ABD Kritik Altyapısı Yeni Bir Tehditle Karşı Karşıya: UAT-10027 ve Dohdoor
Siber güvenlik dünyasında sürekli bir tehdit ortamı hüküm sürmektedir. Son dönemde Cisco Talos araştırmacıları, özellikle ABD'deki kritik sektörleri hedef alan yeni ve daha önce belgelenmemiş bir tehdit aktivite kümesini mercek altına aldı. Bu küme, UAT-10027 olarak adlandırıldı ve Aralık 2025'ten bu yana aktif olarak ABD eğitim ve sağlık sektörlerine sızmaya çalışıyor.
Bu tehdit kampanyasının temel amacı, siber suçlular için uzun vadeli ve gizli erişim sağlamayı hedefleyen, daha önce hiç görülmemiş bir arka kapı yazılımı olan 'Dohdoor'u sisteme yerleştirmektir. Güvenlik profesyonelleri için bu, sadece yeni bir zararlı yazılımın ortaya çıkmasından öte, saldırganların kullandığı iletişim yöntemlerindeki gelişmişliği de işaret etmektedir.
Dohdoor: DNS-over-HTTPS (DoH) Tabanlı Gizlenme Stratejisi
Dohdoor'un dikkat çekici özelliği, komuta ve kontrol (C2) iletişimleri için DNS-over-HTTPS (DoH) protokolünü kullanmasıdır. DoH, DNS sorgularını şifreleyerek trafiği HTTPS üzerinden ilettiği için, geleneksel ağ izleme ve güvenlik duvarı mekanizmalarının bu trafiği zararlı olarak tespit etmesini son derece zorlaştırmaktadır. Bu durum, UAT-10027 grubunun sofistike bir gizlenme tekniği benimsediğini göstermektedir.
Neden Eğitim ve Sağlık Sektörleri Hedef Alınıyor?
Eğitim kurumları ve sağlık kuruluşları, genellikle zengin kişisel veri (PII) ve hassas araştırma verileri barındırdıkları için siber suçluların cazip hedefleridir. Ayrıca, bu sektörlerdeki operasyonel süreklilik baskısı, güvenlik yamalarının gecikmesine veya zayıf güvenlik kontrollerine yol açabilmektedir. UAT-10027'nin bu iki sektöre odaklanması, veri çalma veya hizmet kesintisi yoluyla finansal kazanç elde etme niyetini güçlendiriyor.
- Hedef Odaklanma: ABD Eğitim Kurumları ve Sağlık Sistemleri.
- Tehdit Aktörü: Cisco Talos tarafından UAT-10027 olarak izleniyor.
- Temel Yük: Dohdoor arka kapısı.
- Kaçınma Tekniği: DNS-over-HTTPS (DoH) kullanarak C2 iletişimini gizleme.
BT Yöneticileri İçin Önleyici Adımlar
Bu tür gelişmiş tehditlere karşı koymak için kurumların savunma stratejilerini güncellemesi şarttır. Sadece geleneksel imzaya dayalı çözümler artık yeterli değildir:
- Gelişmiş Ağ İzleme: DoH trafiğini analiz edebilecek veya kısıtlayabilecek araçların entegrasyonu.
- Sıfır Güven Mimarisi: Ağ içi hareketliliği kısıtlamak ve yetkilendirmeleri sıkılaştırmak.
- Sürekli Yama Yönetimi: Bilinen zafiyetlere karşı sistemlerin güncel tutulması.
UAT-10027'nin faaliyetleri, siber güvenlik topluluğuna, modern tehditlerin yalnızca kötü amaçlı yazılımların kendisinde değil, aynı zamanda bu yazılımların altyapıyı nasıl kullandığında da yattığını hatırlatmaktadır.
