Hollandalı ve ABD yetkilileri tarafından üstlenilen ortak bir kolluk operasyonu, binlerce enfekte olan Nesnelerin İnterneti (IoT) ve yaşam sonu (EOL) cihazlarıyla güçlendirilen bir suç vekil ağını sökerek, kötü niyetli aktörlere anonimlik sağlamak için bir botnete kaydoldu.
Etki alanı nöbeti ile birlikte, Rus vatandaşları, Alexey Viktorovich Chertkov, 37, Kirill Vladimirovich Morozov, 36, 36 ve Dmitriy Rubtsov, 38, 38, 38, bir Kazakhstani vatandaşından dolayı, ABD adaletinden dolayı, ABD adaletini savundu ve başarılı oldu ve Proxy hizmetleri.
DOJ, kullanıcıların aylık 9,95 $ ila 110 $ arasında değişen aylık bir abonelik ücreti ödediğini ve tehdit aktörlerini enfekte yönlendiricilere erişim satarak 46 milyon dolardan fazla netleştirdiğini belirtti. Hizmetin 2004’ten beri mevcut olduğuna inanılıyor.
Ayrıca, ABD Federal Soruşturma Bürosu’nun (FBI) Oklahoma’da kullanıcıların bilgisi olmadan kötü amaçlı yazılım kurmak için saldırıya uğrayan iş ve konut yönlendiricileri bulduğunu söyledi.
Lumen Technologies Black Lotus Labs, “Türkiye’de bulunan komuta ve kontrol (C2) altyapısı ile temas halinde haftalık ortalama 1.000 benzersiz bot.” Dedi. Hacker News ile paylaşılan rapor. “Bu kurbanların yarısından fazlası Amerika Birleşik Devletleri’nde, Kanada ve Ekvador en yüksek iki toplamı gösteriyor.”
Söz konusu hizmetler – Anyproxy.net ve 5socks.net – Moonlander Operasyonu kod adlı bir çabanın bir parçası olarak bozuldu. Lumen, Hacker News’e her iki platformun her iki platformun da “iki farklı adlandırılmış hizmet altında satış” ı işaret ettiğini söyledi.
İnternet arşivinde yakalanan anlık görüntüler, 5socks.net’in ABD’nin çeşitli ülkelerini ve eyaletlerini kapsayan “günlük 7.000’den fazla çevrimiçi vekil” te reklamı yaptığını göstererek, tehdit aktörlerinin bir kripto para ödemesi karşılığında anonim olarak çok çeşitli yasadışı faaliyetler gerçekleştirmelerini sağladı.
Lumen, tehlikeye atılan cihazlara, meçhul olarak adlandırılan başka bir suçlu vekil hizmetini de körükleyen Themoon adlı bir kötü amaçlı yazılım bulaştığını söyledi. Şirket ayrıca, bilinen kontrol noktalarına ve bilinen tüm trafiği null yönlendirerek altyapıyı bozma adımını attı.
Lumen, Hacker News’e verdiği demeçte, “İki hizmet esasen aynı vekil ve C2 havuzuydu ve bu kötü amaçlı yazılımın yanı sıra, EOL cihazlarına karşı yararlı olan çeşitli istismarlar kullanıyorlardı.” Dedi. “Ancak proxy hizmetlerinin kendileri ilgisiz [to Faceless]. “
Botnet operatörlerinin, EOL cihazlarını ihlal etmek ve bunları proxy botnet’e iptal etmek için bilinen istismarlara güvendiğinden şüpheleniliyor. Yeni eklenen botların, dörtte dördü 80 limandaki enfekte kurbanlarla iletişim kurmak için tasarlanmış beş sunucudan oluşan hindi merkezli bir C2 altyapısıyla temasa geçtiği bulunmuştur.
Siber güvenlik şirketi, “Bu 5 sunucudan biri, kurban trafiği almak için 1443 numaralı bağlantı noktasında UDP kullanıyor ve karşılığında herhangi bir göndermiyor.” Dedi. “Bu sunucunun kurbanlarından bilgi depolamak için kullanıldığından şüpheleniyoruz.”
Perşembe günü FBI tarafından yayınlanan bir danışmanlıkta, ajans, botnetlerin arkasındaki tehdit aktörlerinin, internete maruz kalan yönlendiricilerdeki bilinen güvenlik açıklarından, kalıcı uzaktan erişim sağlayan kötü amaçlı yazılım yüklemeleri için kullandığını söyledi.
FBI ayrıca, EOL yönlendiricilerinin bir themoon kötü amaçlı yazılım varyantı ile tehlikeye atıldığını ve tehdit aktörlerinin cihazlara proxy yazılımı yüklemesine ve siber suçları anonim olarak yürütmesine izin verdiğine dikkat çekti. Themoon ilk olarak 2014 yılında SANS Teknoloji Enstitüsü tarafından Linksys yönlendiricilerini hedefleyen saldırılarda belgelendi.
FBI, “Themoon, yönlendiricileri enfekte etmek için bir şifre gerektirmez; açık bağlantı noktalarını tarar ve savunmasız bir komut dosyasına bir komut gönderir.” Dedi. “Kötü amaçlı yazılım, komut ve kontrol (C2) sunucusuyla temasa geçer ve C2 sunucusu, enfekte makinenin enfeksiyonu yayması ve ağı genişletmesi için diğer savunmasız yönlendiricilerin taranmasını öğretmeyi içerebilecek talimatlarla yanıt verir.”
Kullanıcılar bir proxy satın aldıklarında, bağlantı için bir IP ve bağlantı noktası kombinasyonu alırlar. Tıpkı NSocks durumunda olduğu gibi, hizmet, bir kez etkinleştirildikten sonra herhangi bir ek kimlik doğrulamasından yoksundur ve bu da kötüye kullanım için olgunlaşır. 5Socks.net’in reklam sahtekarlığı, DDOS ve kaba kuvvet saldırıları yapmak ve kurbanın verilerini kullanmak için kullanıldığı bulunmuştur.
Bu tür proxy botnet’lerin ortaya koyduğu riskleri azaltmak için, kullanıcıların yönlendiricileri düzenli olarak yeniden başlatmaları, güvenlik güncellemelerini yüklemeleri, varsayılan şifreleri değiştirmeleri ve EOL durumuna ulaştıktan sonra daha yeni modellere yükseltmeleri tavsiye edilir.
Lumen, “Proxy hizmetleri, kötü niyetli aktörlerin şüphesiz konut IP’lerinin arkasına saklanmalarına izin vererek ağ izleme araçları tarafından tespiti karmaşıklaştırarak internet güvenliği için doğrudan bir tehdit sunmaya devam edecek ve sunmaya devam edecek.” Dedi.
“Çok sayıda yaşam sonu cihazı dolaşımda kaldıkça ve dünya ‘Nesnelerin İnterneti’ndeki cihazları benimsemeye devam ettikçe, kötü niyetli aktörler için büyük bir hedef havuzu olmaya devam edecek.”