Giriş
Kuzey Kore merkezli tehdit aktörü UNC4899, 2025 yılında bir kripto para kuruluşuna yönelik karmaşık bir bulut saldırısı gerçekleştirdiği şüphesiyle gündeme geldi. Bu olay, milyonlarca dolarlık kripto paranın çalınmasına neden olurken, organizasyonların bulut güvenliği konusunda alarm vermesine yol açtı.
Saldırı Nasıl Çalışıyor?
Saldırı, sosyal mühendislik teknikleri kullanılarak geliştiricinin kişisel cihazının tehlikeye atılmasıyla başladı ve ardından kurumsal ağda yayılmak üzere buluta geçiş yapıldı. İlgili tehdit, şu aşamalardan oluşuyordu:
- Sosyal mühendislik ile geliştiriciyi, sahte bir açık kaynak proje işbirliği kapsamında bir arşiv dosyası indirmeye ikna ettiler.
- Aynı dosya, geliştirici tarafından AirDrop aracılığıyla kurumsal cihazına aktarıldı.
- Geliştirici, kötü niyetli Python kodunu çalıştırarak, Kubernetes komut satırı aracı olarak gizlenmiş bir ikili dosyayı aktive etti.
- Bu ikili, saldırganın kontrolündeki bir domaine bağlanarak kurumsal makineye arka kapı açtı.
Etkilenen Sistemler
Saldırganların, Google Cloud ortamında yetkisiz değişiklikler yapabilmek için DevOps iş akışlarını istismar ettiği ve bu süreçte Cloud SQL veritabanlarını manipüle ettiği bildiriliyor. Ayrıca, aşağıdaki sistem bileşenlerine erişim sağlandı:
- Kubernetes ortamındaki pod’lara erişim sağlandı.
- Multi-Faktör Kimlik Doğrulama (MFA) politikası değiştirildi.
- Yüksek yetkili CI/CD hizmet hesabı token’ı çalındı.
- Veritabanı güvenlik bilgileri, potansiyel olarak güvensiz ortam değişkenleri üzerinden elde edildi.
Çözüm ve Korunma
Bu olay, kişisel ve kurumsal cihazlar arasındaki veri aktarım yöntemlerinin risklerini bir kez daha gözler önüne serdi. Google, etkili bir savunma stratejisi için aşağıdaki önlemleri önermektedir:
- Bağlama duyarlı erişim ve phishing-dirençli MFA uygulayın.
- Sadece güvenilir görsellerin dağıtılmasını sağlayın.
- Kompromize olmuş düğümleri harici ev sahibi ile bağlantıdan izole edin.
- Beklenmeyen konteyner süreçlerini izleyin.
- Güçlü gizlilik yönetimi politikaları benimseyin.
- AirDrop veya Bluetooth ile dosya paylaşımını devre dışı bırakma veya kısıtlama politikaları uygulayın.
Sonuç
Kuruluşlar, bulut ortamında veri güvenliğini artırmak için yukarıda belirtilen önlemleri almalıdır. Ayrıca, tüm sistemlerini güncelleyerek, potansiyel tehlikelerden korunmak amacıyla harekete geçmelidir. Unutulmamalıdır ki, siber tehditler her an karşımıza çıkabilir; bu nedenle sürekli ve proaktif bir güvenlik yaklaşımı benimsemek hayati öneme sahiptir.
