Bulut Ortamlarındaki Tehditler
Siber saldırganlar, üçüncü taraf yazılımlardaki yeni açıklıkları giderek daha fazla istismar ederek bulut ortamlarına erişim sağlıyor. Bu durum, saldırı fırsatlarının haftalardan sadece günlere düştüğünü gösteriyor.
Saldırı Nasıl Çalışıyor?
Google’ın raporuna göre, incelenen saldırıların %44,5’i hata istismarlarını temel erişim vektörü olarak kullandı. Saldırılarda en sık istismar edilen zafiyet türü uzaktan kod yürütme (RCE) olarak ön plana çıkıyor; öne çıkan zafiyetler arasında React2Shell (CVE-2025-55182) ve XWiki zafiyeti (CVE-2025-24893) bulunuyor.
Google’a göre, bu değişikliğin nedeni, hesaplar ve kimlikler üzerindeki güvenlik önlemlerinin artırılmasıdır. Aşağıdaki saldırılar, saldırganların hedef organizasyonların bulut platformlarına erişim sağlama yöntemlerini göstermektedir:
- DevOps ve IT yardım masası impersonasyonuyla kimlik edinme.
- Erişim sağlama amacıyla yüksek miktarda veri sızdırma.
Etkilenen Sistemler
Devlet destekli aktörler ile finansal motivasyonlu hackerlar genellikle, kurban kuruluşların bulut sistemlerine sızma yollarını keşfederek, sesli dolandırıcılık (vishing) ve kimlik avı (phishing) aracılığıyla kimlikleri ele geçiriyorlar.
Örneğin, İran bağlantılı UNC1549 grubu, çalınan VPN kimlik bilgilerini kullanarak bir hedef ortamda yaklaşık bir terabayt özel veri çaldı. Ayrıca, Çin destekli UNC5221 grubu, BrickStorm zararlısı aracılığıyla bulut sunucularına erişim sağladı ve kaynak kodu çaldı.
Kuzey Koreli Saldırganlar
Google, 2025’in ikinci yarısında analiz edilen saldırıların %3’ünü Kuzey Koreli IT çalışanlarının gerçekleştirdiğini belirtiyor. Bu gruptan UNC4899, bulut ortamlarını ele geçirerek dijital varlıkları çalmayı hedefliyor.
- Kötü amaçlı bir arşivi, açık kaynak projesi işbirliği gerekçesiyle yayınlayarak bir geliştiriciyi dolandırma.
- Kötü amaçlı Python kodu ile Kubernetes komut satırı aracı gibi davranan bir ikiliye erişim sağlama.
OpenID Connect İstismarı
QuietVault isimli bir npm paketinin istismarında, bir geliştiricinin GitHub jetonu çalındı ve bu jeton kullanılarak bulut ortamında yeni bir yönetici hesabı oluşturuldu. Saldırgan, yalnızca üç gün içinde bu bilgileri kullanarak AWS API anahtarlarını ele geçirdi, verileri S3 depolamasından çaldı ve ardından üretim ortamlarından sildi.
İçeriden Gelen Tehditler
Araştırmalar, kötü niyetli çalışanların veri sızdırmak için bulut hizmetlerini (AWS, Google Cloud, Azure, vb.) kullanma eğilimlerini artırdığını göstermektedir. İçeriden gelen tehlikelerin artması, şirketlerin hem iç hem de dış tehditlere karşı veri koruma mekanizmaları uygulaması gerektiğini ortaya koyuyor.
Sonuç ve Öneriler
Sonuç olarak, bulut saldırıları artık manuel cevap mekanizmalarıyla başa çıkamayacak kadar hızlı gerçekleşiyor. Saldırganlar, yeni varlıkların oluşturulmasından yalnızca bir saat içinde yükleme gerçekleştirebiliyor. Bu nedenle, aşağıdaki adımların atılması önerilmektedir:
- Güncellemeleri gerçekleştirin: Yazılımlarınızı ve sistemlerinizi en son sürümlere güncelleyin.
- Güvenlik ayarlarını gözden geçirin: Hesap güvenliği ve kimlik bilgileri üzerindeki koruma katmanlarını artırın.
- Port kapama: Gereksiz ağ portlarını kapatın.
- Düzenli güvenlik denetimleri yapın: Olası zafiyetleri tespit etmek için sistemlerinizi sürekli izleyin.
