Güvenlik Önerileri
Siber Korsanları Saldırılarını Gizlemek İçin Bulut Depolama Hizmetlerine Yöneliyor
Siber korsanlar yöntemlerini çeşitlendirerek işletmeler açısından kritik tehlike unsuru olmaya devam ediyor…
Bir bilgisayar korsanlığı ve siber casusluk kampanyası, yüksek profilli hedeflerden hassas bilgileri çalmaya yönelik gizli bir operasyonun parçası olarak meşru bulut hizmetlerini kötüye kullanıyor.
Dünyanın dört bir yanındaki kuruluşlar, özellikle hibrit çalışmaya geçişten sonra günlük operasyonlarını yürütmek için bulut hizmetlerini kullanıyor. Bulut uygulamaları, kullanıcı nerede olursa olsun, uzaktan çalışanlar için hayati hale gelen basit bir çalışma yöntemini mümkün hale getiriyor. Ancak, bulut hizmetlerinden yararlanabilecek olanlar yalnızca işletmeler ve çalışanlarla sınırlı değil. Palo Alto Networks’teki Unit 42’deki siber güvenlik araştırmacılarına göre, gelişmiş kalıcı tehdit (APT) grubu adına çalışan siber korsanları tam olarak bunu yapıyor.
Grubun, SolarWinds’e yönelik tedarik zinciri saldırısı, ABD Demokratik Ulusal Komitesi (DNC) saldırısı, çevresindeki hükümetleri ve büyükelçilikleri hedef alan casusluk kampanyaları da dahil olmak üzere birçok büyük siber saldırıdan sorumlu olan Rus Dış İstihbarat Servisi (SVR) ile bağlantılı olduğuna inanılıyor.
Grup halihazırda Google Drive ve Dropbox da dahil olmak üzere meşru bulut hizmetlerini kullanmaya çalışıyor. Üstelik bu taktiği geçtiğimiz Mayıs ve Haziran ayları arasında gerçekleşen siber saldırılarının bir parçası olarak zaten kullanmış durumdalar.
Tehlikenin aşamaları
Siber saldırılar, Avrupa büyükelçiliklerindeki hedeflere gönderilen ve büyükelçilerle yapılan toplantılara davet gibi görünerek bir PDF olarak eklenmiş sözde bir gündemle birlikte iletilen kimlik avı e-postalarıyla başlıyor.
Bu kötü amaçlı PDF istendiği gibi çalışırsa (yani bilgisayara indirilip açılırsa), saldırganlar tarafından çalıştırılan bir Dropbox hesabına, kötü niyetli kimseler arasında popüler bir sızma testi aracı olan Cobalt Strike‘ı kurbanın cihazına gizlice kurması için çağrıda bulunuyor.
Neyse ki bu ilk çağrı 2022’nin ilk aylarından itibaren başarısız oldu, araştırmacıların önerisi, kurumsal ağlarda üçüncü taraf hizmetlerini kullanma konusunda daha kısıtlayıcı politikaların uygulanması.
Ancak saldırganlar koşullara hızlıca uyum sağladı bile ve ikinci bir tuzak olarak benzer kimlik avı e-postaları göndererek, Cobalt Strike ve kötü amaçlı yazılım yüklerini hedef ortamlara dağıtmak için Google Drive hesaplarıyla iletişimi kullandılar. Görünüşe göre bu engellenmedi, büyük olasılıkla bunun sebebi birçok iş yerinin günlük işlemlerin bir parçası olarak Google uygulamalarını kullanıyor olması.
Güvenilir uygulamalardan yararlanmanın düşük maliyetli bir yolu…
Unit 42 araştırmacıları bununla ilgili olarak: “Siber saldırganlar, hedeflerine ulaşmak için yenilik yapmaya ve tespitten kaçınmanın yollarını bulmaya devam edecek. Google Drive ve DropBox’ı kullanmak, güvenilir uygulamalardan yararlanmanın düşük maliyetli bir yoludur.” İfadelerini kullanıyor.
Unit 42, hem Dropbox’ı hem de Google’ı hizmetlerinin kötüye kullanıldığı konusunda uyardı ve saldırıların bir parçası olarak kullanılan hesaplara karşı önlem alındı.
Uzaktan/hibrit çalışma, siber korsanların bulut bilişim güvenliğini ‘yeterli seviyeye taşımayan şirketlere’ saldırmaları için bazı yeni olanaklar sunuyor. Şirket VPN‘leri (sanal özel ağlar) ve bulut tabanlı uygulama paketleri siber korsanlar için ana hedefler haline geldi. Eğer biri iyi korunmazsa, siber korsanlar tüm şirket bilgisayar ağına sızma imkânı elde edebilir. Siber korsanların bu aşamada yapması gereken tek şey bir oltalama ya da brute force saldırısı ile hesap bilgilerine ve şifresine ulaşmak olarak beliriyor.
- Bulut güvenliği ile ilgili öne çıkan tedbirler şöyle sıralanabilir;
- Hesapları çok faktörlü doğrulama ile koruyun
- Şifreleme kullanın
- Güvenlik yamalarını olabildiğince hızlı yapın
- Ağınızda ne olduğunu gösteren araçlar kullanın
- İdareci/yönetici ve kullanıcı hesaplarının ayrı olduğundan emin olun
- Yedekleme ile beklenmedik durumlara hazırlıklı olun
Bulut bilişim hizmetleri birçok şirket için kritik araçlar haline dönüştü. Zoom, Microsoft 365 ve Workspace gibi hizmetlerin iş birliği ve üretkenlik alanında sunduğu araçlar ile bulut tabanlı hizmetlerin önemi daha fazla arttı. Bulut hizmetlerini kullanmak hem işletmelere hem de personele pek çok fayda sağlıyor, ancak bu araçların siber suçlular tarafından istismar edilmesini önlemek için bulut uygulamalarının ve hizmetlerinin güvenliğinin düzgün bir şekilde yönetilmesini sağlamak oldukça önemli.