Son zamanlarda “Scattered Spider” adını siber güvenlik olaylarında çok duyar olduk. Peki kim bu adamlar? Ne yapıyorlar da herkesin dikkatini çekiyorlar?
Bu yazıda, bu genç ama oldukça etkili tehdit aktörünü ve özellikle bulut ortamlarına nasıl sızdığını kendi gözümden anlatmak istedim. Hem saldırı tekniklerinden hem de kurumlar neler yapmalı kısmından bahsedeceğim. Çayını al gel, başlıyoruz. :)
Scattered Spider (diğer adıyla UNC3944), 2022’den beri aktif olan, genellikle finansal kazanç için çalışan bir saldırgan grubu. Diğerlerinden farkları ne?
👉 Gençler.
👉 Sosyal mühendisliği çok iyi biliyorlar.
👉 Teknik becerileri de hiç azımsanacak gibi değil.
En çok dikkat çektikleri olaylardan biri MGM Resorts ve Caesars Entertainment gibi büyük firmalara yaptıkları saldırılar. Ve evet, bu saldırılar doğrudan cloud (bulut) sistemlerini hedef aldı. Yakın zamanda da İngiltere merkezli perakende devi Marks & Spencer (M&S)’a yönelik bir saldırıyla bağlantılı olduğu iddia edildi. Sky News’in haberine göre, grup bir kez daha kimlik hırsızlığı ve sosyal mühendislik yoluyla sistemlere sızarak büyük bir etki yaratmayı başardı.
Bu olay, grubun sadece ABD’de değil, Avrupa’da da aktif olduğunu ve hedef seçiminde büyük markaları tercih ettiğini bir kez daha gösterdi. Aynı zamanda bulut altyapılarının ve kimlik yönetiminin ne kadar kritik olduğunu hatırlatıyor.
Şimdi asıl konuya gelelim, bu adamlar nasıl oluyor da dev şirketlerin bulut ortamına sızabiliyorlar?
1. Sosyal mühendislik ile giriş
Genelde bir IT çalışanı gibi davranıp kurbanları arıyorlar. Sesli aramayla (vishing) ya da SIM kartı kopyalayarak MFA’yı (çok faktörlü doğrulama) atlatıyorlar.
2. Hesap bilgileri ile içeri sızma
Bu noktada ellerinde geçerli bir bulut hesabı oluyor. Genelde Azure ya da Okta gibi sistemlerde oturum açabiliyorlar.
3. Yetki yükseltme (Privilege Escalation)
Girdikten sonra “service principal” ya da admin hesapları gibi kimlikleri ele geçiriyor, yeni yetkiler tanımlıyorlar. Bu da onlara buluttaki hemen her şeye erişim hakkı veriyor.
4. Kalıcılık sağlama
Geldiler mi kolay gitmiyorlar. AnyDesk, ScreenConnect gibi uzaktan yönetim araçları kurup orada kalıyorlar.
Kullanılan MITRE ATT&CK Tekniklerinden Bazıları
| Tactic |
Technique |
Açıklama |
| Initial Access |
T1566.002 |
Sosyal mühendislikle hesap ele geçirme |
| Persistence |
T1556.006 |
MFA’yı atlatmak için yeni cihaz ekleme |
| Credential Access |
T1078.004 |
Cloud hesaplarını kullanma |
| Privilege Escalation |
T1098.003 |
Okta/Azure rollerini değiştirme |
| Defense Evasion |
T1110.003 |
Kimlik doğrulama sistemlerini atlatma |
Bu saldırılar klasik “virüs bulaştı” olayı gibi değil. Genelde loglarda bile zararsız gibi görünüyorlar çünkü mevcut sistemleri kullanıyorlar, yani saldırganlar artık virüs kodlamıyor, kimlik çalıyor.
Kimlik = Yeni saldırı yüzeyi.
Özellikle cloud sistemleri için bu, daha da büyük bir tehlike.
Kurumlar Ne Yapmalı?
👉 MFA kullanmak artık yeterli değil, MFA kaydını kim yapıyor onu da izlemelisin.
👉 IAM (identity and access management) politikalarını gözden geçir.
👉 Service principal aktivitelerini izle: Yeni rol atamaları, cihaz eklemeleri gibi.
👉 Kullanıcı davranışlarını normalle karşılaştıran analizler geliştir. (UEBA)
Scattered Spider bize çok net bir şey söylüyor aslında!
“Güvenlik duvarını değil, insanı kandır.”
Eğer insan faktörünü, kimlik yönetimini ve cloud sistemlerini bütün olarak ele almıyorsan, bir yerden açık veriyorsun ;)
Dilerseniz SANS ın bu konudaki önlemlerini de okuyabilirsiniz :)