Amerika Birleşik Devletleri, siber suçlarla mücadele etmek için büyük bir konut proxy botnet hizmeti işletmekten sorumlu bir siber suç ağına yaptırımlar uyguladı.
Bu ağ, 911.re, çeşitli yasa dışı faaliyetlere karışmıştır. Kötü amaçlı trafiği anonimleştirmek ve tespit edilmekten kaçınmak için yerleşik IP adreslerinden yararlanır.
911.re Ağı
Bir Hizmet Olarak Konut Proxy’leri (RPAAS) platformu olan 911.re hizmeti, 2018’in başından bu yana faaliyet gösteriyor.
ABD HAZİNE BAKANLIĞI raporlarına göre, kullanıcıların konut IP adreslerini kiralamasına olanak tanıyarak internet trafiğinin meşru konut kullanıcılarından geliyormuş gibi görünmesini sağlıyor.
All-in-One Cybersecurity Platform for MSPs to provide full breach protection with a single tool, Watch a Full Demo
Bu tür hizmetler pazar araştırmaları ve SEO gibi meşru amaçlarla kullanılabilse de, aynı zamanda suç faaliyetleri için de bir koruma sağlayarak kötü niyetli trafiğin kaynağına kadar izlenmesini zorlaştırır.
Ocak 2021’de başlatılan kapsamlı bir araştırma projesi, 911.re ağının kapsamlı altyapısını ortaya çıkardı.
Araştırma, 911.’in inceleme veya doğrulama olmadan çalıştığını ve herkesin konut düğümü kiralamasına izin verdiğini ortaya çıkardı.
Ağ, dünya çapında dağıtılan 120.000’den fazla konut proxy düğümünden oluşuyor ve önemli yoğunlukları Amerika Birleşik Devletleri, Güney Kore, Peru ve Japonya’da bulunuyor.
911.re ağı, iki ücretsiz VPN hizmeti olan Mask VPN ve Dew VPN aracılığıyla konut düğümlerini işe alır.
Meşru görünen bu uygulamalar, kullanıcıların bilgisayarlarına, kendilerini bilgilendirilmiş rızaları olmadan 911.re ağına bağlayan yazılımlar yükler.
Etkilenen düğümler, komut ve kontrol (C2) sunucularıyla kalıcı bir TCP bağlantısı sağlar ve bu da onları 911.re istemcileri tarafından kullanılabilir hale getirir.
Araştırma, 911.re ağıyla ilişkili çeşitli güvenlik açıklarını ve potansiyel istismarları vurguladı.
Bunlar şunları içerir:
- IP Filtrelemeye Dayalı Hizmet İstismarları: 911. yeniden kullanıcılar, ISP müşteri hizmetlerine erişebilir ve konut proxy sahibi kılığına girerek potansiyel olarak gizli bilgiler elde edebilir.
- Yanal Hareket Saldırıları: Bulaşma, 911.re kullanıcılarının yerel ağdaki paylaşılan kaynaklara erişmesine ve etkilenen düğümün LAN ağını incelemesine olanak tanır.
- DNS Yönlendirici Önbellek Zehirlenmesi: Saldırganlar LAN yönlendiricisinin DNS önbelleğini zehirleyerek daha fazla saldırı yapılmasına olanak sağlayabilir.
911.re ağının işleyişi önemli yasal ve etik kaygılara yol açmaktadır.
Çoğu zaman katılımlarının farkında olmayan yerleşik düğüm sahipleri, bilgisayarlarının kötü niyetli faaliyetler için kullanılması durumunda cezai veya hukuki sorumlulukla karşı karşıya kalabilir.
Bilgilendirilmiş onam eksikliği ve ciddi hukuki sonuçların ortaya çıkma potansiyeli, bu tür hizmetlerin daha sıkı düzenlemelere ve denetime ihtiyaç duyduğunun altını çiziyor.
Bu bulgulara yanıt olarak ABD hükümeti, 911.re ağının arkasındaki kuruluşlara yaptırımlar uyguladı.
