İranlı hackerlar, Orta Doğu’daki altyapı sistemlerine iki yıl boyunca kesintisiz erişim sağladı. VPN açıkları kullanarak sistemlere sızdılar ve özel yazılımlar yükleyerek gizlice kalıcılık elde ettiler. Bu saldırı, devlet destekli hacker gruplarının uzun vadeli siber casusluk faaliyetlerini nasıl yürüttüğünü gözler önüne seriyor.
Saldırının Aşamaları
İranlı hackerlar, saldırıyı dört aşamada gerçekleştirdi. Her aşama, saldırının başarısını pekiştirdi. Böylece, hackerlar tüm süreç boyunca etkili bir şekilde ilerleyebildiler.
1. Aşama: VPN Açıklarıyla İlk Erişim (Mayıs 2023 – Nisan 2024)
İlk olarak, hackerlar çalınan kimlik bilgileriyle VPN sistemlerine girdi. Bu girişle birlikte, web shell yükleyerek sistemlerde kalıcılık sağladılar. Ayrıca, Havoc, HanifNet ve HXLibrary gibi zararlı yazılımlar kullanılarak sistemlere tam erişim sağlandı. Sonuç olarak, hackerlar sistemlere kalıcı bir şekilde sızdılar ve sızdıkları sistemlere daha derinlemesine erişim elde ettiler.
2. Aşama: Derinlemesine Sızma (Nisan – Kasım 2024)
Ardından hackerlar, NeoExpressRAT adlı bir zararlı yazılım yüklediler. Bu yazılım, sistemleri daha derinlemesine ele geçirmek için Ngrok ve Plink araçlarıyla ağ geçişi sağladı. Bu dönemde, hackerlar sanallaştırma altyapısına ve e-posta içeriklerine de ulaştılar. Böylece, hackerlar daha fazla kaynağa erişim sağlayarak saldırılarını genişlettiler.
3. Aşama: Güvenlik Önlemlerine Karşı Hamle (Kasım – Aralık 2024)
Kuruluşlar, saldırıyı fark etmeye başladı. Hackerlar buna karşılık olarak MeshCentral Agent ve SystemBC gibi araçları kullanarak kontrollerini sürdürdü. Böylece, sistemlerdeki varlıklarını devam ettirdiler ve saldırıyı daha da derinleştirdiler. Ayrıca, hackerlar hızla uyum sağladı ve sızmayı sürdürdü.
4. Aşama: Güvenlik Açıklarından Yararlanma ve Oltalama (Aralık 2024 – Şubat 2025)
Son olarak, hackerlar Biotime cihazlarındaki CVE-2023-38950, -51 ve -52 açıklarını kullandılar. Ayrıca, çalışanlara oltalama e-postaları göndererek Microsoft 365 hesaplarına erişim sağlamak için giriş bilgilerini ele geçirmeye çalıştılar. Bu son aşama, hackerların daha da sofistike hale geldiğini ve hedeflerine yönelik stratejilerini geliştirdiklerini gösterdi.
Kullanılan Zararlı Yazılımlar ve Araçlar
Hackerlar, sisteme sızmak ve verileri ele geçirmek için birkaç özel yazılım kullandı. İşte bazıları:
- HanifNet: Uzaktan komut alabilen .NET tabanlı bir arka kapı.
- HXLibrary: Google Docs üzerinden veri ileten bir modül.
- CredInterceptor: LSASS belleğinden şifreleri çeken bir DLL.
- RemoteInjector: Kod enjeksiyonu gerçekleştiren bir araç.
Bu araçlar, hackerların tespit edilmeden uzun süre sistemlere erişim sağlamalarına yardımcı oldu. Bununla birlikte, kullanılan bu zararlı yazılımlar saldırganların hızlı bir şekilde sızmalarını sağladı ve böylece fark edilmelerini engelledi.
Hackerların Amacı Ne?
Bu saldırı sadece bilgi çalmakla kalmadı. Hackerlar, uzun vadeli erişim sağladılar ve gelecekteki siber operasyonlar için sistemleri hazırladılar. Bu saldırılar, devlet destekli hacker gruplarının ne kadar sofistike ve organize olduklarını gösteriyor. Ayrıca, siber tehditlerin giderek daha karmaşık hale geldiğini ve daha uzun süreli saldırılara dönüştüğünü gözler önüne seriyor.
Kuruluşlar Ne Yapmalı?
Her kuruluş, bu tür saldırılara karşı önlem almak zorunda. İşte alınması gereken bazı önlemler:
- VPN altyapısını sürekli güncel tutun.
- Personelin oltalama saldırılarına karşı eğitim almasını sağlayın.
- Çok faktörlü kimlik doğrulama (MFA) kullanın.
- Şüpheli ağ aktivitelerini izleyin ve hızlı müdahale planları oluşturun.
Günümüzün siber tehditlerine karşı sadece güvenlik yazılımları yetmez; sürekli bir farkındalık ve proaktif yaklaşım gereklidir. Bu tür saldırılara karşı hazırlıklı olmak, kuruluşların uzun vadeli güvenliğini sağlayacaktır.
Kaynak : https://thehackernews.com/2025/05/iranian-hackers-maintain-2-year-access.html
📰 Bu içerik privnews.com için hazırlanmıştır. Güncel dijital tehditlerden haberdar olmak için bizi takip etmeye devam edin.
