Kripto Madencilik Yazılımları GCP Sanal Sunucularını Tehdit Ediyor
Google Cloud Platform’daki (GCP) bulut sistemlere yönelik düzenlenen tipik saldırılarla ilgili Google’ın hazırladığı raporda neler yer alıyor?
2021’in sonunda Google, bulut kullanıcılarına yönelik tipik tehditlere ilişkin Google Cloud Platform’un güvenliğine odaklanan ilk raporunu yayınladı. Google Cloud Platform, kurumsal müşterilere bulut sistemler oluşturmak için tek tek uygulamaların barındırılması ve çalıştırılmasından yüksek performanslı bilgi işlem dağıtımına kadar çok sayıda senaryo sunuyor.
Google Cloud Platform örneklerine saldırmanın nedenleri
Rapor, özel sunuculara veya uygulamalara yönelik son 50 başarılı saldırıyı analiz ederek özel GCP örneklerine yönelik saldırıların nedenlerine ve sonuçlarına odaklanıyor. Google’ın analiz ettiği vakaların %48’i, sunucu tabanlı hesaplarda zayıf bir parolanın kullanılmasından (veya hiç bir parola kullanılmamasından) kaynaklanıyordu. Vakaların %26’sında hackerlar bulut sunucusu yazılımındaki bir güvenlik açığı kullandı. Yanlış sunucu veya uygulama yapılandırması %12 vakaya yol açarken, vakaların yalnızca %4’ü parola veya erişim anahtarı sızıntılarından kaynaklanıyordu.
İkinci kategori, geliştiriciler için alışılmadık olmayan bir hataya dayanıyordu: GitHub veya benzer bir hizmetteki halka açık bir havuza kaynak koduyla birlikte kimlik doğrulama verilerinin yüklenmesi. GitGuardian tarafından hazırlanan bir rapora göre, her gün 5.000’e kadar “gizli bilgi” (API anahtarları, parola/kullanıcı adı ikilisi, sertifikalar) GitHub’a yükleniyor ve 2020’de bu tarzda 2 milyon sızıntı görüldü.
Google, siber suçluların belirli şirketleri hedef almama eğiliminde olduğunu, bunun yerine güvenlik açığı bulunan örnekleri aramak için Google Cloud Platform’a ait tüm IP adreslerini düzenli olarak taradığını belirtiyor. Bu otomasyonun anlamı açıktır: Korunmasız bir sunucuyu internet üzerinden erişilebilir hale getirirseniz, hacklenme ihtimali hemen hemen kesindir ve muhtemelen yakında hacklenecektir (bazı durumlarda, saldırı yeni bir örneğin oluşturulmasından sonraki 30 dakika içinde başlamıştır). Hacklenen sunucuların çoğu yarım dakika içinde yasadışı operasyonlara dahil edildiğinden, hacklenme ile kötü niyetli faaliyetlerin başlaması arasındaki süre daha da kısadır.
Saldırganlar neden Google Cloud Platform örneklerini tercih ediyor?
Siber suçlular, hackledikten sonra bulut kaynaklarıyla ne yapıyor? Vakaların büyük çoğunluğunda (%86), sunucuya bir kripto madencilik yazılımı (kripto para birimi oluşturmak için başkalarının kaynaklarını kullanan bir program) kuruldu. En yaygın olarak kritp madencilikte kullanılan kaynaklar CPU/GPU kaynaklarıdır, ancak raporda aynı zamanda boş disk alanından yararlanan Chia kripto para birimi madenciliğinden de bahsediliyor. Vakaların diğer %10’unu oluşturan güvenliği ihlal edilmiş sunucular, yeni kurbanları aramak için bağlantı noktası taraması için kullanıldı. Vakaların %8’inde ise sunucudan diğer ağ kaynaklarına saldırı gerçekleştirildi. Ele geçirilen bulut platformu sunucularının kullanıldığı daha nadir yasa dışı etkinlik türleri arasında şunlar yer alıyor: Kötü amaçlı yazılım, yasak içerik veya her ikisini birden barındırma, DDoS saldırılarını gerçekleştirme ve spam e-posta dağıtımı.
Birisi bir bulut hizmetini hackleyip, kripto madencilik yazılımı kurarsa, eylemleri yalnızca müşterinin itibarını zedelemekle ve kendi uygulamalarına veya internet sitelerine erişimi riske atmakla kalmaz, aynı zamanda kurbanları da sadece birkaç saat içinde bile büyük tutarda hizmet kullanım faturalarıyla karşı karşıya bırakabilir.
GCP örneklerinin güvenliğini sağlamaya yönelik öneriler
Google’ın incelediği çoğu vakada kullanıcılar, güçlü parolalar ve ek yetkilendirme faktörleri kullanmak, kaynak kodu yüklerken gereken özeni göstermek ve bilinen güvenlik açıklarını düzeltmek için yüklü olan yazılımları düzenli olarak güncellemek gibi minimum güvenlik gereksinimlerini takip ederek yaşanan sorunların önüne geçebilirdi.
Genel olarak, bulut sistemler için de diğer altyapı türleri ile aynı koruma önlemlerini uygulamak gerekiyor. Asgari olarak düzenli denetimlere, şüpheli faaliyetlerin izlenmesine ve kritik verilerin yalıtılmasına ihtiyaç duyarlar.
Yalnızca Google Cloud Platform kullanan kuruluşlar için değil altyapısını genel bulut hizmetlerine dağıtan tüm işletmelerin birkaç ek önlem alınması gereklidir. Google’ın belirttiği gibi, bu önlemlerin en önemlilerinden biri, kaynak tüketiminin belirli bir eşiği aştığını belirlemek veya maliyetlerde hızlı bir artış tespit etmek için otomatik koşullu uyarılar ayarlamaktır.
Kaynak: https://www.kaspersky.com.tr/blog/attacks-on-google-cloud-platform/10448/
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.