Kritik Altyapı Güvenliği, Yönetişim ve Risk Yönetimi, Operasyonel Teknoloji (OT)
Fortinet, bölgede uzun vadeli sibersizliği ortaya çıkarıyor
Prajeet Nair (@prajeaetspeaks) •
5 Mayıs 2025
İran devlet destekli bir tehdit grubu, operasyonel teknoloji ağı ile bir Orta Doğu kritik altyapı sağlayıcısını hedefleyen bir yıllar süren siber sorumluluk kampanyası yürüttü.
Ayrıca bakınız: Ondemand Panel | HCLTech ve Microsoft ile OT güvenliğini güçlendirmek
Kampanya en azından Mayıs 2023’ten Şubat’a kadar uzanan ve Mayıs 2021’e kadar uzlaşma göstergeleri ile Fortinet’i Perşembe günü yayınladı.
Araştırmacılar saldırıyı, bir altyapı örtüşmesi ve kötü amaçlı yazılım dağıtımını içeren faktörleri İran devlet bilgisayar korsanlarına yüksek güvenle ilişkilendirdiler. Farklı göstergeler ve taktikler, teknikler ve prosedürler, limon kum fırtınası, Pioneer Kitten ve UNC757 olarak izlenen bir Tahran grubunun geçmiş kampanyalarıyla eşleşiyor. Kanıtlar, kampanyanın ABD siber güvenlik ajansları tarafından geçen Ağustos ayında işaretlenen Amerika Birleşik Devletleri ve Birleşik Arap Emirlikleri’ndeki İran fidye yazılımı saldırıları ve siber başlık kampanyalarının bir dalgasının bir parçası olduğunu gösteriyor (bkz: bkz: İranlı korsanlar bizi fidye yazılımı ve casusluk saldırılarında hedeflemek).
Fortinet, saldırganların keşif faaliyetini ve kimlik bilgisi hırsızlığını OT ağına odakladığını söyledi. Müfettişler, “OT ile ilgili sistemleri barındıran kısıtlı ağ segmentinde bir düşman tabanının kanıtını belirlediler”, ancak bilgisayar korsanlarının OT ağını ihlal ettiğine dair kesin kanıtlar bulamadılar.
Bilgisayar korsanları, OT cihazları da dahil olmak üzere gerçek kritik altyapının bileşenlerini taklit etmek için tasarlanmış bir test ağına gitti. Tekrar tekrar test ağına erişimi sürdürmeye çalıştılar ve “bu simüle edilmiş ağın gerçek ağ olduğuna inanıyorlardı.”
Fortinet, kurbanın muhtemelen Tahran için stratejik bir değeri olduğunu ve saldırıyı güvenlik açıkları için çevrimiçi taramanın fırsatçı sonucundan ziyade kasıtlı hale getirdiğini söyledi. Ağa kalıcı erişim, İran’ın daha geniş bir Orta Doğu çatışması durumunda veri toplamasına ve bozmasına izin verecektir.
Saldırı dört ana faaliyet aşamasına sahipti: yaklaşık yedi aylık konsolidasyon faaliyeti yoluyla kurban ağına bir yer kurmak için Mayıs 2023’te yaklaşık bir yıl başlayan ve 23 Kasım 2024’ten başlayarak, kurban ağdan hackerları kaldırma çabalarına başlamadan sonra erişimi korumak için faaliyeti artırdı. Fortinet, bilgisayar korsanlarının 14 Aralık 2024’te kovulduğunu, ancak eski ağ dayanaklarını canlandırma, bilinen güvenlik açıkları ve birden fazla kimlik avı kampanyasıyla bir katılım yönetimi web uygulaması sunucusunu hackleme girişiminin bir kombinasyonu yoluyla erişimi yeniden kazanmaya çalıştıklarını söyledi. Fortinet, kimlik avı kampanyası tehlikeye atılmış bir hesapla sonuçlandı, ancak hacklenen katılım yönetimi sunucusu gibi, siber savunucular da yayılmadan önce kötü niyetli faaliyetleri tespit etti.
Fortinet, “Saldırı dalgalarda ortaya çıktı, düşman zaman içinde yeni kötü amaçlı yazılım ve altyapı konuşlandırdı.” Dedi. Hacker etkinliğinin çoğunun klavyelerde eli olan canlı saldırganlar tarafından gerçekleştirildiğini söyledi. Bu değerlendirmeyi “çok sayıda komut hatası” tespit ettikten sonra, uzak masaüstü protokolü gibi GUI etkileşimlerine bir güven ve hafta sonlarını içeren tutarlı bir çalışma programı yaptıktan sonra yaptılar. Farklı bilgisayar korsanlarının farklı stilleri vardı.
Fortinet, Tahran’ın kurbanın ağına nüfuz etme girişimlerine devam edeceğini söyledi.