Ağustos 2025’in sonlarında İran’ın denizcilik iletişim altyapısına karşı ortaya çıkan siber sabotaj kampanyası, hayati uydu bağlantılarından ve navigasyon yardımcılarından düzinelerce gemiyi kesti.
Her gemiyi ayrı ayrı hedeflemek yerine – uluslararası sular arasında lojistik bir kabus – saldırganlar, İran’ın yaptırımlı tanker filolarına uydu iletişiminden sorumlu BT sağlayıcısı olan Fanava Grubuna sızdı.
Şirketin modası geçmiş Idirect Falcon terminallerinden ödün vererek, çekirdek 2.6.35 çalıştıran Linux sistemlerine kök erişimi elde ettiler ve merkezi bir MySQL veritabanı aracılığıyla tüm gemilerin takımyıldızını eşleştirdiler.
İlk ihlal vektörünün, Legacy Falcon yönetim konsollarında, tehdit aktörlerinin ayrıcalıklı komutları yürütmesine ve ağ eşlemelerini dışarı atmasına izin verdiği görülüyor.
İçeri girdikten sonra, “1402@argo” ve “1406@diamond” gibi kimlik bilgileri de dahil olmak üzere düz metinde modem seri numaralarını, ağ kimliklerini ve ip telefon sistemi yapılandırmalarını hasat ettiler.
Bu detaylar daha sonra senkronize bir karartma düzenlemek için silahlandırıldı: E -posta ve FBB SIM iletişim başarısız oldu, otomatik hava güncellemeleri durdu ve bağlantı noktası koordinasyon sinyalleri neredeyse anında kayboldu.
Nariman Gharib araştırmacıları, Lab-Dookhtegan olarak adlandırılan kampanyanın bir kerelik bir kesinti olmadığını belirledi.
Mayıs ayına kadar uzanan e -posta günlükleri, saldırganların yıkıcı bir final başlatmadan önce aylarca ağlar üzerinde kontrolü sürdürdüğünü doğrulayan kalıcı erişim ve periyodik “düğüm aşağı” testleri ortaya koydu.
18 Ağustos’ta, sıfırlı verilerle uydu modemlerinde birden fazla depolama bölümünün üzerine yazarak, uzaktan kurtarmayı imkansız hale getirerek “kavurulmuş toprak” dizisi gerçekleştirdiler.
.webp)
İran’ın yaptırımlı filolarını-NITC ve IRISL-Çin’e gizli petrol transferlerinin yoğunlaştığı bir zamanda sakatlayarak, saldırganlar ülkenin yaptırımları-evlenme yeteneklerine bir darbe aldı.
İletişim bağlantıları olmadan, tankerler kurs dışında sürüklenme veya biniş ve nöbet için kolay hedefler olma riskiyle karşı karşıya kalırlar. Operasyonun hassasiyeti, tehdit aktörlerinin en kötü stratejik anda maksimum yıkıcı yükler sunmalarını sağlayan derin bir keşif aşamasının altını çiziyor.
Enfeksiyon mekanizması
Kötü amaçlı yazılım enfeksiyon mekanizması çok aşamalı bir yaklaşıma dayanıyordu: korunmasız yönetim portları aracılığıyla başlangıç erişim, MySQL dökümlerinden hasat edilen SSH tuşları yoluyla yanal hareket ve yıkıcı senaryoların dağıtılması.
Meydan okulu bir Falcon konsolunda kök aldıktan sonra, saldırganlar şu komutları yürüttü:-
dd if=/dev/zero of=/dev/mmcblk0p1 bs=1M
dd if=/dev/zero of=/dev/mmcblk0p2 bs=1MBu komutlar, birincil depolama bölümlerini ve kurtarma dilimlerini sistematik olarak silerek, terminalin ürün yazılımı ve konfigürasyonlarının fiziksel müdahale olmadan geri alınamamasını sağladı.
.webp)
Eşzamanlı olarak, SQL sorguları filo planını çıkardı:-
SELECT serial_number, vessel_name, network_id
FROM modems;Bu verilerle donanmış olan saldırganlar, tek bir düzenleme betiği ile 64 gemide kimlik bilgisi enjeksiyonu ve kapatma dizilerini otomatikleştirdiler.
.webp)
Kötü niyetli cron girişlerini yerleştirerek, hem kalıcılık hem de zamanlanmış yürütme elde ettiler, operasyonel kaosu en üst düzeye çıkarmak için hesaplanan bir anda karartmayı tetiklediler.
Bu enfeksiyon zinciri, yönetim arayüzlerinin izole edilmesinin ve kritik uydu iletişim sistemleri üzerinde katı yama rejimlerinin uygulanmasının önemini vurgulamaktadır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.