İran’a Yönelik Siber Saldırı: CanisterWorm Veri Silme Tehdidi

İran’a Yönelik Yeni Siber Saldırı: CanisterWorm Tehdidi

Finansal motivasyonlu bir siber suç grubu, İran’a karşı siber saldırılar düzenlemek için yeni bir veri silme solucanı (worm) kullanmaya başladı. CanisterWorm adı verilen bu zararlı yazılım, İran saat dilimini kullanan veya Farsça dil ayarı olan sistemlerdeki verileri hedef alarak silme işlemi gerçekleştiriyor.

Güvenlik uzmanları, saldırının bu hafta sonu başladığını ve TeamPCP adlı görece yeni bir siber suç grubu tarafından yürütüldüğünü açıkladı. Grubun Aralık 2025’ten itibaren kurumsal bulut ortamlarını hedef aldığı ve maruz kalan Docker API’leri, Kubernetes kümeleri, Redis sunucuları ile React2Shell güvenlik açığını kullanarak saldırılarını genişlettiği belirlendi.

TeamPCP’nin Saldırı Yöntemleri

TeamPCP, saldırılarında açık kontrol düzlemlerini (exposed control planes) hedef alarak, son kullanıcı cihazlarından ziyade bulut altyapısına odaklanıyor. Güvenlik firması Flare tarafından yapılan analizde, saldırıların %61’inin Azure, %36’sının ise AWS üzerinde gerçekleştiği tespit edildi.

"TeamPCP’nin gücü, yeni exploitlerden veya özgün kötü amaçlı yazılımlardan değil, büyük ölçekli otomasyon ve iyi bilinen saldırı tekniklerinin entegrasyonundan geliyor."
— Assaf Morag, Flare Güvenlik Araştırmacısı

Grup, var olan güvenlik açıklarını, yanlış yapılandırmaları ve yeniden kullanılan araçları bir araya getirerek kendi kendini yayan bir suç ekosistemi oluşturuyor.

Trivy Saldırısı ve Sonrasında Gelişen Tehdit

19 Mart tarihinde TeamPCP, Aqua Security’nin Trivy adlı güvenlik açığı tarayıcısına tedarik zinciri saldırısı gerçekleştirdi. Saldırganlar, GitHub Actions üzerinden resmi yayınlara kötü amaçlı yazılım enjekte ederek kullanıcıların SSH anahtarları, bulut kimlik bilgileri, Kubernetes token’ları ve kripto cüzdanlarını çalmayı başardı.

Aqua Security, zararlı dosyaları kaldırdığını açıklasa da güvenlik firması Wiz, saldırganların kullanıcı verilerine erişmeyi başardığını doğruladı.

CanisterWorm’un İran’a Özel Saldırıları

Güvenlik araştırmacısı Charlie Eriksen, TeamPCP’nin Trivy saldırısında kullandığı teknik altyapının, bu hafta sonu yeni bir veri silme saldırısı için kullanıldığını belirtti. Eriksen’e göre, zararlı yazılım İran saat dilimini veya Farsça dil ayarını tespit ettiğinde, sistemdeki verileri silmeye başlıyor.

"Eğer kurban İran’da bulunuyorsa ve Kubernetes kümesine erişimi varsa, saldırı tüm düğümlerdeki verileri yok ediyor. Aksi takdirde sadece yerel makinedeki verileri siliyor."
— Charlie Eriksen, Aikido Güvenlik Araştırmacısı

CanisterWorm’un Teknik Altyapısı

Aikido, TeamPCP’nin altyapısını "CanisterWorm" olarak adlandırıyor. Grup, saldırılarını Internet Computer Protocol (ICP) canister’ları adı verilen, blokzincir tabanlı "akıllı sözleşmeler" aracılığıyla yönetiyor. Bu canister’lar, web içeriğini doğrudan ziyaretçilere sunabiliyor ve dağıtık mimarileri sayesinde kapatma girişimlerine karşı dirençli oluyor.

ICP canister’ları, operatörler sanal para ücretlerini ödemeye devam ettiği sürece çevrimiçi kalmaya devam ediyor. Eriksen, TeamPCP’nin Telegram grubunda saldırılarından övünerek bahsettiğini ve büyük şirketlerden hassas veriler çaldıklarını iddia ettiklerini belirtti.

Uzmanlardan Uyarılar ve Korunma Yöntemleri

Uzmanlar, şirketlerin aşağıdaki önlemleri almasını öneriyor:

• Bulut ortamlarının güvenlik açıklarını düzenli olarak tarayarak kapatmak,
• Docker, Kubernetes ve Redis gibi açık kaynaklı sistemlerin güvenlik ayarlarını güçlendirmek,
• Tedarik zinciri saldırılarına karşı üçüncü taraf yazılımları dikkatlice incelemek,
• Çalışanlara siber güvenlik eğitimi vererek farkındalığı artırmak.

TeamPCP’nin saldırılarının devam etmesi ve yeni hedeflere yönelmesi bekleniyor. Şirketlerin acilen gerekli güvenlik önlemlerini alması gerektiği vurgulanıyor.