Siber Suçlar, Hizmet Olarak Siber Suçlar, Uç Nokta Güvenliği
Saldırganlar, Kar Amaçlı Bant Genişliği Paylaşım Platformlarında Ele Geçirilmiş Sunucuları Listeliyor
Akşaya Asokan (asokan_akshaya) •
4 Temmuz 2023
Güvenlik şirketi Akamai’nin bulduğu yeni bir rapora göre, siber dolandırıcılar, kurbanlarının güvenliği ihlal edilmiş bant genişliğinin proxy ağlarında satışından para kazanmak için sunucu ele geçirme veya proxyjacking gerçekleştiriyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Proxyjacking, saldırganların trafiği taklit bir siteye yönlendirmek için gerçek bir web sayfasını değiştirmesini içerir. Taktik bir süredir aktif olsa da, Akamai araştırmacıları son aylarda artan sayıda dolandırıcının kripto madenciliği ve kripto hırsızlığı gibi suçlardan proxy hırsızlığına geçtiğini belirtiyor.
Akamai raporunun yazarı ve araştırmacı Allen West, “Proxyjacking ile saldırgan yalnızca kaynakları çalmakla kalmaz, aynı zamanda kurbanın kullanılmayan bant genişliğinden de yararlanır” diyor. West, “Bu, saldırganın, kripto madenciliği için gerekli olacak kaynak yükünün yalnızca bir kısmıyla ve daha az keşif şansıyla, şüphelenmeyen bir kurbanın ekstra bant genişliğinden para kazanmasına olanak tanıyor” diyor.
Bu tekniği uygulayan bilgisayar korsanlığı grupları arasında, uzaktan erişim elde etmek için savunmasız güvenli kabuk protokollerini veya SSH sunucularını hedefleyen Meris ve Anonymous Sudan yer alıyor. Bilgisayar korsanları daha sonra güvenliği ihlal edilmiş ağları, Peer2Proxy veya Honeygain gibi kullanıcılarına kullanılmayan internet bant genişliğini paylaşmaları için ödeme yapan bant genişliği paylaşım platformlarındaki proxy ağ hizmetlerine gizlice atar.
Akamai tarafından ortaya çıkarılan son kampanyalarda bilgisayar korsanları, Akamai araştırmacıları tarafından bal küpü olarak ayarlanan birden fazla SSH bağlantısına bulaşarak faaliyetlerine başladı. Saldırganlar daha sonra sunuculara kötü amaçlı bir kod yerleştirdi ve bu kod, güvenliği ihlal edilmiş sistemi Peer2Profit ve Honeygain proxy ağındaki bir düğüme dönüştürdü.
Bilgisayar korsanları daha sonra faaliyetlerini gizlemek için kötü amaçlı trafiği birden çok virüslü düğüm aracılığıyla yönlendirdi. Saldırıların son aşamasında, bilgisayar korsanları kurbanın bant genişliğini kar amacıyla paylaşan Docker hizmetlerini başlattı.
Akamai, minimum bilgi işlem ekipmanı ve daha düşük internet bant genişliği gerektirdiğinden, tekniğin kritik hale gelebileceğini ve bunun tespitini zorlaştırabileceğini belirtiyor. Akamai’nin araştırmacıları, bu teknikleri kullanan olası saldırılardan kaçınmak için sistemlere düzenli olarak yama uygulanmasını, çok faktörlü kimlik doğrulamanın etkinleştirilmesini ve Docker hizmetleriyle ilgili sorulmayan etkinliklerin kontrol edilmesini öneriyor.
West, “Açık proxy’ler, siber suçluların cephaneliğinde çok önemli bir araç olarak hizmet ediyor” diyor. “Ortaklarını düzgün bir şekilde yönetmek için bu proxy ağ şirketlerine güvenmek, çok zayıf bir savunma mekanizması ve zayıf bir güvencedir” diye ekliyor.