ABD’li ve uluslararası siber güvenlik kurumlarından oluşan bir koalisyon, bu hafta Rusya yanlısı bilgisayar korsanlarının kritik altyapıdaki operasyonel teknoloji (OT) sistemlerine sızmak için açıkta kalan Sanal Ağ Bilgi İşlem (VNC) bağlantılarından yararlandığına dair sert bir uyarı yayınladı.
9 Aralık 2025’te yayınlanan ortak tavsiye belgesinde, Rusya’nın Yeniden Doğan Siber Ordusu (CARR), Z-Pentest, NoName057(16) ve Sector16 gibi ilkel ama etkili taktiklerle su, gıda, tarım ve enerji sektörlerini hedef alan gruplar vurgulanıyor.
Bu gruplar, Rusya’nın 2022’de Ukrayna’yı işgalinden bu yana jeopolitik gerilimlerin ortasında gelişti. Başlangıçta Rusya’nın GRU askeri birimi 74455 tarafından desteklenen CARR, 2023’ün sonlarında Avrupa’daki atık su tesisleri ve ABD’deki mandıra çiftliklerinin vurulduğunu iddia ederek OT saldırılarına geçti.
Kremlin’e bağlı bir gençlik izleme merkezine bağlı olan NoName057(16), DDoS konusunda uzmanlaşıyor ancak izinsiz girişler konusunda işbirliği yapıyor. Eylül 2024’te CARR ve NoName057(16) sığınmacılarından ve Ocak 2025’te başlatılan Sector16’dan oluşturulan Z-Pentest gibi daha yeni ekipler, tanıtım için “hack ve sızıntı” operasyonlarına öncelik veriyor ve genellikle Telegram videoları aracılığıyla etkileri abartıyor.
VNC Bağlantıları İstismara Uğradı
Gelişmiş APT’lerin aksine, bu aktörler derin bir uzmanlığa sahip değiller ve zayıf VNC korumalarına sahip, internete bakan insan-makine arayüzlerine (HMI’ler) fırsatçı saldırılar yapmayı tercih ediyorlar.
Nmap veya OpenVAS kullanarak 5900 gibi bağlantı noktalarını tararlar, varsayılan veya basit şifrelere karşı VPS tarafından barındırılan kaba kuvvet araçlarını kullanırlar, ardından parametreleri değiştirmek, alarmları devre dışı bırakmak veya cihazları yeniden adlandırmak için GUI’leri manipüle ederek manuel geçersiz kılmaları zorlayan “görüntü kaybına” neden olurlar.
Tavsiye belgesi, keşiften (T1595.002) çarpışmaya (T0829: Görüş Kaybı) kadar MITRE ATT&CK tekniklerini ayrıntılarıyla anlatıyor. Saldırganlar kimlik bilgilerini, ekran görüntüsü değişikliklerini günlüğe kaydeder ve provaları çevrimiçi olarak yayınlayarak casusluktan ziyade medyanın ilgisini çeker.
Mağdurlar kesintilerle, iyileştirme maliyetleriyle ve fabrika süreçlerinin aksaması gibi nadir fiziksel hasarlarla karşı karşıya kalıyor. Nisan 2025’teki bir olayda, eşzamanlı DDoS’un SCADA erişimine yardımcı olduğu görüldü ve bu da müttefikler arasında paylaşılan TTP’ler yoluyla yayılımın altını çizdi.
Ajanslar henüz herhangi bir yaralanma kaydedilmediğini belirtiyor ancak işgal altındaki bölgelerde artan riskler konusunda uyarıyor. Etkiler arasında, aktörlerin güvenliği göz ardı etmesiyle daha da artan yeniden programlama ücretleri ve operasyonel duraklamalar yer alıyor.
Kritik altyapı sahiplerinin hızlı hareket etmesi gerekiyor. En önemli öncelikler: İnternete açık OT’yi ortadan kaldırın, BT/OT ağlarını bölümlere ayırın, çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılın ve varsayılanları yasaklayın.
VNC açıklarını tespit etmek, çıkış için güvenlik duvarlarını denetlemek ve salt görüntüleme modlarını etkinleştirmek için saldırı yüzeyi araçlarını kullanın. Üreticiler, varsayılanları olmayan, SBOM’lu ve ücretsiz günlük kaydı olmayan “tasarım gereği güvenli” cihazlar göndermelidir.
HMI’ları yedekleyin, manuel arıza korumalarını test edin ve tek seferlik oturum açma gibi anormallikleri izleyin. Olaya müdahale: izole edin, araştırın, yeniden görüntü alın, kimlik bilgilerini yeniden sağlayın, CISA/FBI’ya rapor verin.
Bu tavsiye niteliğindeki belge, CISA’nın Mayıs 2025’teki fazla mesai azaltımları gibi önceki uyarılara dayanarak küresel düzeyde dikkatli olunması çağrısında bulunmaktadır. Hacktivistler ittifaklar kurarak ve iddiaları güçlendirirken, savunucuların rehavete kapılmaları mümkün değil. Proaktif güçlendirme, bu düşük bariyerli tehditleri gelişmeden engeller.
