Son analizler, 2021-2025 yılları arasında Batı’nın kritik altyapılarını hedef alan uzun soluklu bir siber saldırı kampanyasının detaylarını ortaya koydu. Rusya Ana İstihbarat Müdürlüğü (GRU) ile ilişkilendirilen bu operasyon, özellikle enerji sektörü, bulut tabanlı ağ altyapısı ve Kuzey Amerika ile Avrupa’daki kritik altyapı sağlayıcılarını hedef aldı.
Saldırının Genel Çerçevesi
Kampanya, başlangıçta yanlış yapılandırılmış müşteri ağ uç cihazlarının yönetim arayüzlerine erişim sağlanmasıyla başladı. Zamanla N-day ve sıfır gün (zero-day) güvenlik açıklarının istismarı azaldı ve saldırganlar daha çok açık konfigürasyonları kullanarak kimlik bilgisi toplama ve yatay hareket kabiliyeti kazandı. Bu taktikler, FROZENBARENTS, Sandworm, Seashell Blizzard ve Voodoo Bear gibi APT44 varyantlarıyla örtüşüyor.
Hangi Sistemler Risk Altında?
Hedefler arasında kurumsal yönlendiriciler, VPN konsantratörleri, ağ yönetim cihazları, işbirliği ve wiki platformları ile bulut tabanlı proje yönetim sistemleri bulunuyor. Özellikle WatchGuard Firebox (CVE-2022-26318), Atlassian Confluence (CVE-2021-26084, CVE-2023-22518) ve Veeam (CVE-2023-27532) gibi kritik güvenlik açıkları kullanıldı. Bu zafiyetler, MITRE ATT&CK taksonomisine göre ağ erişimi ve kimlik bilgisi hırsızlığı teknikleriyle ilişkilendiriliyor.
Saldırı Zinciri ve Teknik Detaylar
- Yanlış yapılandırılmış AWS bulut ortamındaki müşteri ağ uç cihazlarının ele geçirilmesi
- Yerel paket yakalama (packet capture) ile ağ trafiğinin izlenmesi
- Yakalanan kimlik bilgilerinin kurban kuruluşların çevrimiçi hizmetlerine karşı tekrar kullanılması
- Yatay hareket ve kalıcı erişim sağlanması
Bu süreçte saldırganlar, ele geçirilen EC2 örnekleri üzerinden kalıcı ve etkileşimli bağlantılar kurarak veri toplama faaliyetlerini sürdürdü. Ayrıca kimlik bilgisi tekrar saldırıları, Kuzey Amerika, Batı ve Doğu Avrupa ile Orta Doğu’daki enerji, teknoloji ve telekom sektörlerini hedef aldı.
Siber Güvenlik Ekipleri İçin Öneriler
- Ağ uç cihazlarının yönetim arayüzlerini düzenli olarak denetleyin ve gereksiz erişimleri kapatın.
- WatchGuard Firebox, Atlassian Confluence ve Veeam gibi kritik yazılımlar için yayımlanan yamaları zamanında uygulayın.
- Kimlik doğrulama süreçlerinde çok faktörlü kimlik doğrulama (MFA) kullanarak kimlik bilgisi tekrar saldırılarına karşı koruma sağlayın.
- SIEM ve EDR çözümleri ile şüpheli ağ trafiği ve paket yakalama aktivitelerini izleyin.
- Beklenmeyen coğrafi konumlardan gelen erişim denemelerini ve kimlik doğrulama girişimlerini dikkatle analiz edin.
- Ağ segmentasyonu uygulayarak kritik altyapı sistemlerini izole edin ve yatay hareketi zorlaştırın.
- Olay müdahale (incident response) planlarını güncel tutun ve düzenli tatbikatlarla ekiplerin hazır olmasını sağlayın.
Teknik Özet
- Kullanılan araçlar ve varyantlar: APT44 (FROZENBARENTS, Sandworm, Seashell Blizzard, Voodoo Bear)
- Hedef sektörler: Enerji, teknoloji/bulut hizmetleri, telekom, kritik altyapı
- Kullanılan zafiyetler: CVE-2022-26318, CVE-2021-26084, CVE-2023-22518, CVE-2023-27532
- Saldırı zinciri: Yanlış yapılandırılmış ağ cihazı erişimi → Paket yakalama → Kimlik bilgisi toplama → Kimlik bilgisi tekrar kullanımı → Yatay hareket ve kalıcılık
- Önerilen savunma: Güncel yamalar, MFA, ağ segmentasyonu, EDR ve SIEM entegrasyonu, erişim kontrolleri
Bu kampanya, aynı zamanda Bitdefender tarafından “Curly COMrades” olarak izlenen ve Rusya bağlantılı başka bir küme ile altyapı örtüşmeleri gösteriyor. Bu durum, GRU’nun operasyonel olarak farklı uzmanlık alanlarında çalışan alt kümelerle geniş çaplı bir siber casusluk kampanyası yürüttüğünü düşündürüyor.
Sonuç olarak, kritik altyapı ve bulut ortamlarında çalışan kurumların, ağ uç cihazlarının güvenlik konfigürasyonlarını gözden geçirmeleri, kapsamlı kimlik doğrulama politikaları uygulamaları ve gelişmiş tehdit tespit sistemleri kullanmaları hayati önem taşıyor. Özellikle kimlik bilgisi tekrar saldırılarına karşı dikkatli olunmalı ve olay müdahale süreçleri güçlendirilmelidir.