Amazon, siber güvenlik alanında önemli bir adım atarak, Rusya’nın askeri istihbarat servisi GRU’ya bağlı hackerların bulut altyapısına yönelik saldırılarını etkisiz hale getirdi. Amazon Tehdit İstihbarat ekibi, 2021 yılından bu yana Batı’nın kritik altyapılarına, özellikle enerji sektörüne odaklanan bu saldırıların detaylarını ortaya koydu.
Tehdit Aktörlerinin Değişen Stratejileri
Özellikle geçtiğimiz yıl, tehdit aktörlerinin sıklıkla bilinen ve sıfır gün (zero-day) açıklarını kullanma yönteminden, yanlış yapılandırılmış kenar cihazlarını hedef alma yöntemine geçiş yaptığı gözlemlendi. Amazon’un CISO’su CJ Moses, bu yılki raporunda, bu değişimin önemine vurgu yaparak, kötü yapılandırılmış müşteri cihazlarının, siber saldırganların kritik altyapılara erişimini sağladığını belirtti.
Açıkların Azalması
CJ Moses, 2024 yılına kadar sürmüş olan bu “yıllar süren” kampanyanın, WatchGuard, Confluence ve Veeam gibi platformlardaki çoklu açıkları hedef alarak gerçekleştiğini vurguladı. Ancak son yıllarda, siber saldırganlar, açıkladıkları taktiği değiştirip, müşterilere ait ağ altyapısı kenar cihazlarına daha fazla odaklanmaya başladılar. Bu cihazlar arasında kurumsal yönlendiriciler, VPN geçitleri ve bulut tabanlı proje yönetim çözümleri bulunmaktadir.
Bunun yanı sıra, “Kolay hedeflerin” dikkatle seçilmesi, saldırganlara sürekli olarak kritik altyapı ağlarına erişim sağlıyor ve kurban örgütlerin çevrimiçi hizmetlerine erişim için kimlik bilgisi edinme fırsatları sunuyor.
Ağ Üzerinde Yayılım ve Koruma Adımları
Amazon, bu siber saldırıların mekanizmasını tam olarak gözlemleyememiş olsa da cihazların ele geçirilmesi ile kimlik bilgilerini kullanma arasındaki gecikmeler, pasif paket yakalama ve trafik kesme gibi tekniklerin kullanıldığını işaret ediyor. Ele geçirilen cihazların, AWS EC2 üzerinde barındırılan müşteri yönetim ağ cihazları olduğu belirtildi.
Saldırılar tespit edildikten sonra Amazon, belirtilen şirketlere derhal bilgilendirme yaparak saldırıların etkisini azaltma çalışmalarına başladı. Ayrıca, saldırganların kullandığı IP adresleri rapor edildi fakat bu adreslerin engellenmeden önce özel bir araştırmaya tabi tutulması gerektiği uyarısı yapıldı.
Gelecek İçin Öneriler
Amazon, 2024 yılı için göz önünde bulundurulması gereken bir dizi ‘öncelikli eylem’ önerdi. Bu öneriler arasında ağ cihazlarının denetimi, kimlik bilgisi tekrarı faaliyetlerinin izlenmesi ve yönetim portallarına erişimin kontrol edilmesi yer almaktadır. Özel olarak AWS ortamları için, yönetim arayüzlerinin izole edilmesi ve güvenlik gruplarının kısıtlanması önerilmektedir. Ayrıca, CloudTrail, GuardDuty ve VPC Flow Logs’un etkinleştirilmesi tavsiye edilmiştir.
Sonuç olarak, Amazon’un bu eylemleri, siber saldırganların faaliyetlerini ciddi bir şekilde kesintiye uğratmış ve kritik altyapıların güvenliğini artırmıştır. Ancak kurumsal yapıların, sürekli olarak kendilerini koruma ve güncellendirme yöntemlerine dair dikkatli olmaları gerekiyor.
