik şirketi Intrinsec, FDN3’ün daha geniş bir kötü niyetli altyapının parçası olduğunu ifade ediyor. Bu altyapı, VAIZ-AS (AS61432) ve ERISHENNYA-ASN (AS210950) adındaki iki diğer Ukrayna ağa ile birlikte kötüye kullanım faaliyetleri yürütmektedir. Raporda, bu ağların hepsinin Ağustos 2021‘de tahsis edildiği ve genellikle IPv4 öneklerini birbirleriyle değiştirerek bloklamalardan kaçmaya çalıştıkları vurgulandı.

AS61432 şu anda yalnızca tek bir önek 185.156.72[.]0/24’ü duyururken, AS210950 iki önek 45.143.201[.]0/24 ve 185.193.89[.]0/24’ü duyurmuştur. Bu iki bağımsız sistem sırasıyla Mayıs ve Ağustos 2021‘de tahsis edilmiştir. AS210848 de bu sistemler arasında yer almakta ve önemli bir IPv4 önek kümesini barındırmaktadır.

Bulut Barındırma Hizmetleri ve Kötü Amaçlı Faaliyetler

Raporda, söz konusu ağların IP Volume Inc. – AS202425 gibi offshore şirketlerle peering anlaşmaları yaptığı kaydedildi. Bu şirket, Seyşeller merkezli olup, Hollanda’da 2005 yılından beri kötüye kullanım yapan bulletproof barındırma hizmetleri konusunda kötü bir üne sahiptir. AS61432 ve AS210950 tarafından taşınan tüm önekler, bu tür kötü amaçlı ağların altında gizlenmiş olan Global Internet Solutions LLC ve diğer firmalar tarafından duyurulmaktadır.

Daha önceki keşifler, Ağustos 2021‘de tahsis edilen bu ağların spam dağıtımı, ağ saldırıları ve zararlı yazılım kontrol merkezi barındırma gibi faaliyetlerde bulunduğunu ortaya koymaktadır. Ocak 2025 itibarıyla, bazı IPv4 öneklerinin FDN3’e taşındığı belirlenmiştir. Bu durum, saldırganların aşırı derecede güçlü ve etkili bir strateji izleyerek ağları kötüye kullandığını göstermektedir.

Brute-Force ve Ransomware Saldırıları

Özellikle, FDN3’ün 88.210.63[.]0/24 öneki, büyük ölçekli brute-force ve password spraying girişimlerine maruz kalmıştır. Temmuz 2025 tarihleri arasında, bu saldırıların rekor seviyeye ulaştığı tespit edilmiştir. Brute-force ve password spraying teknikleri, özellikle ransomware-as-a-service (RaaS) grupları tarafından kurumsal ağlara sızmak amacıyla kullanılan ilk erişim vektörleri arasında yer almaktadır. Black Basta ve RansomHub gibi gruplar, bu yöntemleri kullanarak siber saldırılar gerçekleştirmektedir.

FDN3’ün Haziran ayında duyurduğu diğer iki önek (92.63.197[.]0/24 ve 185.156.73[.]0/24), daha önce AS210848 tarafından duyurulmuş, bu durum operasyonel üst üste binenlik göstermektedir. 92.63.197[.]0/24 öneğinin ise Bulgaristan merkezli spam ağlarıyla bağlantısı bulunmaktadır.

Olayların Derinlemesine İncelenmesi

FDN3’ün yapılan daha ileri analizleri, Rusya merkezli Alex Host LLC ile bağlantılı olduğu ortaya çıkarttı. Bu firma daha önce Doppelganger altyapısını barındırmak amacıyla bulletproof barındırma sağlayıcıları ile ilişkilendirilmiştir. Bu tür gelişmeler, offshore internet servis sağlayıcılarının (ISP) daha küçük bulletproof ağlarını peering anlaşmaları ve önek barındırma yoluyla nasıl desteklediğini tekrar gözler önüne sermektedir.

Bu tür offshore konumlar, zarar veren etkinliklerin doğrudan yüklenememesini sağlamakta ve suçlulara aynı zamanda anonimlik sunmaktadır. Kötü niyetli faaliyetlerin kaynağını bulmak, yaşanan sorunların boyutlarına göre daha da karmaşık bir hal almaktadır.

Censys tarafından gerçekleştirilen diğer bir analiz, PolarEdge botnet’ine ait 2.400’den fazla ana bilgisayarda çalışan bir proxy yönetim sistemini ortaya çıkardı. Buna göre, bu sistem, proxy düğümlerini yönetmek ve proxy hizmetlerini açığa çıkarmak amacıyla çalışan kötü niyetli bir sunucudur.

Bu gelişmeler, işletmelerin ve bireylerin siber tehditlere karşı daha tedbirli olmaları gerektiğini bir kez daha hatırlatmaktadır. Kötü niyetli kişilerin kullandığı yöntemlerle bir adım içeri sızabilmek, günümüzde daha da kolaylaşmıştır. Bu yüzden, Slk, güvenlik açıklarının kapatılması için sürekli bir farkındalık ve güncelleme gereklidir.

