Bulut Güvenliği , Siber Savaş / Ulus-Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
Five Eyes Siber Ajansları, Kremlin Hackerlarının Kurbanları Bulutta Takip Ettiğini Söyledi
Akşaya Asokan (asokan_akshaya) •
26 Şubat 2024
Uluslararası siber ajanslardan gelen bir uyarıya göre, APT29 veya Cosy Bear olarak bilinen Rus istihbarat korsanlığı grubu, kurumsal buluta geçişe uygun hackleme teknikleriyle yanıt veriyor.
Ayrıca bakınız: İsteğe Bağlı | Google Cloud ile Güvenli Başlayın ve Güvende Kalın
Biden yönetimi, Midnight Blizzard ve Dukes olarak da bilinen tehdit aktörünün Rus Dış İstihbarat Servisi’nin bir bileşeni olduğunu, 2021 yılında SolarWinds tarafından geliştirilen BT altyapı yazılımına bir arka kapı yerleştirmesi nedeniyle gruba parmak bastığını söyledi.
Grup, otomatik API çağrıları yapmak için kullanılan, hareketsiz hesapların veya hizmet hesaplarının şifresini kaba kuvvetle zorlama gibi teknikler kullanıyor. Birleşik Krallık, ABD, Kanada, Avustralya ve Yeni Zelanda’dan oluşan Beş Göz istihbarat ittifakının Pazartesi günü yaptığı bir uyarıda, hizmet hesaplarının genellikle çok faktörlü kimlik doğrulamasından yoksun olması nedeniyle tercih edilen hedefler olduğu belirtiliyor.
Bir zamanlar kuruluşlar kendi sunucularını ve yazılımlarını evrensel olarak yönetirken, kuruluşlar artık ana işlerine güç sağlamak için muhtemelen uzak altyapıya güveniyorlar; bu, bazılarının söylediğine göre birçok güvenlik endişesini hafifleten bir değişiklik. Ancak uyarının da işaret ettiği gibi uzak altyapı aynı zamanda yeni nesil güvenlik tehditlerinin de kaynağıdır. Danışmanlık Gartner’ın Kasım ayında yaptığı tahmine göre, AWS ve Google gibi genel bulut sağlayıcılarına dünya çapında yapılan harcamalar bu yıl 679 milyar dolara ulaşacak. Danışmanlık ayrıca önümüzdeki beş yıl içinde çoğu kuruluşun bulut platformlarını “inovasyon kolaylaştırıcı” veya “işleri aksatan” bir araç olarak değil, “iş gereği” olarak kullanacağını öngördü.
Tehdit istihbaratı firmaları, APT29’un Moskova’nın Ukrayna’ya karşı devam eden fetih savaşının bir parçası olarak küresel siber casusluk operasyonlarını güçlendirdiği konusunda uyardı. Kiev siber savunucuları Kasım ayında APT29’u birçok ülkenin büyükelçiliklerine yönelik saldırılar düzenlemekle suçladı. Ocak ayında Microsoft, tehdit aktörünün “üst düzey yöneticilerin” ve siber güvenlik ve hukuk departmanlarındaki çalışanların e-posta hesaplarından e-posta ve belgeleri çaldığını açıkladı (bkz: Microsoft: Rus Hackerlar Yöneticilerin E-postalarına Erişebildi).
APT29 ayrıca, parola sağlamadan hesaplara erişmek için bulut tabanlı kimlik doğrulama belirteçlerini de çalıyor. Saldırganların dikkatsizlik veya bıkkınlık nedeniyle oturum açma izni verene kadar oturum açma doğrulama isteklerini sürekli olarak kurbanların cihazlarına ileterek çok faktörlü kimlik doğrulamayı atladığı MFA bombalaması adı verilen bir teknik kullanıyor.
APT29 içeri girdikten sonra kendi cihazlarını ağa kaydederek kalıcılık kazanabilir. Ayrıca, internet trafiğini konut proxy’leri üzerinden çalıştırarak, saldırganlara konut ağlarından ve sistem yöneticilerinin şüphelerini artırma olasılığı daha düşük olan internet protokol adreslerinden bir çıkış noktası sağlayarak faaliyetlerini kamufle eder.