AWS Üzerinden Kripto Madenciliği: Tehditler ve Güvenlik Önlemleri
Son zamanlarda, Amazon Web Services (AWS) müşterilerini hedef alan büyük bir kripto madenciliği kampanyası gözlemlendi. Bu kampanya, yalnızca IAM (Kimlik ve Erişim Yönetimi) kimlik bilgileri çalınarak gerçekleştirilmekte. Amazon’un GuardDuty gibi otomatik güvenlik izleme sistemleri bu faaliyetleri, 2 Kasım 2025 tarihinde tespit etti ve durum hakkında bilgilendirmede bulundu.
Saldırının İlk Aşaması: Elde Edilen Kimlik Bilgileri
Saldırı, bilinmeyen bir tehdit aktörünün yönetici benzeri ayrıcalıklara sahip olan IAM kullanıcı kimlik bilgilerini kullanmasıyla başlıyor. Bu aktör, AWS ortamını keşfedip, EC2 hizmet kotalarını test etmek amacıyla RunInstances API‘sini “DryRun” bayrağıyla kullanıyor. Bu yöntem, saldırganların maliyet oluşmadan izinleri doğrulamalarını sağlıyor.
Sistem Üzerinde Kontrol Kurma
İlerleyen aşamada, tehdit aktörü CreateServiceLinkedRole ve CreateRole çağrıları yaparak otomatik ölçekleme grupları ve AWS Lambda için IAM rolleri oluşturuyor. Bu aşama, AWS sistemlerini kontrol altına almak için kritik bir adımdır.
Aktör, AWS ortamında birden fazla ECS cluster’ı oluşturarak bu kaynakları kullanmaya başlıyor. Yapılan araştırmalara göre, bazı saldırılarda 50’den fazla ECS cluster’ı oluşturulmuş durumda.
İçerik Kötüye Kullanımı ve Yazılım Yönetimi
Söz konusu tehdit aktörleri, kötü amaçlı bir DockerHub imajı kullanarak kripto madenciliği yapıyor. İlgili imaj, RandomVIREL madencilik algoritmasını çalıştıracak şekilde yapılandırılmıştır. Ayrıca, otomatik ölçekleme grupları oluşturarak sürekliliğini artırmayı hedefliyorlar.
Güvenlik Riskleri ve Önlemler
Bu kampanyada dikkat çeken bir nokta, ModifyInstanceAttribute eyleminin “disableApiTermination” parametresiyle kullanılmasıdır. Bu, güvenlik ekiplerinin müdahale etmesini zorlaştırırken, tehdit aktörlerinin madencilik işlemlerini sürdürmelerine olanak tanıyor.
Buna ek olarak, oluşturulan Lambda fonksiyonu, saldırganın Amazon Simple Email Service (SES) üzerinden kimlik avı saldırıları düzenlemesine olanak sağlıyor. Bu tür eylemler, AWS hesaplarının kontrolünün tamamen kaybedilmesine neden olabiliyor.
Önerilen Güvenlik Stratejileri
AWS, müşterilerine aşağıdaki güvenlik önlemlerini almalarını öneriyor:
- Güçlü kimlik ve erişim yönetimi kontrolleri uygulamak
- Uzun vadeli erişim anahtarları yerine geçici kimlik bilgileri kullanmak
- Tüm kullanıcılar için çok faktörlü kimlik doğrulama (MFA) uygulamak
- IAM ilkelerine göre en az ayrıcalık ilkesini (PoLP) uygulamak
- Şüpheli imajları taramak için konteyner güvenlik kontrolleri eklemek
- ECS görev tanımlarında olağandışı CPU tahsis taleplerini izlemek
- AWS CloudTrail kullanarak etkinlikleri kaydetmek
- Otomatik yanıt iş akışlarını kolaylaştırmak için AWS GuardDuty’yi etkinleştirmek
Bu kampanya, kripto madencilik saldırı metodolojilerine büyük bir ileri adım olarak değerlendiriliyor. Saldırganların birçok hesaplama hizmetini kullanarak, gelişmiş kalıcılık teknikleri ile karmaşık saldırılar düzenlemesi, güvenlik açıklarını daha kritik hale getiriyor.