Güncel Siber Güvenlik Haberleri – 1

Son zamanlarda, GreyNoise adlı internet istihbarat firması, Microsoft Remote Desktop Web Access ve RDP Web Client kimlik doğrulama portallarına yönelik 1,971 IP adresinin eş zamanlı olarak tarama gerçekleştirdiğine dair kayda değer bir artış olduğunu rapor etti. Bu durum, siber alanda koordine edilmiş bir keşif kampanyasının varlığını işaret ediyor.

Gündelik Saldırı Faaliyetinin Dikkate Değer Artışı

GreyNoise araştırmacıları, bu tür taramaların genellikle günlük 3-5 IP adresi tarafından gerçekleştirildiğini belirtiyor. Ancak son dönemdeki 1,971 IP adresi ile kaydedilen bu olağanüstü artış, dikkat çekiyor. Bu büyük değişim, siber güvenlik uzmanlarını alarma geçirdi. Saldırganların zamanlama kusurlarını test etmeye çalıştığı düşünülüyor; bu kusurlar, kullanıcı adlarının doğrulanmasında kullanılabilir ve gelecekteki kimlik bilgisi tabanlı saldırılara zemin hazırlayabilir. Örneğin, brute force veya password-spray saldırıları bu tür bilgilerle gerçekleştirilebilir.

Zamanlama Kusurlarının Etkisi

Zamanlama kusurları, bir sistemin yanıt süresinin istemeden hassas bilgileri açığa çıkardığı durumları ifade eder. Özellikle RDP’nin geçerli bir kullanıcı ile geçersiz bir kullanıcı arasındaki giriş denemeleri için yanıt sürelerinde meydana gelen küçük farklılıklar, saldırganların kullanıcı adının doğru olup olmadığını anlamalarına yardımcı olabilir.

GreyNoise tarafından verilen bilgilere göre, 1,851 IP adresi aynı istemci imzasını paylaşıyordu ve bu IP adreslerinin yaklaşık %92’si zaten kötü niyetli olarak işaretlenmişti. Tarama faaliyetlerinin çoğunlukla Brezilya’dan başlatıldığı ve hedef IP adreslerinin Amerika Birleşik Devletleri’nde olduğu görülüyor. Bu da, büyük ihtimalle tek bir botnet veya araç setinin bu taramaları yürüttüğünü ortaya koyuyor.

Aktarımın Zamanlaması ve Eğilimler

Saldırının zamanlaması, özellikle ABD’de okula dönüş sezonu ile çakışıyor. Bu süreçte, okullar ve üniversiteler, RDP sistemlerini çevrimiçi hale getirmekte, yeni hesaplar oluşturmakta ve binlerce kullanıcı kaydetmektedir. GreyNoise yetkilisi Noah Stone, “21 Ağustos, ABD’nin okula dönüş penceresi içinde yer alıyor, bu da üniversitelerin ve K-12 sistemlerinin RDP destekli laboratuvarları çevrimiçi hale getirdiği bir dönemdir,” diyor.

Eğitim kurumları genellikle öngörülebilir kullanıcı adı formatları (öğrenci kimlikleri, isim.soyisim) kullandığı için, bu durum sayılandırmayı daha etkili hale getiriyor. Bütçe kısıtlamaları ve kayıt sürecinde erişilebilirliğe öncelik verilmesi, siber tehditlerin artışına zemin hazırlıyor.

Yeni Güvenlik Açıkları ve Saldırıların Önceliği

Taramalarda görülen bu artış, aynı zamanda yeni bir güvenlik açığının keşfedilmiş olabileceğini düşündürüyor. Daha önceki araştırmalar göstermiştir ki, kötü niyetli trafik artışları, genellikle yeni güvenlik açıklarının açıklanmasını takip eder.

Bu durum, güvenlik uzmanları için ciddi bir alarm zili olarak değerlendiriliyor ve özellikle Windows yöneticilerinin dikkatli olması gerektiği vurgulanıyor. RDP portallarını yöneten sistem yöneticileri, hesaplarını çok faktörlü kimlik doğrulama ile güvence altına almalı ve mümkünse bu sistemleri VPN’lerin arkasına yerleştirmelidir.

Artışın Önlenmesi ve Gelecek Stratejileri

Hızla değişen tehdit ortamında, eğitim kurumları ve diğer kuruluşlar, siber güvenlik politikalarını güncelleyerek bu tür saldırılara karşı daha hazırlıklı hale gelmelidir. Kullanıcı eğitimi, güçlü parola politikaları ve düzenli sistem güncellemeleri, bu süreçte kritik öneme sahiptir.

Şu anda, 2023 yılının sonlarına yaklaşırken, siber güvenlik stratejilerinin yeniden gözden geçirilmesi ve özellikle RDP sistemlerine yönelik bu tür artışların titizlikle incelenmesi zaruridir. Kurumların, böyle bir siber saldırı karşısında alacakları önlemleri önceden belirlemesi oldukça önemlidir.

