Amazon Tehdit İstihbaratı ekibi, müşterilerin bulut altyapısını hedef alan Rus yabancı askeri istihbarat teşkilatı GRU için çalışan bilgisayar korsanlarıyla ilişkilendirilen aktif operasyonları sekteye uğrattı.
Bulut hizmetleri sağlayıcısı, 2021’de başlayan faaliyetlerde Batı’nın kritik altyapısına, özellikle de enerji sektörüne odaklanıldığını gözlemledi.
Tehdit aktörü zaman içinde güvenlik açıklarından (sıfır gün ve bilinenler) faydalanmaktan, ilk erişim için yanlış yapılandırılmış uç cihazlardan yararlanmaya yöneldi.
Daha az güvenlik açığından yararlanıldı
Amazon Integrated Security’nin CISO’su CJ Moses, “yıllar süren” kampanyanın 2024 yılına kadar birincil ilk erişim vektörü olarak WatchGuard, Confluence ve Veeam’deki birden fazla güvenlik açığından yararlandığını ve yanlış yapılandırılmış cihazları hedef aldığını belirtiyor.
Ancak bu yıl tehdit aktörü, güvenlik açıklarına daha az güvenerek kurumsal yönlendiriciler, VPN ağ geçitleri, ağ yönetimi cihazları, işbirliği platformları ve bulut tabanlı proje yönetimi çözümleri gibi yanlış yapılandırılmış müşteri ağı uç cihazlarını hedeflemeye daha fazla güvendi.
Moses, “Muhtemelen yanlış yapılandırılmış müşteri cihazlarının açığa çıkan yönetim arayüzlerine sahip ‘alçak meyvesini’ hedeflemek, kritik altyapı ağlarına kalıcı erişim ve mağdur kuruluşların çevrimiçi hizmetlerine erişim için kimlik bilgileri toplama anlamına gelen aynı stratejik hedeflere ulaşıyor” diye açıklıyor.
“Tehdit aktörünün operasyonel tempodaki değişimi endişe verici bir evrimi temsil ediyor: Müşteri yanlış yapılandırma hedeflemesi en az 2022’den beri devam ederken, aktör 2025’te bu faaliyete sürekli odaklanmayı sürdürürken sıfır gün ve N gün istismarına yapılan yatırımı azalttı” diye ekledi.
Ancak taktiksel evrim, grubun operasyonel hedeflerinde herhangi bir değişiklik yansıtmıyordu: kimlik bilgilerinin çalınması ve kurban ağında mümkün olduğunca az açığa çıkma ve mümkün olduğunca az kaynakla yatay olarak hareket edilmesi.
Amazon, Sandworm (APT44, Seashell Blizzard) ve Curly COMrades saldırılarında görülen hedefleme modellerine ve altyapıdaki çakışmalara dayanarak, gözlemlenen saldırıların Rus GRU için çalışan bilgisayar korsanları tarafından gerçekleştirildiğini yüksek bir güvenle değerlendiriyor.
Amazon, ilk olarak Bitdefender tarafından bildirilen Curly COMRades bilgisayar korsanlarının, birden fazla özel alt kümeyi içeren daha geniş bir GRU kampanyasında uzlaşma sonrası faaliyetlerle görevlendirilebileceğine inanıyor.
Ağda yayılıyor
Amazon, çıkarma mekanizmasını doğrudan gözlemlemese de, cihazın güvenliğinin ihlal edilmesi ile kimlik bilgilerinin kullanılması ve kuruluş kimlik bilgilerinin kötüye kullanılması arasındaki gecikmeler şeklindeki kanıtlar, pasif paket yakalama ve trafiğe müdahale edilmesine işaret ediyor.
Güvenliği ihlal edilen cihazlar, AWS EC2 bulut sunucularında barındırılan, müşteri tarafından yönetilen ağ cihazlarıydı ve Amazon, saldırıların AWS hizmetindeki kusurlardan yararlanmadığını belirtti.
Amazon, saldırıları keşfettikten sonra güvenliği ihlal edilmiş EC2 bulut sunucularını korumak için derhal harekete geçti ve etkilenen müşterileri ihlal konusunda bilgilendirdi. Dahası, etkilenen satıcılar ve sektör ortaklarıyla istihbarat paylaştılar.
Amazon, “Koordineli çabalar sayesinde, bu aktiviteyi keşfetmemizden bu yana, aktif tehdit aktörü operasyonlarını aksattık ve bu tehdit aktivitesi alt kümesinin kullanabileceği saldırı yüzeyini azalttık” dedi.
Amazon, raporunda rahatsız edici IP adreslerini paylaştı ancak bunlar, tehdit aktörünün trafiğini proxy olarak ele geçirmek için tehlikeye attığı meşru sunucular olduğundan, önce bağlamsal bir araştırma yapmadan bu IP adreslerini engellememesi konusunda uyardı.
Şirket ayrıca gelecek yıl için ağ cihazlarının denetlenmesi, kimlik bilgileri tekrarlama etkinliğinin izlenmesi ve idari portallara erişimin izlenmesi gibi bir dizi “acil öncelikli eylem” önerdi.
Özellikle AWS ortamlarında yönetim arayüzlerinin izole edilmesi, güvenlik gruplarının kısıtlanması ve CloudTrail, GuardDuty ve VPC Flow Logs’un etkinleştirilmesi önerilir.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, “iyi” IAM’nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.