TECHNEIRO

TECHNEIRO
Siber Güvenlik

Scattered Spider Sanal Sunucuları Hedef Alıyor: Yeni Saldırı Yöntemi Güvenlik Araçlarını Atlatıyor!

ibrahim0

Scattered Spider Sanal Sunucuları Hedef Alıyor: Yeni Saldırı Yöntemi Güvenlik Araçlarını Atlatıyor!

Siber suç dünyasının en meşhur ve en cüretkar gruplarından biri olan Scattered Spider, şimdi de kurumsal altyapıların kalbi olan VMware ESXi sanallaştırma sunucularını (hypervisors) hedef alan yeni ve son derece etkili bir saldırı yöntemiyle gündemde. Google’ın Mandiant siber güvenlik ekibi tarafından yayınlanan kapsamlı bir analize göre, bu grup, yazılım açıklarından ziyade, son derece ikna edici sosyal mühendislik taktikleri kullanarak şirketlerin en kritik sistemlerine sızıyor.

Bu saldırı yöntemini özellikle tehlikeli kılan ise, saldırganların fidye yazılımını doğrudan sanallaştırma sunucusu üzerinden dağıtarak, geleneksel güvenlik araçlarını atlatması ve arkalarında çok az iz bırakması.

Saldırı Zinciri: IT Yardım Masasını Aramakla Başlayan Kabus

Scattered Spider’ın (diğer adlarıyla 0ktapus, UNC3944 vb.) temel taktikleri, teknolojik karmaşıklıktan çok, insan psikolojisini hedef alıyor. İşte beş aşamalı saldırı zinciri:

  1. İlk Sızma ve Keşif: Her şey, saldırganların şirketin IT yardım masasını aramasıyla başlıyor. Kendilerini genellikle üst düzey bir yönetici gibi tanıtarak, şifre sıfırlama talebinde bulunuyorlar ve bu yolla ilk erişimi elde ediyorlar. İçeri girdikten sonra, IT dokümantasyonlarını, destek rehberlerini ve yönetici şifrelerinin saklandığı HashiCorp Vault gibi sistemleri tarayarak değerli bilgiler topluyorlar.
  2. Sanal Ortama Sıçrama: Ele geçirdikleri yönetici kimlik bilgileriyle, şirketin Active Directory’si üzerinden VMware vCenter Sunucusuna erişiyorlar. Ardından, güvenlik duvarı kurallarını atlatan kalıcı ve şifreli bir arka kapı (reverse shell) oluşturuyorlar.
  3. “Disk Değiştirme” Saldırısı: Saldırganlar, ESXi sunucularında SSH bağlantılarını etkinleştirip root şifrelerini sıfırladıktan sonra, “disk değiştirme” adı verilen dahiyane bir saldırı gerçekleştiriyorlar. Bu yöntemde:
    • Bir Alan Adı Denetleyicisi (Domain Controller) sanal makinesini kapatıyorlar.
    • Sanal diskini ayırıp, kendi kontrollerindeki izlenmeyen başka bir sanal makineye bağlıyorlar.
    • Active Directory’nin tüm şifrelerini ve bilgilerini içeren NTDS.dit dosyasını kopyalıyorlar.
    • Son olarak, tüm süreci tersine çevirip Alan Adı Denetleyicisi’ni hiçbir şey olmamış gibi yeniden başlatıyorlar.
  4. Kurtarmayı Engelleme: Ele geçirdikleri erişimi kullanarak, şirketin yedekleme işlerini, anlık görüntülerini (snapshots) ve depolarını silerek, olası bir kurtarma operasyonunu sabote ediyorlar.
  5. Fidye Yazılımı Dağıtımı: Son adım olarak, ESXi sunucularına SSH erişimini kullanarak, kendi özel fidye yazılımı kodlarını doğrudan sanallaştırma katmanından dağıtıyorlar.

Neden Bu Kadar Etkili? Hız ve Gizlilik

Google, bu yöntemin geleneksel Windows fidye yazılımlarından iki temel yönden ayrıldığını belirtiyor: Hız ve Gizlilik.

  • Hız: Tüm enfeksiyon süreci, ilk yardım masası aramasından, veri sızıntısına ve son fidye yazılımı dağıtımına kadar, sadece birkaç saat gibi kısa bir sürede tamamlanabiliyor.
  • Gizlilik: Saldırı, işletim sisteminin en alt katmanı olan sanallaştırma sunucusu üzerinden yapıldığı için, genellikle sanal makineler üzerinde çalışan Uç Nokta Tespiti ve Yanıtı (EDR) gibi güvenlik araçlarını tamamen atlatabiliyor.

Kurumlar İçin Korunma Yöntemleri

Google, bu yeni nesil tehditlere karşı korunmak için savunma stratejisinde temel bir değişiklik yapılması gerektiğini vurguluyor. İşte önerilen üç katmanlı koruma:

  • Altyapıyı Güçlendirme: vSphere kilitleme modunu etkinleştirin, eski ve kullanılmayan sanal makineleri hizmetten kaldırın ve özellikle IT yardım masası süreçlerinizi daha güvenli hale getirin.
  • Kimlik Altyapısını İzole Etme: Oltalama saldırılarına karşı dirençli çok faktörlü kimlik doğrulama (MFA) uygulayın ve kritik kimlik altyapınızı izole edin.
  • Yedekleri Koruma ve İzleme: Anahtar logları merkezi olarak toplayın ve izleyin. Yedeklerinizi üretim Active Directory’sinden izole edin ve ele geçirilmiş bir yönetici tarafından erişilemez olduğundan emin olun.

Scattered Spider’ın bu yeni saldırı yöntemi, en olgun güvenlik programlarına sahip şirketlerin bile, basit bir telefon görüşmesiyle nasıl alt edilebileceğini gösteriyor. Bu durum, siber güvenliğin sadece teknolojik bir sorun olmadığını, aynı zamanda insan ve süreç odaklı bir mücadele olduğunu bir kez daha kanıtlıyor.

Sizin çalıştığınız kurumda IT yardım masası, bu tür sosyal mühendislik saldırılarına karşı ne kadar hazırlıklı? Bu olay, sanallaştırma altyapılarının güvenliği hakkındaki düşüncelerinizi nasıl etkiledi? Düşüncelerinizi yorumlarda bizimle paylaşın!

Bu Konuyla İlgili Diğer “Nedir?” Yazılarımız:

Dijital dünyada güvende kalmanızı sağlayacak en son siber güvenlik tehditleri, korunma yöntemleri ve gizlilik ipuçları için techneiro.com‘u takip etmeye devam edin!

İlgili Gönderiler

Bulut Güvenliğinde Deprem: 200 Dev Şirketin Verileri Sızdı!

ibrahim

Google’dan Android İçin Radikal Karar: Artık Tüm Uygulama Geliştiricileri Kimliğini Doğrulamak Zorunda!

ibrahim

Düşündüğünüzden Daha Fazla Veri Toplayan 5 Popüler Uygulama

ibrahim

Bir Yorum Bırakın

Bir sonraki yorumumda kullanılmak üzere adımın, e-posta adresimin ve internet sitemin bu tarayıcıda kaydedilmesini sağla.