VPN servisleri internet kullanıcılarını gitmek istedikleri yere güvenle taşıyan bir teknolojidir[2]. Ancak tam da bu nedenle istihbarat ajanslarının en gözde araçlarından birisidir. Bilinen bir şeydir; kimi ajanslar VPN servisi kurarlar. Bu yolla gizli bilgilere ulaşabilirler. Çünkü VPN servisi yol boyunca çok güvenlidir. Ancak 2 ucunda bulunursanız ya da şifrelemesini elinizde tutarsanız içinden geçen bilgilere ulaşırsınız [1][2].
İranlı Hackerlar, Bilişim, Güvenlik, Telekom, Petrol ve Gaz, Havacılık, Devlet Şirketlerini Hedefliyorlarmış
Yeni yayınlanan bir araştırma bu tür bir gelişmeyi raporluyor. İranlı devlet destekli hackerların, büyük şirketlere saldırmak için Pulse Secure, Fortinet, Palo Alto Networks ve Citrix VPN’leri hedefledikleri kaydediliyor [3]. Zaten 2019 yılı, Pulse Secure, Palo Alto Networks, Fortinet ve Citrix gibi çok sayıda kurumsal VPN sunucusunda büyük güvenlik hatalarının açıklandığı yıl olarak hatırlanacak.
İsrail siber güvenlik firması ClearSky’nin raporuna göre, İranlı hackerlar, Bilişim, Güvenlik, Telekom, Petrol ve Gaz, Havacılık, Devlet ve Güvenlik sektörlerinden şirketleri hedef aldılar ve bunlara ait VPN sunucularına arka kapı yerleştirmeye çalıştılar. Rapor, İranlı bilgisayar korsanlarının Rus, Çinli veya Kuzey Koreli hackerlar kadar yetenekli olduğu iddiasını taşıyor.
Üstelik bir başka not şu; İranlı grupların da geçmişte görülmemiş bir şekilde işbirliği yaptıkları ve farklı grupların sanki tek bir grupmuş gibi çalıştıkları kaydediliyor.ClearSky raporu, dünyadaki VPN sunucularına yönelik saldırıların en az üç İran grubunun (APT33 (Elfin, Shamoon), APT34 (Oilrig) ve APT39 (Chafer)) işi gibi göründüğünü vurguluyor.
ClearSky, İran APT gruplarının iyi teknik saldırı yetenekleri geliştirdiklerini ve 1 gün gibi kısa sürelerde hatta bazı durumlarda bir kaç saat içinde güvenlik açıklarından yararlanabildiklerini” yazıyor.
ClearSky, 2019 yılında İranlı grupların Pulse Secure “Connect” VPN (CVE-2019-11510), Fortinet FortiOS VPN (CVE-2018-13379) ve Palo Alto Networks “Global Protect” de VPN (CVE-2019-1579) açıklanan güvenlik açıklarını hızla kullanmaya başladığını yazıyor. Citrix “ADC” VPN’lerindeki güvenlik açığı olan CVE-2019-19781 gibi yeni VPN kusurları hakkında ayrıntılar açıklandıkça, İranlı gruplar da bunları saldırılarına dahil etmişler. Rapora göre, bu sistemlere yönelik saldırılar, geçen yaz, açıklarla ilgili ayrıntıların kamuoyuna açıklanmasıyla başladı ve 2020’de de devam ediyor.
Ayrıca bu haftanın başlarında SonicWall SRA ve SMA VPN sunucularını etkileyen altı güvenlik açığı duyuruldu. Güvenlik araştırmacıları İranlı hackerların şimdi bunları da kullanacağı öngörüsü ile uyarıda bulunuyorlar.
VPN Açıkları Yanında Gelişmiş Araçlarla da İlerleniyor
Rapora göre, İranlı hackerlar mevcut araçları ya da kendi geliştirdikleri çeşitli yazılımları kullanıyorlar. Saldırılarının ilk aşaması (ihlaller) VPN’leri hedeflerken, ikinci aşama (yanal hareket), bu İran hack birimlerinin son yıllarda ne kadar ilerlediğini gösteren kapsamlı bir araç ve teknik aracı içeriyor. Örneğin, bilgisayar korsanları “Yapışkan Tuşlar” erişilebilirlik aracı aracılığıyla Windows sistemlerinde yönetici hakları kazanabiliyorlar.
Ayrıca JuicyPotato ve Invoke the Hash gibi açık kaynaklı hack araçları ve Putty, Plink, Ngrok, Serveo veya FRP gibi meşru sysadmin yazılımlarını da kullanıyorlar.
ClearSky, aşağıdaki gibi araçları İranlı hackerların geliştirdiğini söylüyor :
STSRCheck – Kendi geliştirdiği veritabanları ve açık port haritalama aracı.
POWSSHNET – SSH üzerinden RDP tüneli için kendi geliştirdiği arka kapı kötü amaçlı yazılımı.
Özel VBScripts – Komut ve kontrol (C2 veya C&C) sunucusundan TXT dosyalarını indirmek ve bu dosyaları taşınabilir bir yürütülebilir dosyada birleştirmek için komut dosyaları.
Socket-based backdoor over cs.exe – Sabit kodlu bir IP adresine soket tabanlı bir bağlantı açmak için kullanılan bir EXE dosyası.
Port.exe – Bir IP adresi için önceden tanımlanmış bağlantı noktalarını tarama aracı.
Şimdilik Saldırmıyorlar, Gözetleme Yapıyor gibi Gözüküyorlar
Rapora göre, İrnalı hackerlar henüz saldırı yapmıyor, keşif operasyonu yapmak ve gözetleme operasyonları için arka kapı oluşturuyor gibi gözükoyorlar. Ama ilerideşirketleri sabote edebilen ve ağları ve ticari işlemleri engelleyecek düzeyde veri silme amaçlı yazılım dağıtmak için kullanılabileceği kaydediliyor. Bir başka korku da tedarik zincirleri ile saldırı yapılması. FBI bu konuda yazılım firmalarına uyarı göndermişti.
ClearSky raporunda bu açıkların Çinli hackerlar ve çoklu fidye yazılımları ve şifreleme grupları tarafından da kullanıldığı notu yer alıyor.
[1] VPN (Virtual Private Network)
[2] VPN Nedir? Ne İşe Yarar? Kimler Kullanır? Engellenebilir mi? Tehlikeleri Nelerdir?
[3] Fox Kitten – Widespread Iranian Espionage-Offensive Campaign