01:33:06

Tuş Vuruşu Gecikmesiyle Yakalanan Kuzey Kore Bağlantılı Sızma Girişimi Amazon Güvenliğini Alarma Geçirdi

Görünüşte önemsiz bir teknik ayrıntı, küresel ölçekte faaliyet gösteren bir teknoloji devinin güvenlik zincirinde kritik bir kırılmayı ortaya çıkardı. Amazon’un ABD’deki IT altyapısında sistem yöneticisi olarak çalışan bir kişinin, aslında Kuzey Kore bağlantılı bir sahte kimlik taşıdığı, yalnızca 110 milisaniyeyi aşan bir tuş vuruşu gecikmesi sayesinde tespit edildi. Bu gecikme, insan algısının neredeyse sınırında yer alsa da, modern siber güvenlik analitiği için son derece anlamlı bir işaret olarak değerlendirildi…

Normal koşullarda, ABD sınırları içinden çalışan bir uzaktan personelin klavye girdilerinin sunuculara ulaşma süresi yaklaşık 8–10 milisaniye seviyesinde gerçekleşiyor. Coğrafi mesafe, ağ yönlendirmesi ve bağlantı türüne bağlı olarak bu süre küçük oynamalar gösterebilse de, 100 milisaniyenin üzerindeki değerler ciddi bir anomali olarak kabul ediliyor. Bloomberg tarafından aktarılan bilgilere göre, söz konusu çalışanın tuş vuruşları sistemlere 110 milisaniyeden daha uzun sürede ulaşıyordu ve bu durum güvenlik ekiplerinin dikkatini çekti.

Bu gecikme tek başına bir suç kanıtı değildi. Ancak Amazon’un güvenlik birimleri, uzun süredir uzaktan çalışan profiller üzerinde çok katmanlı davranış analizleri yürütüyor. IP adresleri, VPN kullanımı, çalışma saatleri, klavye düzeni tercihleri ve yazım ritmi gibi çok sayıda veri noktası birlikte değerlendiriliyor. Klavye gecikmesi, bu veriler arasında tutarsızlık yaratan ve daha derin bir incelemeyi tetikleyen kritik eşik oldu.

Yapılan detaylı analizler sonucunda, çalışanın ABD’de bulunduğunu iddia ettiği konum ile gerçek bağlantı noktaları arasında ciddi bir uyumsuzluk olduğu belirlendi. Ağ trafiği dolaylı ve çok katmanlı yönlendirmeler üzerinden geçiyor, bu da coğrafi gizleme çabasına işaret ediyordu. İnceleme ilerledikçe, sahte kimlik belgeleri, başkalarına ait özgeçmişler ve üçüncü kişiler üzerinden açılmış banka hesapları gibi klasik Kuzey Kore sızma yöntemlerine rastlandı.

Amazon Güvenlik Direktörü Stephen Schmidt, bu olayın tekil bir vaka olmadığını özellikle vurguluyor. Schmidt’e göre, Kuzey Kore bağlantılı gruplar son yıllarda ABD merkezli teknoloji şirketlerine sızmak için sistematik ve ölçeklenebilir yöntemler geliştiriyor. Amaç yalnızca istihbarat toplamak değil; aynı zamanda DPRK için döviz girdisi sağlamak ve gerektiğinde sabotaj ya da veri sızdırma operasyonları yürütmek.

Schmidt’in paylaştığı verilere göre, Amazon Nisan 2024’ten bu yana 1.800’den fazla Kuzey Kore bağlantılı sızma girişimini engelledi. Bu girişimler yalnızca yazılım geliştirici ya da sistem yöneticisi pozisyonlarıyla sınırlı değil. Bulut altyapısı, veri analizi, makine öğrenmesi ve teknik destek gibi farklı alanlar da hedef alınıyor. Şirket, bu tür girişimlerin sayısında çeyrek bazda yaklaşık yüzde 27’lik bir artış gözlemlediğini ifade ediyor.

Bu artış, uzaktan çalışma modelinin küresel ölçekte yaygınlaşmasının doğrudan bir sonucu olarak değerlendiriliyor. Fiziksel ofis zorunluluğunun ortadan kalkması, kimlik doğrulama süreçlerinin dijital belgelere dayanması ve uluslararası ekiplerin norm haline gelmesi, saldırganlar için yeni fırsat alanları oluşturuyor. Buna karşılık, gecikme analizi gibi mikro düzeyde teknik ölçümler, savunma tarafında beklenmedik avantajlar sağlıyor.

Tuş vuruşu gecikmesi analizi, klasik siber güvenlik araçlarından farklı olarak zararlı yazılım ya da ağ saldırısı aramıyor. Bunun yerine, insan-makine etkileşiminin fiziksel sınırlarına odaklanıyor. Işık hızına bağlı ağ gecikmeleri, okyanus aşırı bağlantılar ve yönlendirme katmanları, en gelişmiş gizleme teknikleri kullanılsa bile tamamen ortadan kaldırılamıyor. Bu da, coğrafi yalanların matematiksel olarak iz bırakmasına neden oluyor.

Ortaya çıkan bu vaka, kurumsal güvenliğin artık yalnızca yazılım açıkları ya da kötü amaçlı kodlarla sınırlı olmadığını net biçimde gösteriyor. İnsan faktörü, davranışsal biyometri ve milisaniyelik sapmalar, modern güvenlik stratejilerinin ayrılmaz parçaları haline gelmiş durumda. Amazon örneği, büyük ölçekli şirketlerin yalnızca reaktif değil, proaktif ve analitik güvenlik yaklaşımları geliştirdiğinde ne kadar etkili sonuçlar alabileceğini somut biçimde ortaya koyuyor.

Dipnot: Açık kaynaklara yansıyan bu tür vakaların yalnızca tespit edilen örnekleri temsil ettiği, benzer yöntemlerle halen fark edilmemiş sızma girişimlerinin bulunabileceği güvenlik uzmanları tarafından sıkça vurgulanmaktadır. Bu nedenle davranışsal analiz ve gecikme ölçümü gibi tekniklerin önümüzdeki dönemde daha yaygın kullanılması beklenmektedir.

Bu içeriği beğendiyseniz lütfen çevrenizle paylaşınız…