Yaptırımlar, Mask VPN ve Dew VPN ikili dosyalarını imzalamak için kullanılan paravan şirketler International Media Ltd ve Grand Media Ltd’yi hedef alıyor.
Bu önlemler, 911.re ağının operasyonlarını aksatmayı ve operatörlerini siber suçları kolaylaştırmadaki rollerinden sorumlu tutmayı amaçlıyor.
911.re ağının keşfedilmesi ve açığa çıkarılması, siber suç ortamında yerleşik proxy botnet’lerin büyüyen tehdidini ortaya koyuyor.
ABD yaptırımları, bu tehditle mücadelede ve bireyleri ve kuruluşları bu tür hizmetlerle ilişkili risklerden korumada çok önemli bir adımı temsil ediyor.
Ağın tüm kapsamını ele almak ve gelecekteki benzer tehditleri önlemek için daha fazla araştırma ve uluslararası işbirliği şarttır.
Uzlaşma göstergeleri (IOC’ler)
Binaries
·Maskvpn.exe (2/68 virus total)
MD5: a220528f31dceddc955b791b13ac4989
SHA-1: 57a83b83a11b6e27c9e88a7835d8a84744d79bdd
SHA-256: e801fa187027537337d8b4e4bde3a7da95499172f6b1477830a216d0a385518b
·Dewvpn.exe (1/67 virus total)
MD5: 12059484a8951a8356c60c46f659a35e
SHA1: 3916aeaa61a6e97d6c1746b18c05fd77584de5d8
SHA256: daa21c58a1ace38d1eebcda6fef3502fa3492ccf09fbccfa6ce103c9222d9afc
·maskvpn-setup.exe (2/68 virus total)
MD5: f9634d85ca0138cfddfe6e58fa1c6160
SHA1: 5ffa0b96b7257d804beddb87b0a21e871a1296b4
SHA256: 1013eb0e3dbbc16c8b6d0659cca46a084e767b2d9bb8e498e07016bfdb978780
·mask_svc.exe (1/67 virus total)
MD5: c6b1934d3e588271f27a38bfeed42abb
SHA1:08072ecb9042e6f7383d118c78d45b42a418864f
SHA256: 35ec7f4d10493f28d582440719e6f622d9a2a102e40a0bc7c4924a3635a7f5a8
DewVPN-Setup.exe (1/67 virus total)
MD5: 8e8b072c93246808a7f24554ca593c59
SHA1: d06418cacd11e25af37a41724d55dffc24d6fe5b
SHA256: f422a38d72785c402948c94ae81336383a9fd48167272f29cdc434ce7e51e02b
dew_svc.exe (0/69 virus total)
MD5: 5feb35a7186a5be50b7aa158866b8aa3
SHA1:c0c7e272f3e48d8dfe559aa5f63ad3a46c76fb9e
SHA256: a8e72d202f9a83e6bdfd03a822fae6d4ee2d4b35a6f73a06e9d59e2e49b3070a
DNS sorguları:
. vpn[.]maskvpn[.]org
· user[.]maskvpn[.]org
· net[.]dewvpn[.]com
· wan[.]dewvpn[.]net
· connect[.]dewvpn[.]cc
IPv4:
98.126.176.51
· 98.126.176.52
· 98.126.176.53
· 67.198.169.2
· 98.126.244.26
· 98.126.13.146
· 174.139.80.66
· 67.229.60.114
· 174.139.78.106
· 98.126.1.130
· 174.139.100.202
· 67.198.134.186
· 98.126.5.106
Outgoing TCP ports used by Mask VPN and Dew VPN to initiate persistent C2 communications
· 441 TCP
· 430 TCP
· 433 TCP
· 434 TCP
· 436 TCP
· 440 TCP
· 439 TCP
· 435 TCP
· 428 TCP
· 432 TCP
· 438 TCP
Get special offers from ANY.RUN Sandbox. Until May 31, get 6 months of free service or extra licenses. Sign up for free.