Rus hackerlar güvenlik duvarlarını aştı: NATO ülkeleri hedefte, Türkiye de listede

Şirketlerin ve kamu kurumlarının internetten gelebilecek saldırılara karşı ilk savunma hattı olan güvenlik duvarları, bu kez saldırganların giriş kapısına dönüştü.

ABD merkezli siber tehdit istihbaratı şirketi SOCRadar ve Hudson Rock araştırmacıları, Fortinet marka güvenlik duvarları ve VPN ağ geçitlerine ait binlerce kullanıcı adı ve parolayı doğrulayarak saklayan bir hacker altyapısını tespit etti.

“FortiBleed” adı verilen operasyonda 194 ülkeden 30 bin 791 erişim kaydı, 21 bin 108 farklı IP adresi ve 8 bin 316 alan adı bulundu. Saldırganların veri tabanındaki bilgilerin rastgele parola tahminlerinden ibaret olmadığı, otomatik araçlarla denenmiş ve çalıştığı doğrulanmış giriş bilgileri olduğu belirtildi.

TÜRKİYE İLK 20’DE

SOCRadar ve Hudson Rock’in incelediği veriler, Türkiye açısından dikkat çekici bir tablo ortaya koydu. Türkiye, ele geçirilen erişim bilgilerinin ülkelere göre dağılımında ilk 20 ülke arasına girdi.

Araştırmada kurumların isimleri güvenlik gerekçesiyle açıklanmazken, veri tabanında dünya genelinde 111 kamu alan adına ait toplam 591 erişim kaydının bulunduğu bildirildi.

ESKİ PAROLALARLA İNTERNETİ TARADILAR

Araştırmaya göre saldırganlar, internet üzerinde erişime açık Fortinet güvenlik duvarlarını ve VPN yönetim panellerini otomatik sistemlerle taradı.

Tarama sırasında geçmişteki güvenlik olaylarında açığa çıkan veya ele geçirilen kullanıcı adı ve parola kombinasyonları denendi. Parolasını değiştirmeyen kurumların sistemlerine giriş yapan saldırganlar, çalışan bilgileri kendi veri tabanlarına kaydetti.

Sisteme erişim sağlandıktan sonra güvenlik duvarından geçen ağ trafiğinin izlenebildiği, buradan elde edilen yeni kullanıcı bilgileri ve parolaların da başka sistemlere saldırmak için kullanıldığı belirlendi. Böylece ele geçirilen her sistem, yeni hedeflere ulaşmak için kullanılan bir dinleme ve veri toplama noktasına dönüştü.

SOCRadar araştırmacıları, saldırının yeni keşfedilmiş bir Fortinet açığından kaynaklandığına ilişkin kanıt bulunmadığını vurguladı. Bulgular, asıl problemin geçmiş olayların ardından parolaların değiştirilmemesi, çok faktörlü kimlik doğrulamanın kullanılmaması ve yönetim panellerinin doğrudan internete açık bırakılması olduğunu gösteriyor.

HACKERLAR VERİLERİ AÇIKTA UNUTTU

Operasyonun ortaya çıkmasını sağlayan ise saldırganların yaptığı kritik bir hata oldu.

Hacker grubunun kullandığı sunucunun internete açık bırakıldığı, sunucuda saldırı araçlarının, otomasyon yazılımlarının, hedef listesinin ve ele geçirilen giriş bilgilerinin erişilebilir halde bulunduğu tespit edildi.

Araştırmacılar, açıkta bırakılan dosyaları analiz ederek saldırganların yöntemlerini ve hedef aldığı kurumları ortaya çıkardı. Sunucudaki Rusça talimatlar, kullanılan altyapı ve hedeflerin ağırlıklı olarak NATO ülkelerinde bulunması, operasyonun Rusça konuşan tehdit aktörleri tarafından yürütüldüğüne işaret etti.

Ancak araştırmacılar, saldırganlarla Rusya devleti arasında doğrulanmış bir bağlantı kurulmadığını ve kesin kimlik tespitine yönelik çalışmaların devam ettiğini belirtti. Reuters’a konuşan araştırmacılar da saldırı dosyalarında Rusça talimatların bulunduğunu bildirdi.

DUNYA ÇAPINDA BANKALAR, HASTANELER VE TELEKOM ŞİRKETLERİ DE VAR

Ele geçirilen sistemler arasında bankalar, telekomünikasyon şirketleri, hastaneler, üniversiteler, enerji kuruluşları ve kamu kurumları bulunuyor.

En fazla erişim kaydının telekomünikasyon sektörüne ait olduğu belirlendi. Telekom şirketleriyle bağlantılı 5 bin 616 kayıt tespit edilirken, araştırmacılar bu sektörün diğer kurumların iletişim altyapısını da taşıması nedeniyle riskin yalnızca tek tek şirketlerle sınırlı olmadığına dikkat çekti.

Saldırganların özellikle internet üzerindeki standart HTTPS bağlantı noktası olan 443 numaralı portu taradığı, bunun yanında Fortinet yönetim panellerinde kullanılan 4443, 8443 ve 10443 gibi alternatif portların da hedef alındığı görüldü.

FORTINET’TEN AÇIKLAMA

Fortinet, cihazlarını hedef alan bir kullanıcı bilgisi toplama kampanyasından haberdar olduğunu açıkladı.

Şirket, saldırganların önceki güvenlik olaylarından elde edilen verileri kullandığını ve çok sayıda parola deneyerek sistemlere girmeye çalıştığını bildirdi. Açıklamada mevcut faaliyetin yeni bir güvenlik açığı veya yakın zamanda yayımlanan bir güvenlik duyurusuyla bağlantılı olmadığı ifade edildi.

ŞİRKETLER KENDİLERİNİ KONTROL EDEBİLİYOR

SOCRadar, Fortinet ürünü kullanan şirketlerin ve kuruluşlarının kendi alan adlarını kontrol edebilmesi için ücretsiz bir arama aracı da kullanıma sundu.

Araştırmacılar, veri tabanında bulunduğu tespit edilen sistemlerin yalnızca “risk altında” kabul edilmemesi, doğrudan güvenlik olayı yaşanmış gibi ele alınması gerektiği uyarısında bulundu.

Kurumlara bütün yönetici ve VPN parolalarını değiştirmeleri, çok faktörlü kimlik doğrulamayı etkinleştirmeleri, geçmiş bağlantı kayıtlarını incelemeleri, yönetim panellerini açık internetten kapatmaları ve Fortinet yazılımlarını güncel sürümlere yükseltmeleri tavsiye edildi.