Scattered Spider: Siber Güvenlik Tehditleri ve Önleme Yöntemleri
Son dönemde, Scattered Spider isimli siber grup, sanallaştırılmış ortamları hedef alarak VMware ESXi hypervisor’larını saldırıya uğratmakta. Bu grubun özellikle Uzak Doğu’daki perakende, hava yolu, ulaştırma ve sigorta sektörlerinde faaliyet gösteren şirketlere yoğunlaştığı anlaşılmakta. Google Tehdit İstihbarat Grubu (GITG) tarafından yapılan açıklamalara göre, bu grup ise mevcut zafiyetleri istismar etmekten ziyade, etkili bir sosyal mühendislik taktiği kullanarak güvenlik önlemlerini aşma yolunu seçmektedir.
Saldırı Süreci
Scattered Spider’ın saldırı süreci, muhalefet etmek yerine, it güvenlik masa destek görevlisiyle iletişime geçerek başlamakta. Grubun amacı, sahte bir çalışan kimliğiyle yardım talep etmek ve bu şekilde çalışanın Active Directory şifresini değiştirtmek. Başarılı bir şekilde bu aşamayı geçtikten sonra, grup ağ cihazlarını tarayarak IT dokümantasyonunu incelemekte ve yüksek değerli hedefler belirlemekte. Örneğin, VMware vSphere yöneticilerinin isimleri veya sanal ortam üzerinde yönetim yetkisi verebilecek güvenlik gruplarını bulmak bunlardan sadece birkaçıdır.
Ayrıca, bu grup, kritik verilere erişim sağlayan yetkili erişim yönetimi (PAM) çözümlerini de taramaktadır. Bu aşama, Scattered Spider’ın emin adımlarla ilerlemesini ve daha fazla yetkiye sahip hesapların kontrolünü ele geçirmesini sağlamaktadır.
Yönetim Yetkisi ve Erişim Sağlama
İşlemlerin devamında, hackerlar firmanın VMware vCenter Server Appliance (vCSA) sistemine erişim sağlamaktadır. Bu sistem, VMware vSphere ortamlarını yönetmeyi mümkün kılan bir sanal makinedir. Bu seviyede elde edilen erişim, hackerların ESXi sunucularında SSH bağlantılarını etkinleştirmesine ve kök şifrelerini sıfırlamasına olanak tanır. Sonrasında, kritik olan NTDS.dit veritabanını çıkartmayı amaçlayan bir “disk değişim” saldırısı gerçekleştirmektedirler. Bu saldırı, Domain Controller (DC) sanal makinesinin kapatılması ve onun sanal diskinin başka bir, kontrol altındaki sanal makineye bağlanarak hassas verinin kopyalanmasını içermektedir.
Yedekleme ve Veri Şifreleme
Elde edilen bilgilerle beraber, Scattered Spider, yedekleme makinelerini de kontrol altına alarak tüm yedekleme işlemlerini, anlık görüntüleri ve depo alanlarını temizlemektedir. Saldırının üçüncü aşamasında, grup SSH erişimini kullanarak fidye yazılımı dosyalarını yüklemekte ve sanal makinelerin depolama alanlarındaki dosyaları şifrelemektedir.
GITG araştırmacıları, bir Scattered Spider saldırısının beş aşamadan oluştuğunu ve düşük dereceli erişimden yüksek derece bir kontrol sağlamaya giden süreci yönlendirdiğini belirtmektedir. Tüm bu işlemler, birkaç saat içinde gerçekleştirilebilmektedir.
Saldırı Taktikleri ve Eğitim
İndirimli güvenlik önlemlerini aşabilen bu grubun, hedef aldığı ESXi hypervisor’larının güvenlik açıkları iyi bilinmediği için bu tür saldırılara maruz kalma riskinin yüksek olduğu anlaşılmaktadır. Google, şirketlerin bu tür saldırılardan korunabilmesi için bazı önlemler önerdi.
Önlemler
- vSphere Kilitleme: execInstalledOnly, sanal makine şifrelemesi ve SSH’nin devre dışı bırakılması gibi uygulamalar yapılmalıdır.
- Sertifikalı Çok Faktörlü Kimlik Doğrulama: VPN, AD ve vCenter üzerinde phishing-resistant çok faktörlü kimlik doğrulamanın kullanımı sağlanmalıdır.
- Merkezi Log Yönetimi: Logların bir SIEM (Güvenlik Bilgisi ve Olay Yönetimi) üzerinde toplanması ve anahtar davranışlar için uyarı sistemleri geliştirilmesi önemlidir.
Sonuç
Scattered Spider (UNC3944, Octo Tempest, 0ktapus olarak da bilinir) gibi gruplar, büyük şirketleri hedef alarak hem veri güvenliği için hem de mali zarar açısından önemli tehditler oluşturmaktadır. Son zamanlarda, özellikle Birleşik Krallık’taki büyük perakende firmaları, havayolu ve taşımacılık sektörleri üzerinde yoğunlaştığı gözlemlenmektedir. Örgüt üyelerinin yakalanması, tüm siber tehditlerin sona erdiği anlamına gelmemekte, farklı kümelerden gelen saldırılar hala devam etmektedir. Bu bağlamda, şirketlerin stratejik olarak önlemler alması gerekmektedir.
