Günümüzde siber güvenlik tehditleri giderek artmakta ve özellikle açık kaynaklı yazılımlar hedef alınmakta. Son dönemde dikkat çekici bir tehdit olan ShadowRay 2.0, Ray Cluster’ları hedef alarak bu sistemleri kripto para madenciliği botnet’lerine dönüştürmektedir.
ShadowRay 2.0 Nedir?
Anyscale tarafından geliştirilen Ray, dağıtık hesaplama sistemlerinde yapay zeka ve Python uygulamaları oluşturmayı ve ölçeklendirmeyi sağlayan bir açık kaynaklı çerçevedir. Oligo adlı siber güvenlik şirketinin araştırmalarına göre, bu sistemin güvenlik açıkları siber saldırganlar tarafından istismar edilmektedir. Hindistan merkezli bir saldırgan grubu olan IronErn440, kurbanlarının Ray altyapısını hedef alarak AI tabanlı yükler kullanarak saldırılar düzenlemekte.
Gerçekleştirilen saldırılar sadece kripto para madenciliği ile sınırlı kalmamaktadır; aynı zamanda veri hırsızlığı ve dağıtık hizmet engelleme (DDoS) saldırılarını da içermektedir.
Eski Bir Açık, Yeni Bir Tehdit
ShadowRay 2.0, daha önceki bir ShadowRay kampanyasının devamı niteliğindedir ve bu kampanya, Eylül 2023 ile Mart 2024 arasında gerçekleşmiştir. Oligo araştırmacıları, her iki kampanyada da CVE-2023-48022 kodu ile tanımlanan kritik bir açığın istismar edildiğini belirtmiştir. Ray, güvenli bir ağ ortamında çalışması için tasarlanmış bir sistem olduğundan, bu güvenlik açığı için bir düzeltme sağlanmamıştır.
Ancak araştırmalar, internette 230,000’den fazla Ray sunucusunun bulunduğunu ve bu sayının önceki gözlemlenen birkaç bin olan sunucu sayısına oranla önemli bir artış gösterdiğini ortaya koymuştur.
Saldırı Yöntemleri ve Yüklerin Özellikleri
Oligo’nun raporuna göre, saldırılarda kullanılan yükler büyük dil modelleri (LLM) yardımıyla oluşturulmaktadır. Araştırmacılar, kod yapısı, açıklamalar ve hata işleme desenleri analiz edilerek bu sonuca ulaşmıştır. Örneğin, bir payload deşifre edildiğinde, içinde “docstrings” ve gereksiz kod tekrarlarının bulunduğu tespit edilmiştir.
Bunlar, saldırganın Ray’in kimlik doğrulamasız API’si üzerinden iş göndererek çok aşamalı Bash ve Python payload’larını yürüttüğü anlamına gelmektedir. Kripto madenciliği modülü, sistem kaynaklarını değerlendirmek için tasarlanmış olup, madencilik yapacak sistemlerin en az sekiz çekirdekli ve root ayrıcalıklarına sahip olmasını tercih etmektedir.
Oligo, bu miner’ların yanıltıcı dosya konumlarına yerleştirildiğini ve ‘dns-filter’ gibi sahte işlem isimleri kullandığını belirtmektedir, bu sayede etkinliklerinin fark edilmesi zorlaşmaktadır. Ayrıca, saldırgan rakip madencilik komut dosyalarını sonlandırarak, yalnızca kendisinin Ray Cluster’ı üzerindeki kaynakları kullanmasını sağlamaktadır.
ShadowRay 2.0’dan Korunma Yöntemleri
CVE-2023-48022 için bir düzeltme mevcut olmadığından Ray kullanıcılarına bazı güvenlik önlemleri önerilmektedir. Anyscale, kullanıcılarını Ray’i güvenli bir ortamda dağıtmak ve yetkisiz erişimleri önlemek adına güvenlik grubu politikaları ve güvenlik duvarları ile koruma sağlamaya teşvik etmektedir. Oligo, Ray Dashboard portu (varsayılan 8265) üzerinde yetkilendirme eklenmesini ve AI küme izleme sistemleri uygulanmasını önermektedir.
Sonuç olarak, ShadowRay 2.0, siber güvenlik alanında dikkate değer bir tehdittir ve kullanıcıların sistemlerini koruma yöntemlerini güçlendirmesi kritik önem taşımaktadır. Aksi takdirde, bu tür siber saldırılar sonucunda veri kayıpları ve mali kayıplar yaşanmaması için etkili stratejilerin uygulanması gerekmektedir.
