Yapay Zeka Destekli Tehdit Aktörü 55 Ülkede 600’den Fazla FortiGate Cihazını Hedef Aldı

Anasayfa » Yapay Zeka Destekli Tehdit Aktörü 55 Ülkede 600’den Fazla FortiGate Cihazını Hedef Aldı
APT, Saldırı Analizi, Zafiyetler
Şubat 26, 2026Şubat 26, 2026Tarafından Cybernews.TR
0
Yapay Zeka Destekli Tehdit Aktörü 55 Ülkede 600’den Fazla FortiGate Cihazını Hedef Aldı

Saldırının Genel Çerçevesi

2026 yılının Ocak ve Şubat ayları arasında, yapay zeka destekli bir tehdit aktörü, 55 ülkede 600’den fazla FortiGate güvenlik cihazını hedef aldı. Saldırılar, FortiGate cihazlarının yönetim arayüzlerine internet üzerinden erişim sağlayan 443, 8443, 10443 ve 4443 portlarının sistematik olarak taranmasıyla başladı. Saldırganlar, yaygın kullanılan zayıf kimlik bilgileri ve tek faktörlü kimlik doğrulama eksikliklerini kullanarak cihazlara erişim sağladı. Bu kampanya, doğrudan FortiGate yazılımındaki bir açığın istismarından ziyade, temel güvenlik zafiyetlerinin yapay zeka ile ölçeklendirilmiş bir şekilde kullanılmasıyla gerçekleşti.

Saldırı Zinciri ve Teknik Detaylar

Tehdit aktörü, sınırlı teknik yeteneklerini birden fazla ticari üretken yapay zeka aracıyla aşarak saldırı döngüsünün çeşitli aşamalarını otomatikleştirdi. Bu aşamalar arasında saldırı planlaması, araç geliştirme ve komut üretimi yer aldı. Ana yapay zeka aracı operasyonun omurgasını oluştururken, yedek olarak kullanılan ikinci bir yapay zeka aracı da ele geçirilen ağ içinde yönlendirme için kullanıldı. Araştırmalar, DeepSeek ve Anthropic Claude gibi yapay zeka modellerinin saldırı planlarının oluşturulmasında kullanıldığını ortaya koydu.

Saldırı zinciri şu adımlardan oluştu:

  • FortiGate cihazlarının yönetim portlarının otomatik taranması ve zayıf kimlik bilgileriyle giriş denemeleri.
  • Başarılı erişim sonrası tam cihaz yapılandırmalarının ele geçirilmesi, bu sayede kimlik bilgileri, ağ topolojisi ve cihaz ayarlarının elde edilmesi.
  • Active Directory ortamlarının DCSync saldırılarıyla ele geçirilmesi ve Pass-the-Hash, Pass-the-Ticket, NTLM röle saldırıları gibi tekniklerle ağda yatay hareket sağlanması.
  • Veeam Backup & Replication sunucularının hedef alınması ve CVE-2023-27532 ile CVE-2024-40711 gibi bilinen açıkların istismarı yoluyla kimlik bilgisi toplanması.
  • Fidye yazılımı dağıtımı için yedekleme altyapısının hedeflenmesi.

Hangi Sistemler Risk Altında?

Kampanya sektör bağımsız olarak, özellikle FortiGate cihazlarının yönetim arayüzlerini internet üzerinden erişime açan kurumları hedef aldı. Ele geçirilen cihaz kümeleri Güney Asya, Latin Amerika, Karayipler, Batı Afrika, Kuzey Avrupa ve Güneydoğu Asya’da tespit edildi. Kurumsal Active Directory ortamları, yedekleme sunucuları ve VPN erişim noktaları saldırının kritik hedefleri arasında yer aldı.

Siber Güvenlik Ekipleri İçin Öneriler

Bu tür yapay zeka destekli saldırılara karşı kurumların alması gereken önlemler şunlardır:

  • FortiGate ve benzeri ağ cihazlarının yönetim arayüzlerini internete açmamak ve erişimi VPN gibi güvenli kanallarla sınırlandırmak.
  • Varsayılan ve yaygın kullanılan kimlik bilgilerini derhal değiştirmek ve çok faktörlü kimlik doğrulama (MFA) uygulamak.
  • Yönetici ve VPN erişimlerine yönelik yetkisiz hesap ve bağlantıları düzenli olarak denetlemek.
  • Yedekleme sunucularını genel ağ erişiminden izole etmek ve yazılımları güncel tutmak.
  • EDR ve SIEM sistemleri ile anormal oturum açma ve ağ hareketlerini izlemek, özellikle DCSync ve Pass-the-Hash gibi saldırı tekniklerine karşı tetikte olmak.
  • Ağ segmentasyonu uygulayarak kritik altyapıların izole edilmesini sağlamak.
  • Log yönetimini güçlendirerek kimlik doğrulama, VPN erişimi ve yönetim arayüzü aktivitelerinin detaylı kaydını tutmak.
  • Olay müdahale (incident response) planlarını güncel tutmak ve düzenli tatbikatlarla ekipleri hazırlamak.

Teknik Özet

  • Kullanılan araçlar: DeepSeek, Anthropic Claude, özel Model Context Protocol (MCP) sunucusu, Go tabanlı CHECKER2 orkestratörü, özel keşif araçları (Go ve Python ile yazılmış).
  • Hedefler: FortiGate cihazları, Active Directory ortamları, Veeam Backup & Replication sunucuları.
  • İstismar edilen zafiyetler: CVE-2023-27532 (NVD), CVE-2024-40711 (NVD).
  • Saldırı zinciri: Açık portların taranması ve zayıf kimlik bilgileri ile erişim → Cihaz yapılandırmalarının ele geçirilmesi → Active Directory ele geçirme (DCSync) → Ağda yatay hareket (Pass-the-Hash, NTLM röle) → Yedekleme sunucularının hedeflenmesi → Fidye yazılımı hazırlığı.
  • Önerilen savunma: Güncel yama yönetimi, MFA kullanımı, ağ segmentasyonu, kapsamlı loglama ve EDR ile anomali tespiti.

Yapay Zeka ve Siber Güvenlikte Yeni Dönem

Bu kampanya, yapay zekanın siber saldırılarda nasıl operasyonel ölçeği artırdığını gösteriyor. Özellikle teknik yetenekleri sınırlı aktörlerin, yapay zeka destekli araçlarla karmaşık saldırı zincirlerini yönetmesi, siber suçun erişilebilirliğini artırıyor. Yapay zeka modellerinin saldırı planlarının oluşturulması, zafiyet değerlendirmeleri ve hedef altyapıların değiştirilmesinde kullanılması, güvenlik ekiplerinin yeni tehditlere karşı hazırlıklı olmasını zorunlu kılıyor.

Sonuç olarak, kurumların güçlü temel güvenlik uygulamalarını hayata geçirmesi, yapay zeka destekli tehditlere karşı en etkili savunma stratejisi olarak öne çıkıyor.

, , , , , , ,