FortiBleed adı verilen geniş çaplı kimlik bilgisi hırsızlığı operasyonunun, Lynx ve INC fidye yazılımı gruplarıyla bağlantılı olduğu belirlendi. SOCRadar tarafından yürütülen son araştırma, Fortinet cihazlarından ele geçirilen kimlik bilgilerinin gelecekte gerçekleştirilecek ağ sızmaları ve fidye yazılımı saldırılarında kullanılmak üzere toplandığını ortaya koydu. Bulgular, operasyonun ilk değerlendirmelerden çok daha büyük bir ölçeğe ulaştığını gösteriyor.

Araştırma Fidye Yazılımı Panellerine Kadar Ulaşan İzler Ortaya Çıkardı

SOCRadar Tehdit Araştırma Birimi, FortiBleed operasyonunda kullanılan bir Windows sunucusunu inceleyerek saldırganların faaliyetlerine ilişkin yeni kanıtlar elde etti. Araştırmacılar, sunucuda bulunan dijital izlerin Lynx ile INC fidye yazılımı gruplarının yönetim panellerine erişildiğini gösterdiğini açıkladı. İnceleme sırasında ele geçirilen tarayıcı oturumlarında, fidye görüşmelerinin yürütüldüğü yönetim ekranlarının açık olduğu tespit edildi.

Araştırmacılara göre bu bulgular, FortiBleed altyapısına erişimi bulunan en az bir kişinin aynı zamanda iki fidye yazılımı operasyonunda da aktif rol aldığını gösteriyor. Güvenlik ekibi, bu ilişkinin yalnızca teknik benzerliklerden ibaret olmadığını, doğrudan operasyonel bağlantıya işaret eden güçlü kanıtlar içerdiğini belirtiyor.

Operasyon ilk kez bu ayın başında internete açık bırakılan bir sunucunun keşfedilmesiyle gündeme gelmişti. Sunucuda on binlerce Fortinet cihazından ele geçirilen yapılandırma dosyaları, kullanıcı hesapları, VPN kimlik bilgileri ile parola kırma ve kimlik bilgisi deneme saldırılarında kullanılan araçlar bulunmuştu. Araştırmacılar daha sonra FortiBleed adı verilen kampanyanın, özel olarak geliştirilen bir ağ dinleme aracıyla kimlik doğrulama verilerini doğrudan ağ trafiğinden topladığını ortaya çıkardı.

Operasyonun Boyutu İlk Tahminlerin Çok Üzerinde Çıktı

SOCRadar’ın güncel analizine göre saldırganlar dünya genelinde 430 binden fazla FortiGate güvenlik duvarını hedef aldı. İncelemeler, yaklaşık 19 bin cihaz üzerine trafik dinleme yazılımı yerleştirildiğini gösterirken etkilenen kuruluşların bilgilendirilmesinin ardından bu sayının yaklaşık 11 bine gerilediği belirtildi.

Araştırmacılar ayrıca ilk incelemelerde belirlenen altyapının çok ötesine geçerek saldırganlara ait 200’den fazla ek operasyon sunucusu tespit etti. Son analizlerde operasyon kapsamında kullanılan toplam sunucu sayısının yaklaşık 500’e ulaştığı ifade edildi. Elde edilen veriler, grubun yaklaşık 20 kişiden oluşan organize bir yapıyla hareket ettiğine ve üyelerin belirli görev dağılımına sahip olduğuna işaret ediyor.

Soruşturma sırasında saldırganların ilk erişimin ardından sistemlerde kalıcılık sağlamak amacıyla “adminin” kullanıcı adına sahip arka kapı hesapları oluşturduğu da belirlendi. Araştırmacılar ayrıca saldırganların erişim alanını genişletmek için henüz kamuoyuna açıklanmamış bir Nextcloud sıfırıncı gün açığını kullandığından şüpheleniyor. Teknik ayrıntılar ise güvenlik gerekçesiyle henüz paylaşılmış değil.

INC fidye yazılımı grubu 2023 yılının ortasından bu yana sağlık, eğitim, kamu ve özel sektör kuruluşlarını hedef alan fidye yazılımı hizmeti (RaaS) modeliyle faaliyet gösteriyor. 2024 yılında ortaya çıkan Lynx grubunun ise birçok güvenlik araştırmacısı tarafından INC operasyonunun yeniden markalanmış sürümü olduğu değerlendiriliyor. SOCRadar, saldırıya ilişkin teknik göstergeleri, ilişkilendirme bulgularını ve yeni analizleri içeren ikinci teknik raporunu soruşturma tamamlandıktan sonra yayımlayacağını açıkladı.

ITSTACK Hakkında

ITSTACK sizlere Bilgi Teknolojileri konusunda uzman ekibi ile 24/7 hizmet vermek için hazır! Detaylı bilgi için bize ulaşın.