Yazılım & İşletim SistemiOrta

TeamPCP Tarafından Kubernetes Ortamlarına Yönelik İran Hedefli Silici (Wiper) Saldırılarının Tespiti ve Önlenmesi

TeamPCP hacker grubu, Kubernetes kümelerini hedef alarak İran ile ilişkili sistemleri tespit ettiğinde tüm verileri silen kötü amaçlı bir betik dağıtmaktadır. Bu makale, tehdidi ve savunma stratejilerini detaylandırır.

B
Bleeping Computer Tutorials
7 görüntülenme
TeamPCP Tarafından Kubernetes Ortamlarına Yönelik İran Hedefli Silici (Wiper) Saldırılarının Tespiti ve Önlenmesi

TeamPCP Tarafından Kubernetes Ortamlarına Yönelik İran Hedefli Silici (Wiper) Saldırılarının Tespiti ve Önlenmesi

Zorluk Seviyesi: intermediate

Giriş ve Tehdit Özeti

Siber güvenlik araştırmacıları, TeamPCP olarak bilinen bir hacker grubunun, özellikle Kubernetes (K8s) kümelerini hedef alan sofistike bir silici (wiper) saldırısı başlattığını tespit etmiştir. Bu saldırının ayırt edici özelliği, hedeflenen sistemlerin coğrafi konumunu veya yapılandırmasını kontrol etmesi ve eğer sistemin İran ile ilişkili olduğunu tespit ederse, tüm verileri kalıcı olarak silmesidir. Bu tür wiper saldırıları, sadece veri kaybına değil, aynı zamanda operasyonel kesintilere ve uzun süreli kurtarma maliyetlerine de yol açar.

Saldırı Mekanizması ve Tespit Kriterleri

TeamPCP'nin kullandığı kötü amaçlı betik, genellikle Kubernetes podları veya kontrol düzlemi bileşenleri aracılığıyla sisteme sızar. Sızmanın ardından, betik sistem üzerinde belirli kontrol mekanizmalarını tetikler. Tespit mekanizması genellikle aşağıdaki yöntemleri içerir:

  • Coğrafi Konum Kontrolü: IP adresi tabanlı coğrafi konum (GeoIP) sorgulamaları ile sistemin İran içinde olup olmadığının doğrulanması.
  • Sistem Yapılandırması Kontrolü: Belirli dil ayarlarının (örneğin, Farsça dil paketlerinin varlığı) veya yerel kimlik bilgilerinin aranması.
  • K8s Kaynak Taraması: Küme içindeki tüm kalıcı birimleri (Persistent Volumes - PV) ve depolama sınıflarını (Storage Classes) tespit etme.

Eğer bu koşullardan herhangi biri doğruysa, wiper betiği yürütülür ve aşağıdaki yıkıcı eylemleri gerçekleştirir:

Savunma ve Önleme Adımları

Kubernetes ortamlarınızı bu tür coğrafi hedefli wiper saldırılarından korumak için çok katmanlı bir yaklaşım benimsenmelidir. Aşağıdaki adımlar, riskleri önemli ölçüde azaltmaya yardımcı olacaktır:

1. Ağ ve Erişim Kontrolü

En kritik adım, saldırganların küme içine sızmasını engellemektir.

  1. RBAC Sıkılaştırması: En az ayrıcalık ilkesini uygulayın. Podların ve hizmet hesaplarının (Service Accounts) yalnızca ihtiyaç duydukları kaynaklara erişimine izin verin.
  2. Ağ Politikaları (Network Policies): Podlar arası iletişimi kısıtlayın. Yalnızca gerekli olan iç ve dış iletişim yollarına izin verin.
  3. Güvenli Dış Erişim: Kubernetes API sunucusuna erişimi yalnızca güvenilir kaynak IP'leri ile sınırlayın (VPN veya özel ağlar aracılığıyla).

2. Görüntü Güvenliği ve Yürütme Ortamı

Kötü amaçlı betiklerin yürütülmesini engellemek için konteyner güvenliğini artırın.

  1. Güvenilmeyen Görüntüleri Engelleme: Kayıt defterlerinizde yalnızca imzalı ve bilinen iyi durumdaki (whitelisted) konteyner görüntülerini kullanın.
  2. Güvenlik Bağlam Kısıtlamaları (Security Context Constraints - SCCs): Podların kök kullanıcı olarak çalışmasını, hostPath kullanmasını veya tehlikeli yetkilere sahip olmasını engelleyin.
UYARI: Eğer kümeniz İran'da barındırılan bir altyapıdan erişim gerektirmiyorsa, GeoIP filtrelemesi uygulayarak İran kaynaklı tüm trafiği ağ katmanında reddetmek etkili bir önleyici adım olabilir.

3. Veri Yedekleme ve Kurtarma Stratejisi

Wiper saldırılarında veri kurtarma, yedeklemeye bağlıdır. Kubernetes ortamları için özel bir strateji gereklidir.

  1. Etkili Yedekleme: Etcd veritabanını ve tüm kalıcı birimleri (PV/PVC) düzenli olarak yedekleyin.
  2. Off-site Yedekleme: Yedeklemeleri, saldırganların erişemeyeceği, ağdan izole edilmiş (air-gapped) bir konuma taşıyın.
  3. Kurtarma Testleri: Yedeklemelerinizin gerçekten işe yaradığından emin olmak için periyodik olarak kurtarma tatbikatları yapın.

İzleme ve Anomali Tespiti

Saldırının erken aşamalarında tespit, yıkımı en aza indirir. Aşağıdaki komutlar, potansiyel anormal aktiviteyi kontrol etmek için kullanılabilir:

# Şüpheli podları veya yeni oluşturulan podları listeleme
kubectl get pods --all-namespaces -o wide | grep -i pending

# Sistem komutlarını çalıştırma potansiyeli olan şüpheli bir podun içine girme (eğer sızma şüphesi varsa)
kubectl exec -it <süpheli-pod-adi> -- /bin/sh

# Kötü amaçlı bir betiğin olası izlerini arama (Örn: /tmp veya /var/run altında şüpheli dosyalar)
kubectl exec -it <süpheli-pod-adi> -- find / -name "*wipe*" 2>/dev/null

Sürekli izleme araçları (örneğin Falco veya eBPF tabanlı çözümler) kullanarak, normalde bir konteynerin yapmaması gereken sistem çağrılarını (örneğin, disk silme komutları) tespit etmek hayati önem taşır.

İlgili Makaleler