GRU ve Siber Saldırılar: Amazon’un Açıklamaları
Amazon’un tehdit istihbarat ekibi, 2021 ile 2025 yılları arasında Batı’nın kritik altyapısını hedef alan “yıllarca süren” bir Rus devlet destekli siber kampanyanın detaylarını açıkladı. Bu saldırılar, enerji sektörü organizasyonları, Kuzey Amerika ve Avrupa’daki kritik altyapı sağlayıcıları ve bulut tabanlı ağ altyapısına sahip kuruluşları içeriyordu.
Hedef Altyapılar ve Kullanılan Yöntemler
Saldırılarda, GRU ile bağlantılı APT44 (FROZENBARENTS, Sandworm, Seashell Blizzard ve Voodoo Bear olarak da bilinen) grubunun yüksek güvenle ilişkilendirildiği belirtiliyor. Amazon’a göre, bu kampanya, kötü yapılandırılmış müşteri ağ kenar cihazlarını (edge devices) ilk erişim vektörleri olarak kullanıyor. N-gün ve sıfır-gün açıklarının istismar oranlarının düşmesi, kritik altyapılara yönelik saldırılarda bir değişimin göstergesidir.
CJ Moses, Amazon Entegre Güvenlikten Sorumlu Baş Bilgi Güvenliği Görevlisi (CISO), “Bu taktiksel adaptasyon, aynı operasyonel sonuçları elde etmeyi, kimlik bilgisi toplama ve kurban organizasyonların çevrimiçi hizmetlerine geçiş yapmayı sağlıyor,” dedi.
Beş Yıllık Saldırı Stratejisi
5 yıl süresince gerçekleştirilen saldırılarda, aşağıdaki açıklar ve taktikler kullanılmıştır:
- 2021-2022: WatchGuard Firebox ve XTM açığı (CVE-2022-26318) istismarı ve kötü yapılandırılmış kenar ağ cihazlarına yönelme.
- 2022-2023: Atlassian Confluence açığı (CVE-2021-26084 ve CVE-2023-22518) istismarı ve yine kenar cihazlarına yönelme.
- 2024: Veeam açığı (CVE-2023-27532) istismarı ve kenar cihazlarına devam eden saldırılar.
- 2025: Kötü yapılandırılmış kenar cihazlarına sürdürülen hedefleme.
Bu saldırılar, şirket içi yönlendiriciler, VPN yoğunlaştırıcıları ve işbirliği platformları gibi çeşitli ağ altyapı öğelerini hedef almıştır.
Kredil Replay Saldırıları ve Sonuçları
Amazon, kurban organizasyonların çevrimiçi hizmetlerine karşı kimlik bilgisi tekrar saldırılarının gerçekleştirildiğini belirtti. Her ne kadar bu saldırıların başarısız olduğu düşünülse de, kötü yapılandırılmış ağ altyapısından kimlik bilgileri toplandığı yönündeki hipotezi güçlendirmektedir. Tam saldırı akışı şu şekildedir:
- Amazon Web Services (AWS) üzerinde barındırılan müşteri ağ kenar cihazını ele geçirme.
- Yerel paket yakalama yeteneklerini kullanma.
- İletim sırasında hassas bilgilerden kimlik bilgilerini toplama.
- Kurban organizasyonların çevrimiçi hizmetlerine kimlik bilgilerini yeniden kullanma.
- Yanlama hareketleri için sürekli erişim sağlama.
Sonuç ve Öneriler
Bu tür siber saldırılar, enerji, teknoloji/bulut hizmetleri ve telekom iletişimi gibi kritik sektörleri hedef alıyor. Amazon, etkilenen müşterileri bilgilendirmiş ve bulut hizmetlerini hedefleyen aktif tehdit aktörlerinin operasyonlarını bozmuştur. Kuruluşların, ağ kenar cihazlarını denetlemesi, güçlü kimlik doğrulama yöntemlerini uygulaması ve beklenmedik coğrafi noktadan gelen kimlik doğrulama girişimlerini izlemeleri önerilmektedir.
Bu siber saldırılar, günümüzün dijital dünyasında sürekli bir tehdit oluşturmakta ve organizasyonların güvenlik açıklarını azaltma ihtiyacını gözler önüne sermektedir. Siber güvenlik alanında proaktif önlemler alarak, benzer tehditlerin önüne geçmek mümkündür.
