İranlı Hackerlar Şirketlere Sızmak İçin VPN’e Saldırıyor

Geçtiğimiz yıl Pulse Secure, Palo Alto Networks, Fortinet ve Citrix üzere çok sayıda kurumsal VPN sunucusu, büyük güvenlik sıkıntıları ile karşı karşıya kalmıştı. İsrail merkezli siber güvenlik firması ClearSky tarafından yayınlanan yeni bir rapor, İran'ın devlet takviyeli hacker ordusunun geçen yıl tüm dünyadaki şirketlere sızmak ve art kapılara girmek için VPN servislerindeki güvenlik kusurlarından yararlandığını ortaya koyuyor.

Rapora nazaran İranlı hackerlar, geçtiğimiz yıl en çok bilişim teknolojisi, telekomünikasyon, petrol, doğalgaz, havacılık ve güvenlik alanında faaliyet gösteren şirketi amaç aldı. Rapor, İranlı bilgisayar korsanlarının Rus, Çinli yahut Kuzey Koreli hackerlar kadar tehlikeli olduğunu gösteriyor.

ClearSky, devlet tarafından desteklenen İranlı bilgisayar korsanlarının, hücum yeteneklerini geliştirdiklerini ve güvenlik açıklarından çok kısa müddetlerde yararlanabildiklerini söylüyor. İsrailli şirket, 2019 yılında İranlı kümelerin, Pulse Secure “Connect” VPN (CVE-2019-11510), Fortinet FortiOS VPN (CVE-2018-13379) ve Palo Alto Networks “Global Protect” servislerinde tespit edilen güvenlik açıklarını kullanarak birçok siber atak gerçekleştirdiğini belirtiyor. 

ClearSky’ın raporuna nazaran bu atakların gayesi, kurumsal ağlara sızmak ve daha sonraki bir tarihte yapılacak taarruzlar için sistemlerde art kapılar yaratmak. İranlı bilgisayar korsanları, tıpkı anda iki yahut daha fazla tuşa basmakta zorluk çeken bireyler için tasarlanmış bir erişim özelliği olan ‘Yapışkan Tuşlar’ aracılığıyla Windows sistemlerine sızmış durumda. JuicyPotato ve Invoke the Hash üzere açık kaynaklı hack araçlarından da faydalanan hackerlar, Putty, Plink, Ngrok, Serveo yahut FRP üzere yasal sysadmin yazılımlarını da kullanmışlar.

ClearSky’ın raporu, dünyadaki VPN sunucularına yönelik atakların gerisinde en az üç İranlı hacker kümesinin olduğuna dikkat çekiyor. İranlı hackerların geçmişte görülmemiş bir iş birliği sergilediği belirtilen raporda, taarruzların fevkalade bir uyumla gerçekleştirildiği söz ediliyor. Geçtiğimiz hafta güvenlik araştırmacıları, SonicWall SRA ve SMA VPN sunucularında altı farklı güvenlik açığı keşfettiklerini açıklamışlardı. Habere nazaran İranlı bilgisayar korsanlarının bir sonraki gayesi, büyük olasılıkla bu servisler olacak.