Bulut Güvenliği, Güvenlik Operasyonları
Bilgisayar Korsanları S3 Nesnelerini Yeniden Şifrelemek İçin Geçerli Müşteri Kimlik Bilgilerini Kullanıyor
Akşaya Asokan (asokan_akshaya) •
20 Ocak 2025
Amazon Web Services, platformu hedef alan fidye yazılımı saldırılarına ilişkin raporların ardından müşterilerini S3 paketlerini güvence altına almak için ek güvenlik önlemleri almaya çağırıyor.
Ayrıca bakınız: Yapay Zeka, Bulut ve Siber Tehditler: Finansal Sektör Hayatta Kalma Rehberi
Amazon, bir uyarıda, kötü niyetli aktörlerin meşru müşteri kimlik bilgilerini kullanarak Amazon S3 klasörlerinde depolanan verileri yeniden şifrelediğini söyledi. Saldırılar, Amazon tarafından şifreleme anahtarlarını saklamadan güvenli bir şekilde işlemek için kullanılan istemci tarafından sağlanan anahtarları kullanarak uygulamanın sunucu tarafı şifrelemesini veya SSE-C’yi hedef aldı.
Şirket, saldırıların ayrıntılarını açıklamadı ancak S3 dosya kopyalama özelliğine bağlı “çok sayıda” işlem tespit ettiğini ekledi CopyObject. Bilgisayar korsanı, nesnelerin üzerine yazmak için SSE-C’yi kullanarak “müşteri verilerinin yeni bir şifreleme anahtarıyla” yeniden şifrelenmesine neden oldu.
Şirket, saldırıları hafifletebilse de, bilgisayar korsanlarının meşru müşteri kimlik bilgilerini kullanması nedeniyle “geçerli kullanımı kötü amaçlı kullanımdan güvenilir bir şekilde ayırmanın” zor olduğunu söyledi. Şirket, müşterilerini S3 ortamlarının güvenliğini sağlamak için ek güvenlik önlemleri almaya çağırıyor.
Bunlar arasında, kullanılmayan uygulamalar için şifreleme olarak SSE-C’nin engellenmesi, bir nesnenin birden fazla sürümünü tutmak için S3 sürümü aracılığıyla veri kurtarmanın uygulanması ve kritik verilerin yedeklerinin farklı bir klasöre kopyalanması veya paylaşılması yer alır.
Amazon, “Bu hafifletmeler, girişimlerin büyük bir kısmının başarılı olmasını zaten engelledi” dedi.
Şirketin uyarısı, güvenlik firması Halcyon RISE’ın AWS S3 paketlerinden yararlanan bir fidye yazılımı kampanyasını ortaya çıkarmasından birkaç gün sonra geldi. Güvenlik firması, kampanyayı Codefinger olarak takip ettiği bir tehdit grubuna bağladı (bkz.: Fidye Yazılımı Kampanyası Amazon S3 Kovalarını Hedefliyor).
Kampanya, saldırganların AWS anahtarlarını S3 nesnelerini okuma ve yazma izinleriyle tanımlamasıyla başladı. Saldırganlar, yerel olarak oluşturulan ve depolanan bir AES-256 anahtarını kullanarak şifrelemeyi başlattı.
AWS, anahtarı işlerken yalnızca HMAC’yi günlüğe kaydettiği için (ki bu, anahtarı yeniden oluşturmak veya verilerin şifresini çözmek için yeterli değildir), bilgisayar korsanlarının SSE-C’nin yaşam döngüsü yönetimi politikalarını değiştirmesine olanak tanıdı. Saldırganlar, kurbanları fidyeyi ödemeye zorlamak için yedi günlük bir veri silme süresi belirledi.
Halcyon RISE, saldırı taktiklerinin kalıcı veri kaybına yol açabileceği ve saldırganların kurban kuruluşun tüm BT altyapısını tehlikeye atmasına izin verebileceği için önemli riskler oluşturduğunu söyledi.