Dikkat! İran Siber Saldırıları Devam Eden Küresel Kampanyada Kritik Altyapıyı Tehdit Ediyor

Siber tehditlerin sürekli gelişen dünyasında, en endişe verici eğilimlerden biri, kritik altyapıyı hedef alan devlet destekli siber saldırıların artışıdır. ABD, Avustralya ve Kanada genelindeki siber güvenlik ve istihbarat teşkilatlarının son ortak uyarıları, İranlı siber aktörlerin sağlık, enerji, hükümet ve bilgi teknolojisi gibi önemli sektörleri hedef alan bir yıllık devam eden kampanyasını ortaya koymaktadır.

İran Siber Saldırılarının Arkasındaki Yöntemler

Ekim 2023'ten bu yana İranlı siber aktörler kuruluşlara sızmak için kaba kuvvet saldırıları ve parola püskürtme kullanıyor . Bu taktikler, kullanıcı hesaplarına yetkisiz erişim elde etmek için parolaları sistematik olarak tahmin etmeyi ve oturum açma sistemlerini alt üst etmeyi içeriyor. Sağlık, mühendislik ve kamu hizmetleri gibi sektörler, hassasiyetleri ve önemleri göz önüne alındığında birincil hedeflerdir.

Bu saldırganlar tarafından kullanılan yeni bir taktik, MFA yorgunluğu olarak da bilinen çok faktörlü kimlik doğrulama (MFA) itme bombardımanıdır. Saldırganlar, kullanıcıları tekrarlanan MFA istekleriyle boğarak, kurbanları istemeden erişimi onaylamaya zorlamayı veya rahatsız etmeyi umuyor. Tenable'da siber güvenlik uzmanı olan Ray Carney, daha güvenli bir kimlik doğrulama süreci için kimlik avına dayanıklı MFA kullanılmasını veya numara eşleştirmenin kullanılmasını öneriyor.

Bu saldırıların birincil amacı kimlik bilgilerini ve ayrıntılı ağ bilgilerini çalmaktır, bunlar daha sonra yeraltı forumlarında satılır. Bu, diğer siber suçluların tehlikeye atılmış sistemleri daha fazla saldırı için istismar etmeleri için fırsatlar yaratır ve devlet destekli gruplar ile organize siber suç arasındaki iş birliğinin daha geniş siber güvenlik manzarasıyla uyumludur.

Gelişmiş Saldırı Teknikleri

İlk erişimden sonra, İranlı saldırganlar genellikle hedefin sistemlerinde kapsamlı keşifler gerçekleştirir. Tespit edilmemek için kuruluşun kendi altyapısını kullanan "living-off-the-land" (LotL) araçlarını kullanırlar. İyi bilinen Zerologon güvenlik açığı (CVE-2020-1472) gibi ayrıcalık yükseltme istismarları, saldırganların sistemlere daha derine inmesine yardımcı olur.

Çoğu durumda, saldırganlar komuta ve kontrol (C2) bağlantıları kurmak için uzak masaüstü protokollerini (RDP) ve Cobalt Strike gibi araçları kullanırlar. Özellikle, bazen kendi cihazlarını MFA sistemlerine kaydederler ve bu da şüphe uyandırmadan uzun süreler boyunca sürekli erişimi sürdürmelerine olanak tanır.

Active Directory ve Ötesini Hedefleme

İranlı siber aktörler giderek daha fazla, birçok kurumsal BT ortamının omurgası olan Active Directory'yi tehlikeye atmaya odaklanıyor. Active Directory, ağlar genelinde kullanıcı kimlik doğrulamasını ve izinlerini yönetmede önemli bir rol oynar. Bu sistemin tehlikeye atılması, saldırganların ayrıcalıkları artırmasına, onlara son derece hassas bilgilere erişim ve kritik sistemler üzerinde kontrol sağlamalarına olanak tanır.

Küresel tehdit manzarasındaki son değişimler, ulus-devlet korsan grupları ile siber suç örgütleri arasında bir iş birliği eğilimine de işaret ediyor. Microsoft'un 2024 Dijital Savunma Raporu, İran devlet destekli saldırganların yalnızca jeopolitik nedenlerle değil aynı zamanda finansal kazançla da motive olduklarını vurguluyor. Operasyonlarının bir kısmını siber suçlulara dış kaynak olarak vererek, daha düşük bir profil korurken erişimlerini genişletiyorlar.

Kuruluşlar Ne Yapabilir?

Bu riskleri azaltmak için hedef sektörlerdeki kuruluşların proaktif önlemler alması gerekir:

• Mümkün olan her yerde kimlik avına dayanıklı MFA uygulayın. Uygulanabilir değilse, ikincil kimlik doğrulama seçeneği olarak sayı eşleştirmeyi kullanın.
• Özellikle Active Directory ve diğer kritik sistemlerdeki güvenlik açıklarını düzenli olarak denetleyin ve yamalayın.
• Çalışanlarınızı MFA yorgunluğunun belirtilerini tanımaları konusunda eğitin ve şüpheli oturum açma girişimlerini bildirmeleri konusunda onları teşvik edin.
• Olağandışı etkinliklere karşı ağ trafiğini, özellikle bilinen C2 altyapısına giden bağlantıları izleyin.
• Savunma alanındaki en son tehditler ve en iyi uygulamalar hakkında bilgi sahibi olmak için devlet kurumları ve sektördeki meslektaşlarınızla iş birliği yapın.

Önümüzdeki Yol

Siber saldırılar daha karmaşık hale geldikçe ve küresel jeopolitik hedeflerle iç içe geçtikçe, işletmeler uyanık olmalıdır. İranlı siber aktörlerin bir yıllık kampanyası, yerinde uygun savunmalar olmadan en sağlam güvenlik sistemlerinin bile tehlikeye atılabileceğinin çarpıcı bir hatırlatıcısı olarak hizmet ediyor.

Bu tehditlerin önünde kalmak sürekli adaptasyon, iş birliği ve siber güvenlik en iyi uygulamalarına bağlılık gerektirir. Hiçbir sistem bağışık olmasa da, bilgili ve hazırlıklı kuruluşlar artan siber saldırı dalgasına karşı koyma konusunda çok daha iyi bir şansa sahiptir.