FortiBleed Operasyonları: INC ve Lynx Fidye Yazılımları İçin Çalınan Kimlik Bilgileri Kullanıldı

Anasayfa » FortiBleed Operasyonları: INC ve Lynx Fidye Yazılımları İçin Çalınan Kimlik Bilgileri Kullanıldı
FortiBleed Operasyonları: INC ve Lynx Fidye Yazılımları İçin Çalınan Kimlik Bilgileri Kullanıldı

Son analizler, FortiBleed adlı kimlik bilgisi hırsızlığı kampanyasının INC ve Lynx fidye yazılımı gruplarıyla bağlantılı olduğunu ortaya koydu. Elde edilen yönetici seviyesindeki çalınmış kimlik bilgileri, ardından gerçekleştirilen saldırılar için kullanılmış görünüyor.

Saldırının Genel Çerçevesi

Yaklaşık 150 ülkede 11.250 civarında FortiGate portali, FortiBleed saldırganları tarafından sistematik olarak tarandı. Bu taramalar sonucunda 409 hedefte yönetici erişimi doğrulandı ve 354 cihazda tam saldırı zinciri başarıyla tamamlandı. En az 12 farklı fidye yazılımı dağıtımı tespit edildi; bu saldırılar nedeniyle yüzlerce uç nokta şifrelenerek kullanılamaz hale getirildi.

Kampanyanın işleyişi oldukça detaylı: Tehdit aktörleri, internetteki savunmasız Fortinet cihazlarını tespit edip bilinen kimlik bilgisi kombinasyonlarını deneyerek erişim sağladı. Ardından, ağ trafiğinden kimlik bilgilerini pasif olarak toplayan özelleştirilmiş paket dinleyiciler (sniffer) devreye sokuldu.

Hangi Sistemler Risk Altında?

FortiBleed saldırısının hedefi dünya çapında yaklaşık 430.000 FortiGate güvenlik duvarı oldu. Saldırganlar, bu cihazlardan 110 milyondan fazla kimlik bilgisi topladı. Operasyonel bir hata sonucu, saldırganların çaldığı kimlik bilgilerini içeren bir sunucu açıkta kaldı ve böylece kampanyanın kapsamı ortaya çıktı.

Kullanılan Golang tabanlı paket dinleyicinin yaklaşık 12.000 Fortinet cihazına yüklendiği tahmin ediliyor. Son bulgular, FortiBleed altyapısına erişimi olan bir operatörün hem INC hem de Lynx fidye yazılımı gruplarının pazarlık panellerinde aktif olduğunu gösterdi. INC’nin kurban listeleriyle kampanya verileri arasında doğrudan örtüşme bulunuyor.

Saldırı Zinciri ve Teknik Detaylar

Saldırının arkasında Rusça konuşan, büyük ihtimalle ilk erişim sağlayan aracılar olarak faaliyet gösteren bir grup olduğu düşünülüyor. Latin Amerika ve Asya Pasifik’teki imalat, teknoloji ve lojistik sektörleri öncelikli hedefler arasında yer aldı. Ayrıca, iç belgeler yaklaşık 20 kişilik organize bir ekip yapısını işaret ediyor; lider operatörler yüksek etkiye sahip saldırıları yönetirken, destek ve uzman ekipler operasyonu besliyor.

Tehdit aktörlerinin, Nextcloud platformunda en az bir sıfırıncı gün (zero-day) açığı da ellerinde bulundukları tahmin ediliyor. İlgili güvenlik firmaları etkilenen yazılım sağlayıcısıyla koordineli çalışıyor.

Paralel olarak, Fortinet FortiClient EMS’de (CVE-2026-35616, CVSS 9.1) tespit edilen kritik bir güvenlik açığı kullanılarak EKZ Stealer adlı bilgi hırsızı zararlının enerji ve atık sektöründeki bir müşteriye yönelik saldırılarda kullanıldığı bildirildi. Bu zararlı, özellikle Chromium tabanlı tarayıcılar ile Firefox’tan kimlik bilgilerini çalmak için PowerShell üzerinden veri sızdırıyor.

Kurumsal Ortamlar İçin Risk Senaryosu

Düşünün ki bir lojistik firmasının FortiGate cihazı, bilinen ve yayınlanmış kombinasyonlarla ele geçirildi. Saldırganlar, ağ içi trafiği dinleyerek kritik kimlik bilgilerini topluyor, ardından Lynx ya da INC fidye yazılımı gruplarına erişim sağlayıp kurumsal verileri şifreliyor. Bu senaryo, siber güvenlik ekiplerinin ağ segmentasyonu, çok faktörlü kimlik doğrulama (MFA) ve sürekli log analizi yapmasını zorunlu kılıyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • FortiGate cihazlarının yönetim panellerine erişim için güçlü ve benzersiz parolalar kullanın, varsayılan kimlik bilgilerini derhal değiştirin.
  • Cihazlarda en son yazılım güncellemelerini ve güvenlik yamalarını uygulayın.
  • EDR ve SIEM çözümleriyle anormal kimlik doğrulama ve bağlantı denemelerini sürekli takip edin.
  • Ağ segmentasyonu yaparak kritik sistemlerin doğrudan internet erişimini sınırlayın.
  • Kimlik doğrulama süreçlerinde çok faktörlü doğrulamayı (MFA) zorunlu hale getirin.
  • Ağ trafiğinde paket yakalama ve analiz için gelişmiş izleme araçları kullanarak şüpheli hareketleri erken tespit edin.
  • Olay müdahale (incident response) planlarını güncel tutun ve düzenli tatbikatlar yapın.

Bu gelişmeler, özellikle Fortinet cihazları kullanan kurumların, kimlik bilgisi güvenliği ve ağ trafiği izleme konularına daha fazla odaklanması gerektiğini gösteriyor. Fidye yazılımı saldırılarının başlangıcını oluşturan kimlik bilgisi hırsızlığı, saldırı zincirinin kritik halkalarından biri haline geldi.