Siber suçluları alt etmeye yönelik stratejik bir hamleyle, siber güvenlik araştırmacılarından oluşan özel bir ekip, dijital bulut alanı içinde fabrikasyon kişisel verilerin oluşturulması ve stratejik olarak saklanmasına odaklanan bir operasyon tasarladı.
Yem kuruldu, tuzak kuruldu ve uzmanlar bilgisayar korsanlarının farkında olmadan bir aldatma ağına adım atmasını beklerken zaman işlemeye başladı.
VPN ve siber güvenlik araçları ve hizmetleri sunan vpnMentor, bilgisayar korsanlarının ilk önce hangi veri kaynağını hackleme olasılıklarının yüksek olduğuna göre hacker davranışını değerlendirmeleri için bir balküpü oluşturdu.
Siber Güvenlik Araştırmacıları Tarafından Hackerlara Yönelik Yanıltıcı Balküpü Belirlendi
Siber güvenlik araştırmacıları sahte kişisel veriler oluşturdu, bunları bulutta sakladı ve bilgisayar korsanlarının bu verilere erişmesini bekledi. Planlanan veri sürümü, diğerlerinin yanı sıra 14 Amazon AWS S3 paketini ve 1 Google Cloud Storage sunucusunu içeriyordu.
Hacker bal küpü, 29 Nisan 2021’den 14 Temmuz 2022’ye kadar 450 günü kapsayan geniş bir süre boyunca açıkça açığa çıktı.
Deneyin Odak Noktası: Yaygın Hacker Davranışlarını ve Eylemlerini Keşfetmek:
- Bilgisayar korsanları açığa çıkan veritabanlarını ne kadar sürede tespit edebilir?
- Saklanan verilerin farklı ayarları veri hacklemeyi nasıl etkiler?
- Hangi veri türleri siber suçluların ilgisini daha çok çekti?
- Bilgisayar korsanlarının dikkatini hangi coğrafi bölgeler çekiyor?
Bilgisayar korsanlarının yukarıdaki soruların yanıtlarını bulmaları için bal küpünün ayrıntıları: –
- Yeni bir dolandırıcılık önleme şirketi adına bir web sitesi oluşturuldu.
- Web sitesinde, bilgisayar korsanlarının bilgilerin gerçekliğini doğrulamak isteyebileceği her ayrıntı vardı. Buna şirketin sahibi ayrıntıları ve yeni oluşturulan e-postalar da dahildi.
- 1 Azure Blob Depolama sunucusu.
- Şirketin adını taşıyan 12 kova ve 10’u diğer S3 kova bulma yazılımından önek ve son eklere sahip.
- 21.089 hayali kişiye ait kaynak kodları, veri tabanı dosyaları, faturalar ve CSV dosyaları ile adları, e-posta adresleri ve telefon numaralarının yer aldığı 7 GB tutarındaki sahte veriler bilgisayar korsanlarının eline geçti.
Veriler, ABD’nin 6.480’e kadar en fazla kullanıcıya sahip olduğu ülkelere göre ayrıldı.
Hackerlar için Balküpünün Sonuçları
3 Haziran 2020’de sahte dolandırıcılık tespit hizmetleri web sitesi yayınlandı. vpnMentor raporuna göre, 24 Haziran’da bal küpü ilk kez CloudFront proxy’si olmadan ziyaret edildi; bu, kötü niyetli bir aktörün kasıtlı olarak uygunsuz şekilde ayarlanmış veya güvenli olmayan S3 paketlerini aradığına işaret ediyor.
Hırvatistan’dan bir ziyaretçi, Go programlama dilinde kodlanmış otomatik bir araç kullanarak paketlere erişti.
Günde yapılan yaklaşık 1.720 talebin %99’undan fazlasının kötü niyetli olduğu tespit edildi. Araştırmacılar, kovalara şirket isminden farklı isim vermenin herhangi bir ek güvenlik sağlamadığını tespit etti.
Bunun yerine, genel adı olan bir AWS S3 klasörü hâlâ siber suçlular tarafından bulundu. Açığa çıkan klasörlere yetkisiz erişimin izlenmesi, siber suçluların aynı şirket adına sahip alternatif klasör adları aradığını gösterdi.
Araştırmacılar Test Edilen On Araç Arasında Üç Açık Kaynak S3 Keşif Aracını Onayladı:
- Dosya ekleri için PyLazyS3-[website]
- için müfettiş [website]-dahili-mesafe
- webdisk.billing için birikme-[website]
Honeypot Veri Erişimine Dayalı Siber Suç Davranışlarına İlişkin Analizler
- Bilgisayar korsanları, bir ipucu olup olmadığına bakılmaksızın bir eşleşme belirlemek için depolama adlarını tarar.
- Bilgisayar korsanları, web sitelerini depolama sunucularına bağlantılar bulmak için tarar ve sunuculara erişmek için bağlantıları bir kırıntı izi olarak takip eder.
- Bilgisayar korsanları belirledikleri dosya adlarından farklı paket adları ararlar. Bu onların kontrol sunucularına ulaşmalarına yardımcı olabilir.
- Siber suçluların kötü niyetli olarak belirli konumlardan dosyalara erişmesi, bu girişimlerin çoğunlukla jeopolitik faktörlerden kaynaklandığını gösterdi.
- En çok CSV dosyalarının indirilmesi, bu dosyaların içindeki kullanıcı bilgilerinin onları en çok cezbettiğini gösteriyor.
CSV dosyalarına en az Çin olarak işaretlenen klasörlerde erişildi ve en çok ABD indirildi.
Çin kökenli bilgisayar korsanlarının oluşturduğu tehdide değinen raporda, “Çin merkezli bilgisayar korsanları ABD ve diğer Batı ülkelerindeki kurumsal ve hükümet kaynaklarını defalarca ihlal etti” denildi.
Bir yıldan fazla süren testte Google Cloud Storage ve Azure Blob Storage sunucularının siber suçlular tarafından tespit edilemediği sonucuna varıldı.
Bunun nedeni, sıcak bağlantılı olmamalarına ve kaba kuvvet kullanılarak tespit edilmelerini engelleyen şirket adına sahip olmalarına atfedildi.
Veri güvenliği ve depolama, dünya çapındaki kuruluşlar ve hükümetler için acil bir endişe kaynağıdır. Bulut depolamayı herkes için erişilebilir hale getiren benzer deneyler, bilgisayar korsanları ve tüm veri depolama alanlarını nasıl buldukları hakkında bilgi sağlayabilir. Azure Blob Depolamanın erişiminin karmaşık olduğu, bunun bilgisayar korsanları için zorluk teşkil ettiği düşünülüyor.
Bulgular, BT ekipleri tarafından, izinsiz erişimi uzak tutarken verileri daha etkili bir şekilde korumak için kullanılabilir.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Siber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.