Ayrıca, sektördeki gelişmeleri ve yeni tehditleri takip etmek, sürekli güncellenen bir eğitim ve farkındalık programı oluşturmak, başarının anahtarıdır. Yalnızca teknik çözümler değil, insan faktörünün de göz önüne alınması, güvenliğin sağlanmasında kritik rol oynamaktadır.

Güncel Siber Güvenlik Haberleri – 2

Microsoft’un RDP Özelliği Nedir?

Microsoft’un Uzaktan Masaüstü Protokolü (RDP), kullanıcıların uzak bilgisayarlara bağlanmasını sağlayan bir uygulamadır. Bu protokol, kullanıcıların anlık erişim elde etmesine olanak tanırken, aynı zamanda bazı güvenlik riski taşımaktadır. Araştırmacı Daniel Wade tarafından ortaya konan yeni bir özellik, kullanıcıların iptal edilmiş şifrelerle hala bu sistemlere giriş yapabilmeleridir. Bu durum, güvenlik açığı olarak değerlendirilmese de pek çok kullanıcı için ciddi bir endişe kaynağı haline gelmiştir.

Bu Özelliğin Güvenlik Açığı Olarak Kabul Edilmemesinin Nedeni Nedir?

Microsoft, bu durumun bir güvenlik açığı değil, tasarım kararı olduğunu belirtmektedir. Şirket, sistemin uzun bir süre çevrimdışı kaldığı durumlarda en az bir kullanıcı hesabının her zaman giriş yapabilmesi için bu özelliği sunduklarını iddia etmektedir. Ancak bu açıklama, birçok güvenlik uzmanı tarafından sorgulanmakta ve kullanıcıların eski şifreleriyle giriş yapabilme riski büyük bir sorun olarak değerlendirilmektedir. Wade, bu durumun bir “güven kaybı” olduğunu vurgulamakta ve kullanıcıların şifre değiştirerek yetkisiz erişimi kesmesine yönelik beklentilerini boşa çıkardığını belirtmektedir.

Eski Şifreler Neden Hala Kullanılabiliyor?

Kullanıcıların sistemde daha önce kaydedilmiş şifreleri, sistem çevrimdışıyken bile geçerliliğini korumaktadır. Bu, özellikle bir saldırganın şifreyi ele geçirmediyse bile, kullanıcının sistemi güvenli bir hale getirmesini engellemektedir. Windows, kullanıcı tarafından eski şifrenin silinmiş olmasına rağmen, bu şifreyi hala güvenilir olarak görmektedir. Bu durum, saldırganların sistemlere sızması için sessiz bir arka kapı açmaktadır.

Kullanıcılar Bu Durumun Farkında Mı?

Birçok kullanıcı, bu tür bir güvenlik açığının farkında değildir. Wade’in raporuna göre, son kullanıcıların bu durumu tespit etme veya düzeltme yolları oldukça sınırlıdır. Microsoft’un Azure, Defender ve Entra ID gibi hizmetleri, kullanıcıları bu konuda bilgilendirmemekte ve hiçbir güvenlik uyarısı vermemektedir. Sonuç olarak, kullanıcılar koruyucu tedbirler almaya çalışsalar bile, bu durum onları güvensiz bir hale sokmaktadır.

Microsoft Bu Durumu Neden Değiştirmiyor?

Microsoft, bu durumun değişmesi gerektiğine dair güçlü bir talep olsa da, şirket, “bu bir hata değil” diyerek özelliği sürdürme kararı almıştır. Bu tutum, güvenlik uzmanları ve kullanıcılar arasında büyük bir hayal kırıklığına neden olmuştur. Microsoft’un bu konuda bir değişiklik yapmaması, hem veri ihlalleri hem de şifre hırsızlığı gibi olayların sık yaşandığı günümüzde, kullanıcıların güvenliğine zarar vermektedir.

Burada dikkat edilmesi gereken nokta, eski şifrelerin hala geçerli olması ve bunun yaratmış olduğu güvenlik açığıdır. Kullanıcıların şifrelerini düzenli olarak değiştirmesi, iyi bir siber güvenlik uygulaması olmasına rağmen, bu özellik bu çabayı anlamsız hale getirmektedir. Kullanıcıların, özellikle iş yerlerindeki sistemlerinde güçlü güvenlik önlemleri ile birlikte denetimleri artırması önemlidir.

Kısacası, Microsoft’un RDP özelliği, geçmişte kayıtlı şifrelerle giriş yapma yeteneği ile karşı karşıya kalan etkin bir güvenlik açığı yaratmaktadır. Kullanıcıların bu konuda bilgi sahibi olmaları ve gerekli tedbirleri almaları, yaşanabilecek olumsuzlukların önüne geçmek için çok önemlidir.

Güncel Teknoloji Haberleri – 1