Yapay Zeka Destekli Saldırı: Tek Bir Tehdit Aktörü 72 Saatte Bulut Hedefini Nasıl Ele Geçirdi? Siber Güvenlik

Yapay Zeka Destekli Saldırı: Tek Bir Tehdit Aktörü 72 Saatte Bulut Hedefini Nasıl Ele Geçirdi?

Sygnia raporu: Yapay zeka destekli bir tehdit aktörü, haftalar sürecek bulut saldırısını 72 saatte gerçekleştirdi. Hedef AWS ortamıydı.

Yapay zeka, siber saldırıları hızlandırarak tehdit aktörlerine benzeri görülmemiş bir avantaj sağlıyor. Sygnia'nın yeni raporu, tek bir tehdit aktörünün yapay zeka yardımıyla normalde haftalar sürecek bir bulut saldırısını sadece 72 saatte tamamladığını ortaya koydu. 'Inside an AI-Assisted Cloud Attack: Familiar Techniques at Unfamiliar Speed' başlıklı raporda, saldırganın yeni kötü amaçlı yazılım veya sıfır gün açıkları yerine, bilinen teknikleri yapay zeka sayesinde olağanüstü hızda kullandığı vurgulanıyor. Bu durum, bulut güvenliği için yeni bir tehdit boyutunu işaret ediyor.

Saldırı, AWS ortamında gerçekleşti ve amacı fidye talebiydi. Tehdit aktörü, sır yönetimi, kimlik yönetimi, dağıtım iş akışları ve bulut izinlerindeki kontrol boşluklarından yararlandı. İlk olarak, internet üzerinden erişilebilen bir uygulamadaki zayıflık sayesinde AWS hesabına ait bir erişim anahtarı ele geçirdi. Ardından, yapay zeka destekli veya ajan AI iş akışlarını kullanarak dört eşzamanlı görevi başlattı: sırları ve kimlik bilgilerini çalma, kalıcılık mekanizmaları oluşturma, veri sızdırma ve etki eylemleri gerçekleştirme.

Saldırgan, sır arama aşamasında AWS ortamının farklı katmanlarında düz metin olarak saklanan S3 bucket'larındaki sırları, uygulama veritabanlarındaki API anahtarlarını, AWS Secrets Manager'daki sırları ve AWS Systems Manager Parameter Store'daki parametreleri hedef aldı. Kalıcılık için yeni erişim anahtarları ve IAM kullanıcıları oluşturdu, EC2 instance'ları ve ECS container'larında ters kabuk kurdu, dağıtım dosyalarını değiştirdi. Veri sızdırma işlemi RDS veritabanlarından yapıldı. Etki eylemleri olarak S3 bucket'larına erişimi engelleme, ECS servislerini maksimum sıfır kapasiteye düşürme, ACL kurallarıyla ağ erişimini bloke etme ve SQS kuyruklarını temizleme gibi işlemler gerçekleştirildi.

Gelecekte Ne Bekleniyor?

Raporda ayrıca, tehdit aktörünün kurban organizasyonun görünürlük, izleme, kimlik kontrolleri ve olay hazırlığındaki boşluklarından faydalandığı belirtiliyor. Sygnia'nın olay müdahale başkan yardımcısı Avi Dayan, 'Bu vaka, savunmacılar için büyüyen bir zorluğu vurguluyor: büyük dil modelleri ve ajan AI daha erişilebilir hale geldikçe, giriş engelini düşürme, saldırı iş akışlarını hızlandırma ve daha az karmaşık veya kaynak kısıtlı tehdit aktörlerinin benzeri görülmemiş bir hız ve ölçekte hareket etmelerine olanak sağlama potansiyeline sahipler' dedi.

Bu tür saldırılara karşı ağ savunucuları için Sygnia'nın önerdiği önlemler arasında, sır yönetiminin sıkılaştırılması, kimlik yönetimi kontrollerinin güçlendirilmesi, bulut izinlerinin düzenli olarak gözden geçirilmesi, dağıtım iş akışlarında güvenlik kontrollerinin artırılması ve sürekli izleme ile anomali tespit sistemlerinin geliştirilmesi yer alıyor. Özellikle, düz metin sırların kullanımından kaçınılması ve tüm sırların şifrelenmiş olarak saklanması kritik önem taşıyor. Ayrıca, IAM politikalarının en az ayrıcalık prensibine göre yapılandırılması ve düzenli denetimlerle kontrol edilmesi gerekiyor.

Sonuç olarak, yapay zeka destekli bulut saldırıları, geleneksel savunma mekanizmalarını aşmak için yeni bir hız ve ölçek sunuyor. Kuruluşların, bu tür tehditlere karşı hazırlıklı olmak için bulut güvenliği stratejilerini gözden geçirmeleri, yapay zeka tabanlı savunma araçlarını entegre etmeleri ve olay müdahale planlarını güncellemeleri gerekiyor. Ajan AI tehditlerine karşı proaktif bir yaklaşım benimsemek, veri ihlallerini ve mali kayıpları önlemede hayati rol oynayacaktır.

Kaynak: infosecurity-magazine.com

Paylaş: