Güvenlik araştırmacıları, 2026 yılının Ocak-Mayıs ayları arasında ABD'deki profesyonel hizmetler, hukuk ve finans sektöründeki onlarca organizasyona yönelik finansal motivasyonlu bir veri hırsızlığı ve fidye operasyonunu ortaya çıkardı. Bu saldırılar, UNC3753 olarak adlandırılan tehdit aktörü tarafından gerçekleştirildiği tespit edildi.
Google Mandiant ve Google Threat Intelligence Group (GTIG) tarafından analiz edilen bu kampanya, saldırganların hem vishing (sesli sosyal mühendislik) hem de fiziksel müdahale gibi çok çeşitli saldırı vektörlerini bir arada kullanmasıyla dikkat çekiyor. Saldırılar, yalnızca dijital alanda kalmayıp, hedef kurumların fiziksel güvenlik açıklarından da faydalanılarak yürütüldü.
Saldırılar Nasıl Gerçekleştiriliyor?
UNC3753, operasyonlarında çok aşamalı bir yaklaşım benimsiyor. İlk aşamada, saldırganlar hedef kurumlardaki çalışanlara yönelik sanal saldırılar düzenliyor. Bu saldırılar, genellikle telefon aracılığıyla gerçekleştirilen vishing (sesli sosyal mühendislik) yöntemini içeriyor. Saldırganlar, çalışanları arıyor ve güvenilir bir kaynakmış gibi davranarak hassas bilgileri veya erişim izinlerini elde etmeye çalışıyor.
İkinci aşamada ise saldırganlar, fiziksel müdahale yöntemlerine başvuruyor. Bu kapsamda, hedef kurumların ofislerine veya veri merkezlerine gizlice girerek doğrudan veri hırsızlığı yapabiliyorlar. Bu fiziksel saldırılar, genellikle gece saatlerinde veya yoğun trafiğin olmadığı saatlerde gerçekleştiriliyor. Saldırganlar, güvenlik kameralarını devre dışı bırakma, kilitleri zorlama veya yetkisiz erişim sağlamak için sahte kimlikler kullanma gibi yöntemlere başvurabiliyor.
Hedef Kapsamı ve Etkileri
UNC3753 tarafından gerçekleştirilen bu saldırılar, profesyonel hizmetler, hukuk ve finans sektörlerindeki kurumları hedef alıyor. Bu sektörlerdeki kurumlar, genellikle hassas müşteri verileri, finansal bilgiler ve ticari sırlar gibi yüksek değere sahip verileri barındırıyor. Saldırganlar, bu verileri hem doğrudan çalmak hem de fidye talepleri için kullanmak amacıyla hedef alıyor.
Saldırılar sonucunda, hedef kurumlar veri kayıpları, itibar kayıpları ve finansal kayıplar gibi ciddi sonuçlarla karşı karşıya kalabiliyor. Ayrıca, saldırganlar tarafından çalınan verilerin açığa çıkarılması veya satılması durumunda, müşteri güveninin de zedelenmesi söz konusu olabiliyor.
Savunma Önlemleri ve Öneriler
UNC3753 gibi tehdit aktörlerine karşı kurumların alabileceği bir dizi savunma önlemi bulunuyor. Bunların başında çalışanlara yönelik sürekli güvenlik farkındalığı eğitimleri geliyor. Bu eğitimler, vishing saldırıları ve diğer sosyal mühendislik yöntemlerine karşı direnci artırabilir.
- Çok faktörlü kimlik doğrulama (MFA): Kurumlar, hassas sistemlere erişim için MFA kullanmalı ve bu sistemleri sürekli olarak güncellemelidir.
- Fiziksel güvenlik kontrolleri: Ofislerde ve veri merkezlerinde güvenlik kameraları, alarm sistemleri ve erişim kontrolleri gibi fiziksel güvenlik önlemleri güçlendirilmelidir.
- Sürekli izleme ve tehdit istihbaratı: Kurumlar, güvenlik olaylarını sürekli olarak izlemeli ve tehdit istihbaratından faydalanmalıdır.
- Yedekleme ve kurtarma planları: Kurumlar, veri kaybı durumunda hızlı bir şekilde kurtarma yapabilmek için düzenli yedeklemeler ve kurtarma planları oluşturmalıdır.
UNC3753 tarafından gerçekleştirilen bu saldırılar, siber güvenlik tehditlerinin sürekli evrildiğini ve kurumların hem dijital hem de fiziksel güvenlik önlemlerini aynı anda güçlendirmesi gerektiğini gösteriyor. Kurumlar, güvenlik stratejilerini sürekli olarak gözden geçirmeli ve güncellemelidir.
