Hazy Hawk: Tehdit Aktörlerinin Kötü Niyetli Faaliyetleri
Son dönemde siber güvenlik alanında Hazy Hawk adıyla bilinen bir tehdit aktörü dikkat çekiyor. Bu aktör, unutulmuş DNS CNAME kayıtlarını ele geçirerek, devlet kurumları, üniversiteler ve Fortune 500 şirketleri gibi güvenilir alt alanları kullanıyor. Amaçları, bu alt alanlardan sahte uygulamalar, dolandırıcılık içerikleri ve zararlı reklamlar dağıtmak.
Hazy Hawk’ın İşleyişi
Infoblox araştırmacılarına göre, Hazy Hawk ilk olarak abandon cloud hizmetlerine yönlendiren CNAME kayıtları içeren alanları tarıyor. Bu alanlar, pasif DNS verileriyle doğrulanıyor ve araştırmacılar, bu verilerle kullanılmayan alanları tespit ediyor. Ardından, terk edilmiş CNAME kaydındaki isimle aynı isme sahip yeni bir bulut kaynağı kaydediliyor. Bu sayede, orijinal alanın alt alanı tehdit aktörünün yeni bulut hizmetine yönlendirilmiş oluyor.
Kullanılan bu yöntem, birçok alanın kötü niyetli aktiviteleri gizlemesine veya dolandırıcılık içerikleri barındırmasına olanak tanıyor.
Ele Geçirilen Önemli Alanlar
Hazy Hawk’ın ele geçirdiği bazı dikkat çekici alanlar arasında şunlar yer alıyor:
- cdc.gov – ABD Hastalık Kontrol ve Önleme Merkezleri
- honeywell.com – Çok uluslu bir konglomerat
- berkeley.edu – Kaliforniya Üniversitesi, Berkeley
- michelin.co.uk – Michelin Lastikleri Birleşik Krallık
- ey.com ve pwc.com – Global "Büyük Dört" danışmanlık firmaları
- ted.com – Ünlü kâr amacı gütmeyen medya kuruluşu (TED Konuşmaları)
- health.gov.au – Avustralya Sağlık Bakanlığı
- unicef.org – Birleşmiş Milletler Çocuklara Yardım Fonu
- nyu.edu – New York Üniversitesi
- unilever.com – Global Tüketim Malları Şirketi
- ca.gov – Kaliforniya Eyalet Hükümeti
Infoblox raporunda, ele geçirilen tüm alanların eksiksiz bir listesi de yer alıyor.
Zararlı URL’lerin Üretimi ve Etkileri
Tehdit aktörü, bir alt alanı kontrolü altına aldıktan sonra, bu alan altında yüzlerce zararlı URL oluşturuyor. Bu URL’ler, ana alanın yüksek güvenilirlik puanı nedeniyle arama motorlarında meşru görünmekte. Kullanıcılar, bu URL’lere tıkladıklarında, çok katmanlı alanlar ve TDS (Traffic Distribution System) altyapısı üzerinden yönlendiriliyor. Bu aşamada, kullanıcıların cihaz tipi, IP adresi ve VPN kullanımı gibi verileri toplanarak, hedef kesim belirleniyor.
Infoblox raporuna göre, ele geçirilen siteler, teknik destek dolandırıcılığı, sahte virüslere dair uyarılar, sahte yayın/pornografi siteleri ve kimlik avı sayfaları için kullanılıyor. Kullanıcılar, tarayıcı push bildirimlerine izin vermeleri halinde, dolandırıcılık sitelerinden ayrıldıktan sonra bile sürekli bildirimler alıyor. Bu bildirimler, Hazy Hawk için önemli bir gelir kaynağı oluşturmakta.
Önceki Tehdit Aktörleri ile Benzerlik
Aynı araştırmacılar, daha önce de ‘Savvy Seahorse’ adındaki başka bir tehdit aktörünün CNAME kayıtlarını kötüye kullanarak sahte yatırım platformlarına yönlendiren sıra dışı bir TDS oluşturduğunu bildirmişti. CNAME kayıtlarının gözden kaçırılması, bu tür kötüye kullanım için uygun bir ortam yaratıyor ve görünüşe göre giderek daha fazla tehdit aktörü bu durumu fark etmeye başladı.
Hazy Hawk’ın operasyonlarının başarısı, aynı zamanda organizasyonların bulut hizmetleri devre dışı kaldıktan sonra DNS kayıtlarını silmemesi gibi durumlara da dayanıyor. Bu durum, saldırganların orijinal kaynak adını kimlik doğrulaması olmadan yeniden kopyalamalarına olanak tanıyor.
Siber Güvenlik Önlemleri
Bu tür tehditlerin önlenmesi için, organizasyonların DNS kayıtlarını düzenli olarak gözden geçirmeleri ve gereksiz kayıtları silmeleri büyük önem taşıyor. Ayrıca, kullanıcıların bilinçlendirilmesi ve sahte linklerden kaçınmaları konusunda eğitilmeleri gerekiyor. Teknik destek hizmetleri için yalnızca güvenilir kaynakların kullanılması, kullanıcıların dolandırıcılık girişimlerinden korunmalarında önemli bir adım olacaktır.
Sonuç olarak, Hazy Hawk gibi tehdit aktörlerinin faaliyetleri, siber güvenlik alanında ciddi bir tehlike teşkil ediyor. Kullanıcıların ve organizasyonların bu tip dolandırıcılıklara karşı dikkatli olmaları ve gerekli önlemleri almaları büyük önem taşıyor.
