İranlı Hackerlar Şirketlere Sızmak İçin VPN’e Saldırıyor

Geçtiğimiz yıl Pulse Secure, Palo Alto Networks, Fortinet ve Citrix gibi çok sayıda kurumsal VPN sunucusu, büyük güvenlik sorunları ile karşı karşıya kalmıştı. İsrail merkezli siber güvenlik firması ClearSky tarafından yayınlanan yeni bir rapor, İran’ın devlet destekli hacker ordusunun geçen yıl tüm dünyadaki şirketlere sızmak ve arka kapılara girmek için VPN servislerindeki güvenlik kusurlarından yararlandığını ortaya koyuyor.

Rapora göre İranlı hackerlar, geçtiğimiz yıl en çok bilişim teknolojisi, telekomünikasyon, petrol, doğalgaz, havacılık ve güvenlik alanında faaliyet gösteren şirketi hedef aldı. Rapor, İranlı bilgisayar korsanlarının Rus, Çinli veya Kuzey Koreli hackerlar kadar tehlikeli olduğunu gösteriyor.

ClearSky, devlet tarafından desteklenen İranlı bilgisayar korsanlarının, saldırı yeteneklerini geliştirdiklerini ve güvenlik açıklarından çok kısa sürelerde yararlanabildiklerini söylüyor. İsrailli şirket, 2019 yılında İranlı grupların, Pulse Secure “Connect” VPN (CVE-2019-11510), Fortinet FortiOS VPN (CVE-2018-13379) ve Palo Alto Networks “Global Protect” servislerinde tespit edilen güvenlik açıklarını kullanarak birçok siber saldırı gerçekleştirdiğini belirtiyor. 

ClearSky’ın raporuna göre bu saldırıların amacı, kurumsal ağlara sızmak ve daha sonraki bir tarihte yapılacak saldırılar için sistemlerde arka kapılar yaratmak. İranlı bilgisayar korsanları, aynı anda iki veya daha fazla tuşa basmakta zorluk çeken kişiler için tasarlanmış bir erişim özelliği olan ‘Yapışkan Tuşlar’ aracılığıyla Windows sistemlerine sızmış durumda. JuicyPotato ve Invoke the Hash gibi açık kaynaklı hack araçlarından da faydalanan hackerlar, Putty, Plink, Ngrok, Serveo veya FRP gibi yasal sysadmin yazılımlarını da kullanmışlar.

ClearSky’ın raporu, dünyadaki VPN sunucularına yönelik saldırıların arkasında en az üç İranlı hacker grubunun olduğuna dikkat çekiyor. İranlı hackerların geçmişte görülmemiş bir iş birliği sergilediği belirtilen raporda, saldırıların müthiş bir koordinasyonla gerçekleştirildiği ifade ediliyor. Geçtiğimiz hafta güvenlik araştırmacıları, SonicWall SRA ve SMA VPN sunucularında altı farklı güvenlik açığı keşfettiklerini açıklamışlardı. Habere göre İranlı bilgisayar korsanlarının bir sonraki hedefi, büyük olasılıkla bu servisler olacak.