Yapay Zeka Destekli Saldırganlar Bulut Hedeflerini 72 Saatte Ele Geçiriyor Siber Güvenlik

Yapay Zeka Destekli Saldırganlar Bulut Hedeflerini 72 Saatte Ele Geçiriyor

Sygnia raporu: Tek bir tehdit aktörü, yapay zeka destekli tekniklerle AWS bulut ortamını 72 saatte ele geçirdi. Hız ve ölçek için AI kullanıldı.

Yapay zeka, siber saldırıları hızlandırmak için giderek daha fazla kullanılıyor. Sygnia'nın yeni raporuna göre, tek bir tehdit aktörü, yapay zeka destekli teknikler sayesinde normalde haftalar sürecek bir bulut saldırısını sadece 72 saatte gerçekleştirdi. 'Inside an AI-Assisted Cloud Attack: Familiar Techniques at Unfamiliar Speed' başlıklı raporda, saldırganın yeni kötü amaçlı yazılım veya sıfır gün açıkları yerine, mevcut teknikleri AI ile hızlandırdığı vurgulanıyor.

Saldırı, AWS bulut ortamında gerçekleşti ve hedef fidye talebiydi. Saldırgan, internet üzerinden erişilebilen bir uygulamadaki zafiyetten yararlanarak bir AWS hesabına erişim anahtarı elde etti. Ardından, AI destekli veya ajan AI iş akışlarını kullanarak dört eşzamanlı görevi başlattı: sırların ve kimlik bilgilerinin çalınması, kalıcılık mekanizmaları oluşturma, veri sızdırma ve etki eylemleri.

Saldırgan, AWS ortamının çeşitli katmanlarında sırlar ve kimlik bilgileri aradı. S3 bucket'larında düz metin olarak saklanan sırlar, uygulama veritabanlarındaki API anahtarları, AWS Secrets Manager'da saklanan sırlar ve AWS Systems Manager Parameter Store'daki parametreler hedef alındı. Ayrıca, yeni erişim anahtarları ve IAM kullanıcıları oluşturarak, EC2 örneklerinde ve ECS konteynırlarında ters kabuklar kurarak ve dağıtım dosyalarını değiştirerek kalıcılık sağladı.

Detaylar ve Etkileri

Veri sızdırma aşamasında, RDS veritabanlarından veriler exfiltrate edildi. Etki eylemleri olarak ise S3 bucket'larına erişimin engellenmesi, ECS servislerinin maksimum kapasitesinin sıfıra düşürülmesi, ağ erişimini engelleyen ACL kuralları oluşturulması ve SQS kuyruklarının temizlenmesi gibi işlemler yapıldı. Tüm bu faaliyetler, kurumun görünürlük, izleme, kimlik kontrolleri ve olay hazırlığındaki eksikliklerinden faydalanılarak gerçekleştirildi.

Sygnia'nın olay müdahale başkan yardımcısı Avi Dayan, bu vakanın savunmacılar için büyüyen bir zorluğu vurguladığını belirtti: 'Büyük dil modelleri ve ajan AI daha erişilebilir hale geldikçe, saldırı iş akışlarını hızlandırma ve daha az karmaşık tehdit aktörlerinin benzeri görülmemiş hız ve ölçekte hareket etmesine olanak tanıma potansiyeline sahipler.' Bu durum, bulut güvenliği stratejilerinin yeniden değerlendirilmesini gerektiriyor.

Sygnia, ağ savunmacıları için aşağıdaki önlemleri öneriyor: Sır yönetimi politikalarının güçlendirilmesi, kimlik yönetiminde sıkı kontroller, dağıtım iş akışlarının güvenliğinin artırılması, bulut izinlerinin düzenli olarak denetlenmesi, görünürlük ve izleme araçlarının geliştirilmesi, olay müdahale planlarının güncellenmesi ve AI destekli tehdit avcılığı yeteneklerinin entegre edilmesi. Ayrıca, bulut ortamlarında en az ayrıcalık ilkesinin uygulanması ve düzenli güvenlik denetimlerinin yapılması kritik öneme sahip.

Kaynak: infosecurity-magazine.com

Paylaş: