Rus devleti destekli bilgisayar korsanları, Batı’nın kritik altyapısında yanlış yapılandırılmış ağ uç cihazlarına yönelik saldırıları yoğunlaştırıyor ve bu, 2025’in sonuna yaklaşırken önemli bir taktiksel değişime işaret ediyor.
Amazon Tehdit İstihbaratı’ndan alınan yeni bilgilere göre, Rusya’nın Ana İstihbarat Müdürlüğü (GRU) ve Sandworm/APT44/Seashell Blizzard kümesiyle yüksek güvenle bağlantılı olan bu kampanya, açıkta kalan, yanlış yapılandırılmış müşteri cihazlarının kalıcı erişim elde etmek, kimlik bilgilerini toplamak ve kritik sistemlere yanal olarak geçmek için sessizce kötüye kullanılması lehine açık güvenlik açığı istismarının önceliğini ortadan kaldırdı.
Tehdit aktörleri, öncelikli olarak yüksek profilli sıfır gün veya N gün saldırılarına güvenmek yerine, yanlış yapılandırılmış yönlendiricilerin, VPN yoğunlaştırıcılarının, uzaktan erişim ağ geçitlerinin ve açık yönetim arayüzlerine sahip ağ yönetimi cihazlarının “önemli meyvelerine” odaklandı.
Bu yaklaşım, kritik ağlara ve yüksek değerli kimlik bilgilerine kalıcı erişim sağlarken aynı stratejik faydaları sağlarken operasyonel riski ve tespite maruz kalmayı azaltır.
Saldırı Yöntemleri ve Teknikleri
Amazon’un telemetrisi, 2021 ile 2025 arasında kampanyanın istikrarlı bir şekilde geliştiğini gösteriyor. İlk aşamalar, WatchGuard cihazları (CVE-2022-26318) ve Atlassian Confluence kusurları (CVE-2021-26084, CVE-2023-22518) gibi bilinen güvenlik açıklarından yararlanmayı ve ardından Veeam’den yararlanmayı (CVE-2023-27532) içeriyordu.
Ancak 2025 yılına gelindiğinde, vurgu kararlı bir şekilde yanlış yapılandırılmış müşteri ağı uç cihazlarının sürekli hedeflenmesine doğru kaydı ve buna karşılık gelen sıfır gün ve N gün istismar aktivitesinde gözlemlenebilir bir düşüş yaşandı.
Ana hedefler, bulutta barındırılan ağ altyapısına sahip kuruluşların yanı sıra Kuzey Amerika ve Avrupa’daki enerji sektörü kuruluşları ve kritik altyapı sağlayıcılarıdır.
Yaygın olarak hedeflenen kaynaklar arasında kurumsal yönlendirme altyapısı, VPN ağ geçitleri, ağ cihazları, işbirliği ve wiki platformları ve bulut tabanlı proje yönetimi sistemleri yer alır.
Kampanya aynı zamanda Kuzey Amerika, Batı ve Doğu Avrupa ve Orta Doğu’yu kapsayan coğrafi kapsama alanıyla telekomünikasyon operatörlerini ve teknoloji/bulut hizmet sağlayıcılarını da kapsıyor ve enerji tedarik zincirine ve onun ana hizmet sağlayıcılarına geniş bir odaklanmayı yansıtıyor.
Kesin kimlik bilgisi çıkarma mekanizması doğrudan gözlemlenmemiş olsa da, birden fazla gösterge, paket yakalama ve trafik analizinin baskın teknik olduğunu göstermektedir.
Cihaz güvenliğinin ihlal edilmesi ile daha sonraki kimlik doğrulama girişimleri arasındaki zaman boşlukları, kurban organizasyonunun (cihaz yerine) kimlik bilgilerinin kullanılması ve Sandworm’un bilinen ağ trafiğine müdahale geçmişi, kimlik doğrulama verilerinin güvenliği ihlal edilmiş ağ uç cihazlarından pasif olarak toplandığı anlamına gelir.
Amazon, AWS’de barındırılan müşteri ağ uç cihazlarına yönelik koordineli operasyonlar rapor ederek temel nedenin AWS’deki herhangi bir kusurdan ziyade yanlış yapılandırma olduğunu vurguladı.
Azaltmalar
Aktör kontrollü IP’ler, müşterilerin ağ cihazı yazılımını çalıştıran tehlikeye atılmış EC2 bulut sunucularına kalıcı, etkileşimli bağlantılar sağladı ve bu da muhtemelen paket yakalamayı ve veri almayı kolaylaştırdı.
Çalınan kimlik bilgileri daha sonra, enerji hizmetleri, yönetilen güvenlik sağlayıcıları, işbirliği platformları, kaynak kodu depoları ve telekom operatörleri için kimlik doğrulama uç noktaları da dahil olmak üzere kurban kuruluşların çevrimiçi hizmetlerinde ve altyapılarında tekrar kullanıldı.
Gözlemlenen bazı girişimler başarısız oldu, ancak model, takip erişimi için bir kimlik bilgisi yeniden oynatma modelini açıkça göstermektedir.
Altyapının, Bitdefender tarafından bildirilen “Kıvırcık COMrades” etkinliğiyle örtüşmesi, daha geniş, modüler bir GRU kampanyası önermektedir.
Bitdefender, Hyper‑V kötüye kullanımı ve özel implantlar (CurlyShell/CurlCat) gibi uzlaşma sonrası ana bilgisayar tabanlı ticari uygulamaları öne çıkarırken, Amazon’un görünürlüğü ilk erişim ve bulut pivotlarına odaklanıyor.
Bu işbölümü, bir kümenin ağa girişe, diğerinin ısrar ve kaçınmaya odaklanması, yerleşik GRU operasyonel kalıplarıyla uyumludur.
Buna yanıt olarak Amazon, etkilenen müşterileri bilgilendirdi, tehlikeye atılan EC2 kaynaklarının iyileştirilmesini sağladı ve bu faaliyetin daha geniş çapta kesintiye uğramasını desteklemek için satıcılar ve iş ortaklarıyla istihbarat paylaştı.
2026’ya girerken kuruluşların, ağ uç cihazlarını agresif bir şekilde kilitlemeleri, açıktaki yönetim arayüzlerini ortadan kaldırmaları, güçlü kimlik doğrulama ve segmentasyonu uygulamaları ve bulut ve şirket içi hizmetler genelinde kimlik bilgilerinin tekrarlanması, cihaz yönetim portallarına anormal erişim ve şüpheli kimlik doğrulama kalıplarını yakından izlemeleri tavsiye ediliyor.
Amazon, AWS müşterileri için IAM’nin güçlendirilmesini, güvenlik gruplarının sıkılaştırılmasını, yönetim düzlemlerinin izole edilmesini, VPC Flow Logs, CloudTrail ve GuardDuty’nin etkinleştirilmesini ve GRU bağlantılı bu kalıcı tehdide karşı sürekli güvenlik açığı ve risk değerlendirmesi için Amazon Inspector’dan yararlanılmasını önermektedir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.