Hazy Hawk: Tehlikeli Bulut Saldırıları ve Önlemler
Son dönemde siber güvenlik dünyasında dikkat çeken bir tehdit aktörü olan Hazy Hawk, büyük ölçekli kuruluşların terk edilmiş bulut kaynaklarını hedef alıyor. Özellikle Amazon S3 ve Microsoft Azure gibi popüler platformlardan faydalanarak, kötü yapılandırılmış DNS kayıtlarını istismar etmesi dikkati çekiyor. Bu durum, kurumsal güvenlik açısından ciddi bir tehlike oluşturuyor ve kullanıcıları sahte içeriklere yönlendiren URL’ler oluşturmasına olanak tanıyor.
Saldırıların Yapısı ve Amaçları
Hazy Hawk’ın faaliyetleri, genellikle yasal ve güvenilir kurumlara ait alan adlarının ele geçirilmesiyle başlıyor. Bu güvenilir alan adları, sahte içeriklerin barındırılması için kullanılıyor. Hazy Hawk’ın ilk bulunduğu yerlerden biri, 2025 yılının Şubat ayında ele geçirdiği ABD Hastalık Kontrol ve Önleme Merkezleri (CDC) ile ilişkilendirilmiş alt alanlar oldu. Hedef aldığı diğer kuruluşlar arasında Deloitte, PricewaterhouseCoopers ve Ernst & Young gibi uluslararası şirketler de bulunuyor.
Infoblox’un yaptığı açıklamalara göre, Hazy Hawk’ın yöntemleri ilginç bir şekilde casusluk ya da daha ziyade gelişmiş siber suçlar için kullanılmıyor. Bunun yerine, Hazy Hawk’ın faaliyetleri, kullanıcılara çeşitli dolandırıcılık ve kötü amaçlı yazılımlar sunarak adtech dünyasına yönlendiriyor. Bu yöntemler, kullanıcıları rahatsız eden ve uzun süreli etkileri olan süreçleri tetikleyen tarayıcı bildirimleri kullanılarak gerçekleşiyor.
DNS API ve Alan Adı Ele Geçirme
Hazy Hawk’ın operasyonlarının arkasında, terk edilmiş alan adlarını kontrol altına alabilme yeteneği yatıyor. Bu süreçte, kötü aktörler, dangling DNS CNAME kayıtlarını ele geçirerek alan adını devralıyor. Guardio’nun 2024 yılının başlarında yaptığı araştırmalarda, kötü amaçlı aktörlerin bu tür kayıtları nasıl istismar ettiğine dair bulgular ortaya konmuştu. Hazy Hawk, bu yöntemi bir adım ileri götürerek, terk edilmiş bulut kaynaklarını ele geçiriyor ve bu kaynakları kötü niyetli amaçlarla kullanıyor.
Bu tür bir yaklaşım zararlıdır çünkü güvenilir alan adları üzerinden yapılan saldırılar, arama motoru sonuçlarında güvenilirliği artırırken, tespit edilmeyi de zorlaştırıyor. Hedef aldıkları kullanıcılar, sahte içeriklerle dolu web sitelerine yönlendirilerek, dolandırıcılık vakalarına maruz kalıyorlar.
Kötü Amaçlı İçerik ve Aşırı Bildirimler
Hazy Hawk’ın saldırı zincirleri genellikle yasal web sitelerinin içeriğini klonlayarak başlıyor. Kullanıcıları, pornografik ya da korsan içerik vaatleriyle çekiyorlar. Bu tür stratejiler, kullanıcıları belirli bir noktada TDS (trafik dağıtım sistemleri) ile yönlendirerek dolandırıcılık amacıyla tasarlanmış sahte sitelere yönlendiriyor.
Bir diğer önlem alınması gereken nokta ise, kullanıcıların tanımadıkları web sitelerinden gelen bildirim isteklerini reddetmeleri gerektiğidir. Hazy Hawk, kullanıcılara yolladığı bildirimlerle içerik bombardımanına tutarak, farklı dolandırıcılıklara erişimi sağlıyor. Her bir bildirim, dolandırıcılık, sahte anketler veya korku tabanlı yazılımları içerebiliyor.
Koruma Stratejileri ve Öneriler
Hazy Hawk’ın saldırılarına karşı etkili bir korunma stratejisi geliştirmek, domain sahipleri için oldukça önemlidir. Kapalı veya kullanılmayan bir kaynak kapandığında, bu tür kaynakların DNS CNAME kayıtlarının derhal kaldırılması önerilmektedir. Ayrıca, kullanıcıların bilmediği kaynaklardan gelen bildirimleri reddetmesi kritik bir öneme sahiptir.
Sonuç olarak, Hazy Hawk gibi kötü niyetli aktörlerin tehdidi, yalnızca hedef aldıkları kurumların değil, aynı zamanda bireysel kullanıcıların da güvenliğini tehdit ediyor. Bu tür saldırılara karşı bilgi sahibi olmak ve gerekli önlemleri almak, dijital dünyada güvenli bir şekilde var olabilmek adına son derece gereklidir.
Sonuç Olarak Ne Yapmalı?
Hazy Hawk gibi tehdit aktörlerine karşı, siber güvenlik tedbirlerini almak, her bireyin ve kurumun sorumluluğudur. Sağlık, eğitim ya da ticaret gibi tüm sektörlerde güvenliğin sağlanabilmesi adına, kullanıcılar ve domain sahipleri bilgilendirilmelidir. Kullanıcıların dikkatli olması, ajansların bilgilendirilmesi ve güncel güvenlik yöntemlerinin uygulanması, bu tehditlerin önlenmesi adına önemlidir.
