Crimson Collective ve AWS Tehditleri
Son dönemde siber güvenlik alanında önemli gelişmeler yaşanıyor. Crimson Collective adındaki tehdit grubu, Amazon Web Services (AWS) bulut ortamlarını hedef alarak veri çalma ve şirketleri zorla para talep etme faaliyetlerine girişti. Bu gruptan gelen tehditler, birçok şirketin güvenliğini sorgulamasına neden oldu.
Red Hat Saldırısı ve Veri Çalma İddiası
Crimson Collective, özellikle Red Hat üzerinde yürüttükleri son saldırıyla dikkat çekti. Bu saldırıda, binlerce özel GitLab deposundan toplamda 570 GB veri çaldıklarını iddia ettiler. Yazılım şirketini zorla rüşvet ödemeye zorlayarak, ciddi bir tehdit oluşturdukları anlaşılıyor.
Yalnızca bununla kalmayarak, Crimson Collective, Scattered Lapsus$ Hunters ile iş birliği yaparak Red Hat’a yönelik tazminat baskısını artırdı. Bu tür iş birlikleri, siber dünyadaki tehditlerin ne derece karmaşık bir hal aldığını gösteriyor.
Crimson Collective’ın Faaliyetleri ve Kullanılan Araçlar
Rapid7 araştırmacıları, Crimson Collective’ın AWS üzerindeki faaliyetlerini detaylandıran bir analiz yaptı. Bu grup, uzun vadeli AWS erişim anahtarları ile kimlik ve erişim yönetimi (IAM) hesaplarını ele geçirerek yetki yükseltmeyi hedefliyor.
Saldırganlar, açığa çıkmış AWS kimlik bilgilerini bulmak için açık kaynak kodlu TruffleHog aracını kullanıyor. Erişimi sağladıktan sonra, API çağrıları aracılığıyla yeni IAM kullanıcıları ve oturum profilleri oluşturup yeni erişim anahtarları üretiyorlar.
Bu aşamada, yeni oluşturulan kullanıcılara ‘AdministratorAccess’ politikası ekleyerek, Crimson Collective’a tam AWS kontrolü sağlıyorlar. Böylece, erişim seviyelerini yükselterek daha fazla veri toplama ve sızdırma imkanına sahip oluyorlar.
Saldırı Akışının Analizi
Bu tehdit grubunun gözlemlenen saldırı akışına göre, ilk olarak kullanıcıları, örnekleri, bucket’ları, lokasyonları, veritabanı kümelerini ve uygulamaları listeleyerek veri toplama ve dışarı sızdırma aşamasına geçiyorlar.
Çeşitli RDS (İlişkisel Veritabanı Hizmeti) ana parolalarını değiştirerek veritabanı erişimi sağlıyor, snapshot oluşturuyor ve bu snapshot’ları API çağrıları yoluyla S3 (Basit Depolama Hizmeti)’ne aktarıyorlar. Yine Rapid7’nin gözlemlerine göre, EBS (Elastic Block Store) hacimlerinin snapshot’ları alındıktan sonra yeni EC2 (Elastic Compute Cloud) örnekleri başlatılıyor ve bu EBS hacimleri geniş izinlere sahip güvenlik grupları altında ilişkilendiriliyor. Bu, veri transferini kolaylaştırıyor.
Extorsiyon Süreci ve Ransom Note
Tüm bu işlemler tamamlandığında, Crimson Collective, mağdurlara bir tazminat notu gönderiyor. Bu not, AWS Simple Email Service (SES) aracılığıyla, hem ihlal edilen bulut ortamında hem de dışarıdaki e-posta hesaplarına ulaştırılıyor.
Rapid7’nin araştırmaları, Crimson Collective’ın veri çalma operasyonlarında birden fazla IP adresi kullandığını, bazı IP adreslerini birden fazla olayda yeniden kullandıklarını ve bu sayede izlemeyi kolaylaştırdıklarını ortaya koyuyor.
AWS’nin Yanıtı ve Öneriler
AWS, bu tehditlerle ilgili BleepingComputer’a yaptığı açıklamada, müşterilerinin “kısa vadeli, en az ayrıcalıkla yetkilendirilmiş kimlik bilgileri” kullanmalarını ve kısıtlayıcı IAM politikaları uygulamalarını önerdi. Eğer müşteriler, kimlik bilgilerinin maruz kalmış olabileceğinden şüpheleniyorlarsa, AWS destek hattı ile irtibata geçebileceklerini belirtti.
Gelecek Tehditler ve Önlemler
Gelecekte AWS ortamlarını hedef alan ransomware saldırıları artış gösterebilir. Halcyon tarafından Ocak 2025’te bildirilen bir başka saldırıda, “Codefinger” adındaki bir tehdit aktörü, hedefledikleri S3 bucket’larını şifreleyerek saldırı düzenledi. Bu durum, siber güvenlik alanının ne denli dinamik ve sürekli değişken olduğunu göstermektedir.
Sızıntıları önlemek ve bu tür saldırılara karşı koruma sağlamak için, bilinmeyen maruz kalmalar için S3crets Scanner gibi açık kaynak araçları ile ortamınızı taramanız öneriliyor.
Sonuç
Crimson Collective’ın büyüklüğü ve bileşimi henüz bilinmiyor ancak bu tehdit grubunun faaliyetleri ve extorsiyon taktikleri göz ardı edilemez. Siber güvenlik önlemlerinin artırılması ve sürekli güncellenmesi, bu ve benzeri tehditlerle başa çıkmada kritik öneme sahiptir. Şirketlerin, bulut hizmet sağlayıcılarının önerilerini dikkate alarak önlem alması gerektiği açıktır.
