Tarihin en büyük kitlesel tuğlalama olaylarından birinde, aynı ISP hizmetinin abonelerine ait en az 600.000 yönlendirici geçen Ekim ayında esasen yok edildi. Olaya “Kabak Tutulması” adı verildi ve araştırmacılar, yönlendiricilerin nasıl etkilendiği konusunda hâlâ net değil.
Etkilenen cihazlar sabit bir kırmızı ışık gösteriyordu ve sorun giderme girişimlerine yanıt vermiyordu ve değiştirilmeleri gerekiyordu. Artık yeni araştırmalar, alışılmadık derecede karmaşık ve gizli saldırı yöntemleri içeren saldırıya ışık tutuyor.
‘Balkabağı Tutulması’ Yönlendirici Saldırısı
Saldırı, 25 Ekim 2023’te ISP abonelerinin ActionTec T3200 ve Sagemcom yönlendiricilerinin aniden çalışmayı bıraktığını bildirmesiyle başladı. Kullanıcılar, ön panelde sabit bir kırmızı ışık bulunan cihazların yanıt vermediğini belirtti.
Birçoğu, şirketin hatalı ürün yazılımı güncellemelerini zorladığını iddia ederek, yönlendiricilerin toplu olarak “tuğlalanması” nedeniyle ISP’yi suçladı. Ancak Black Lotus Labs’ın yeni araştırmasına göre olay aslında kasıtlı ve kötü niyetli bir eylemin sonucuydu.
Araştırmacılar, 72 saatlik bir süre boyunca “Chalubo” olarak bilinen bir kötü amaçlı yazılımın, isimsiz bir İSS’ye ait tek bir otonom sistem numarasına (ASN) bağlı 600.000’den fazla yönlendiriciye bulaştığını bildirdi. Araştırmacılar saldırıdan etkilenen İSS’nin adını vermekten kaçınırken, saldırının açıklaması, etkilenen yönlendirici ve bunun sonucunda ortaya çıkan davranış gibi Windstream ISP aboneleri tarafından aylar önce ifade edilen hayal kırıklıklarıyla örtüşüyor.
İlk kez 2018’de tanımlanan ticari bir uzaktan erişim truva atı (RAT) olan Chalubo kötü amaçlı yazılımı, izlerini gizlemek için karmaşık taktikler kullandı. Etkilenen cihazların disklerindeki tüm dosyaları kaldırdı, tamamen bellekte çalıştırdı ve yönlendiricilerde zaten mevcut olan rastgele işlem adlarını üstlendi.
Araştırmacılar, kötü amaçlı yazılımın, yönlendiricinin varsayılan aygıt yazılımının kalıcı olarak üzerine yazan ve onları kalıcı olarak kullanılamaz hale getiren kodu indirip çalıştırdığına inanıyor. Araştırmacılar, saldırının ardındaki motivasyonun bilinmemekle birlikte sonuçlarının endişe verici olduğunu belirtiyor.
Araştırmacılar İlk Saldırıdan Emin Değiller Ama Öneriler Sunuyorlar
Araştırmacılar, kötü amaçlı yazılımın çok zincirli saldırı sürecini ve ISP ağına yayılmasını tespit etse de, tehdit aktörünün kullandığı ilk enfeksiyon vektörünü belirleyemediler. Bunun muhtemelen doğal bir güvenlik açığından, zayıf kimlik bilgilerinden yararlanılmasından veya yönlendiricilerin yönetim panellerinin tehlikeye atılmasından kaynaklanabileceğini öne sürüyorlar.
Araştırmacılar, saldırının son derece endişe verici olduğunu, zira bu saldırının tüketici ağ cihazlarına toplu saldırı gerçekleştirebilecek kötü amaçlı yazılımlar için yeni bir emsal teşkil ettiğini söyledi. Araştırmacılar yalnızca daha önceki benzer bir olayı hatırlayabildiler: 2022’de Rus işgalinin başlangıcında Ukrayna ve Avrupa’da 10.000’den fazla uydu internet modemini devre dışı bırakan acidRain kötü amaçlı yazılımının keşfi.
Araştırmacılar, etkilenen ISP’nin hizmet alanının birçok kırsal ve yetersiz hizmet alan topluluğu kapsaması nedeniyle “Pumpkin Eclipse” saldırısının etkisinin özellikle şiddetli olduğunu söyledi. Bölge sakinleri acil servislere erişimlerini kaybetmiş olabilir, çiftçilerin uzaktan mahsul izleme olanağından mahrum kalmış olabilir ve sağlık hizmeti sağlayıcıları hasta kayıtlarına erişemeyebilir veya tele-sağlık hizmetleri sağlayamayabilir.
Lumen araştırmacıları, “Şu anda bunu ulus devletin veya devlet destekli bir kuruluşun işi olarak değerlendirmiyoruz” diye yazdı. Aslında bilinen yıkıcı faaliyet kümeleriyle herhangi bir örtüşme gözlemlemedik; özellikle Volt Typhoon veya SeaShell Blizzard gibi yıkıcı olaylara eğilimli olanlar.
Bununla birlikte, ticari amaçlı bir kötü amaçlı yazılım ailesinin kullanılmasının, failin potansiyel kimliğini gizlemeye yönelik kasıtlı bir hareket olabileceğini öne sürdüler.
Araştırmacılar, böyle bir tedarik zinciri kesintisinden kurtulmanın izole veya savunmasız bölgelerde her zaman daha zor olduğunu ekledi.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.