Saldırının Genel Çerçevesi
2025 yılında, UNC4899 adlı gelişmiş kalıcı tehdit (APT) grubu, milyonlarca dolar değerinde kripto para çalmak amacıyla bir kripto para kuruluşunun Google Cloud altyapısını hedef aldı. Saldırı, geliştiricinin kişisel cihazına sosyal mühendislik yoluyla trojanlı bir arşiv dosyasının indirilmesi ve ardından AirDrop ile kurumsal iş cihazına aktarılmasıyla başladı. Bu yöntem, kişisel ve kurumsal cihazlar arasında P2P veri transferi risklerini gözler önüne serdi.
Saldırı Zinciri ve Teknik Detaylar
Geliştirici, AI destekli bir Entegre Geliştirme Ortamı (IDE) kullanarak arşiv içeriğiyle etkileşime geçti ve gömülü kötü amaçlı Python kodunu çalıştırdı. Bu kod, Kubernetes komut satırı aracı gibi davranan bir ikili dosya oluşturdu ve saldırganların kontrolündeki bir alan adına bağlanarak kurumsal makineye arka kapı işlevi gördü. Bu sayede kimlik doğrulamalı oturumlar ve mevcut kimlik bilgileri kullanılarak bulut ortamına geçiş sağlandı.
Saldırganlar, bastion host keşfi yaparak çok faktörlü kimlik doğrulama (MFA) politikalarını değiştirdi ve Kubernetes podlarında ek keşifler gerçekleştirdi. Kalıcılık için Kubernetes dağıtım yapılandırmalarına otomatik bash komutları enjekte edildi; bu komutlar arka kapı indirdi. Ayrıca, CI/CD platformunda hizmet hesabı belirteçlerini loglarda göstermek için komutlar enjekte edildi ve yüksek ayrıcalıklı hizmet hesabı belirteci ele geçirildi. Bu belirteç, ağ politikaları ve yük dengeleme işleten podlara yatay hareket için kullanıldı.
Pod ortam değişkenlerinde güvensiz şekilde saklanan statik veritabanı kimlik bilgileri çıkarıldı ve Cloud SQL Auth Proxy üzerinden üretim veritabanına erişim sağlandı. Kullanıcı hesaplarında şifre sıfırlamaları ve MFA anahtar güncellemeleri yapıldı. Sonuç olarak, ele geçirilen hesaplar kullanılarak milyonlarca dolar değerinde dijital varlık çalındı.
Bulut Güvenliği ve P2P Veri Transferlerinin Riskleri
Bu saldırı, kişisel ve kurumsal cihazlar arasında kullanılan AirDrop gibi P2P veri transfer yöntemlerinin, sosyal mühendislik taktikleriyle birleştiğinde ciddi güvenlik açıkları oluşturduğunu ortaya koydu. Ayrıca, bulut ortamlarında ayrıcalıklı konteyner modları ve gizli bilgilerin güvensiz yönetimi kritik riskler yaratıyor. Bu nedenle, kimlik doğrulama süreçlerinin titizlikle uygulanması, uç noktalarda veri transferinin kısıtlanması ve bulut çalışma zamanı ortamlarında sıkı izolasyonun sağlanması önem taşıyor.
Siber Güvenlik Ekipleri İçin Öneriler
- AirDrop ve Bluetooth gibi P2P dosya paylaşım yöntemlerinin kurumsal cihazlarda kullanımını sınırlandırın.
- Konteyner ve Kubernetes ortamlarında beklenmeyen süreçleri ve yapılandırma değişikliklerini sürekli izleyin.
- CI/CD platformlarında hizmet hesabı belirteçlerinin loglanmasını engelleyin ve ayrıcalıklı hesap erişimlerini sıkı yönetin.
- MFA politikalarını düzenli olarak gözden geçirin ve bağlam farkındalıklı erişim kontrolleri uygulayın.
- Bulut ortamlarında gizli bilgi yönetimi için güvenli depolama ve erişim mekanizmaları kullanın.
- EDR ve SIEM çözümleri ile anormal davranışları ve lateral hareketleri tespit edin.
- Olay müdahale planlarını güncel tutarak hızlı aksiyon alın.
- Uç nokta ve bulut ortamları arasında veri transferlerini kısıtlayarak olası veri köprülerini azaltın.
Teknik Özet
- Kullanılan araçlar: Gömülü kötü amaçlı Python kodu, Kubernetes CLI benzeri ikili dosya, arka kapılar.
- Hedef sektör: Kripto para ve finansal teknoloji firmaları.
- Saldırı zinciri: Sosyal mühendislik ile trojanlı dosya indirme → AirDrop ile kurumsal cihaza aktarım → kötü amaçlı kod çalıştırma → Kubernetes ortamına erişim → kalıcılık ve ayrıcalık yükseltme → veri tabanı erişimi ve hesap değişiklikleri → dijital varlık hırsızlığı.
- Önerilen savunma: Zero Trust mimarisi, güçlü IAM politikaları, MFA, konteyner izolasyonu, P2P veri transfer kısıtlamaları, kapsamlı loglama ve anomali tespiti.