Araştırmacılar, Nesnelerin İnterneti (IoT) cihazlarını dünya çapındaki DDoS hedef kuruluşlarına kullanan Mirai tabanlı iki botnet’i ortaya çıkardı.
Murdoc botneti
Qualys araştırmacıları, AVTECH Kameraları ve Huawei HG532 yönlendiricilerini tehlikeye atmak için güvenlik açıklarından yararlanan Mirai kötü amaçlı yazılımının bir çeşidini taşıyan yaklaşık 1.300 IoT cihazından oluşan “Murdoc” botnet’ini açığa çıkardı.
Qualys Tehdit Araştırma Birimi, “Bu son kampanyada, botnet örneğinin dağıtımına yol açan ELF dosyasının ve Shell Script uygulamasının kullanıldığını fark ettik” dedi.
“Her ShellScript, IP kameralar, Ağ cihazları ve IoT cihazları gibi cihazlara yüklenir ve buna karşılık C2 sunucusu, Mirai botnet’in yeni versiyonunu, yani Murdoc Botnet’i cihazlara yükler.” (100’den fazla farklı C2 sunucusu setini belirlediler.)
Kötü amaçlı yazılım hedef cihazlarda yürütülür ve ardından kaldırılır. Virüsün bulaştığı cihazlar çoğunlukla Malezya’nın yanı sıra Tayland, Meksika ve Endonezya’da da bulunuyor.
Yıl sonu saldırıları
27 Aralık 2024 ile 4 Ocak 2025 arasında, Mirai ve Bashlite (diğer adıyla Gafgyt) kötü amaçlı yazılım bulaşmış cihazlardan oluşan başka bir IoT botnet, Japonya, ABD, Rusya ve Avrupa’daki şirketleri hedef alan büyük ölçekli DDoS saldırıları düzenlemek için kullanıldı. Trend Micro araştırmacıları yakın zamanda bunu belgeledi.
“Kötü amaçlı yazılım, RCE’nin güvenlik açıklarından veya zayıf parolalardan yararlanarak cihaza sızıyor ve ardından virüslü ana bilgisayarda bir indirme komut dosyası yürütüyor. Bu komut dosyası, bir dağıtım sunucusundan ikinci aşama yürütülebilir dosyayı (yükleyici) indirir ve çalıştırır,” diye açıkladılar.
Yükleyici daha sonra kötü amaçlı yazılımın yürütülebilir dosyasını aynı sunucudan indirir ve belleğe yazar ve çalıştırır. “Bu süre zarfında yürütülebilir veri, bellek görüntüsüne yazılır ve yürütülür, böylece yürütülebilir dosya virüslü ana bilgisayarda kalmaz.”
Etkilenen ana bilgisayarların farklı türde DDoS saldırılarına girişmesi sağlanabilir ve bunlar aynı zamanda bir yeraltı proxy hizmeti için Socks proxy sunucusu olarak da kullanılabilir.
Tespit edebildikleri virüslü cihazların çoğu, TP-Link ve Zyxel tarafından üretilen kablosuz yönlendiricilerdi.
Mirai: Sürekli bir tehdit
Ekim 2016’da ABD merkezli DNS sağlayıcısı Dyn’e yapılan ve pek çok popüler web sitesinin ve çevrimiçi hizmetin geçici olarak kullanılamamasıyla sonuçlanan DDoS saldırıları, Mirai adını haritaya koydu.
Aynı ayın başlarında, kötü amaçlı yazılımın kaynak kodu, yaratıcısı tarafından sızdırılmıştı ve o zamandan beri Mirai tabanlı varyantlar, genellikle Mirai adını içeren etiketlerle çoğaldı.
Cloudflare kısa süre önce, Doğu Asya’daki bir internet servis sağlayıcısına karşı 5,6 Tbps UDP DDoS saldırısından (kayıttaki en büyük DDoS saldırısı) Mirai varyantlı bir botnet’in sorumlu olduğunu paylaştı.
Şirket, saldırının 13.000’den fazla IoT cihazından kaynaklandığını söyledi. Yalnızca 80 saniye sürdü ve Cloudflare’in dağıtılmış savunma sistemleri tarafından sorunsuz bir şekilde hafifletildi.