Siber güvenlik araştırmacıları, en az Haziran 2023’ten bu yana küresel ölçekte Etki Alanı Adı Sistemi (DNS) yürüttüğü gözlemlenen SecShow kod adlı Çinli aktöre daha fazla ışık tuttu.
Infoblox güvenlik araştırmacıları Dr. Renée Burton ve Dave Mitchell’e göre düşman, Çin hükümeti tarafından finanse edilen bir proje olan Çin Eğitim ve Araştırma Ağı’ndan (CERNET) faaliyet gösteriyor.
Geçen hafta yayınlanan bir raporda, “Bu araştırmalar açık çözümleyicilerdeki DNS yanıtlarını bulmaya ve ölçmeye çalışıyor” dediler. “SecShow operasyonlarının nihai hedefi bilinmiyor, ancak toplanan bilgiler kötü niyetli faaliyetler için kullanılabilir ve yalnızca aktörün yararınadır.”
Bununla birlikte, Kapalı Çözümleyici Projesi ile aynı tekniği kullanarak “secshow.net içindeki alanlarda IP Adresi Sahtekarlığı Teknikleri kullanılarak ölçümler yapılması” ile ilgili bir tür akademik araştırmayla bağlantılı olabileceğini öne süren bazı kanıtlar var.
Ancak bu, projenin tam kapsamı söz konusu olduğunda, veri toplamanın ardındaki amaç, geri bildirim toplamak için genel bir Gmail adresinin seçilmesi ve genel olarak şeffaflığın olmayışı da dahil olmak üzere yanıtladığından daha fazla soruyu gündeme getiriyor.
Açık çözümleyiciler, internetteki herhangi bir taraf için alan adlarını yinelemeli olarak kabul etme ve çözümleme yeteneğine sahip olan DNS sunucularını ifade eder; bu da onları, DNS yükseltme saldırısı gibi dağıtılmış hizmet reddi (DDoS) saldırıları başlatmak üzere kötü aktörler tarafından istismar edilmeye hazır hale getirir.
Araştırmaların merkezinde, açık DNS çözümleyicilerini tanımlamak ve DNS yanıtlarını hesaplamak için CERNET ad sunucularının kullanılması yer alıyor. Bu, henüz belirlenemeyen bir kaynaktan açık bir çözümleyiciye bir DNS sorgusu gönderilmesini gerektirir ve SecShow tarafından kontrol edilen ad sunucusunun rastgele bir IP adresi döndürmesine neden olur.
İlginç bir şekilde, bu ad sunucuları, sorgu farklı bir açık çözümleyiciden yapıldığında her seferinde yeni bir rastgele IP adresi döndürecek şekilde yapılandırılmıştır; bu, Palo Alto Cortex Xpanse ürünü tarafından sorguların çoğaltılmasını tetikleyen bir davranıştır.
Araştırmacılar, “Cortex Xpanse, DNS sorgusundaki alan adını bir URL olarak ele alıyor ve bu alan adı için rastgele IP adresinden içerik almaya çalışıyor” diye açıkladı. “Palo Alto ve Check Point dahil güvenlik duvarlarının yanı sıra diğer güvenlik cihazları, Cortex Xpanse’den istek aldıklarında URL filtrelemesi gerçekleştirir.”
Bu filtreleme adımı, alan adı için, ad sunucusunun farklı bir rastgele IP adresi döndürmesine neden olan yeni bir DNS sorgusu başlatır.
Bu tarama aktivitelerinin bazı yönlerinin Dataplane.org ve Unit 42 araştırmacıları tarafından son iki ay içinde daha önce açıklandığını belirtmek önemlidir. SecShow ad sunucuları, Mayıs 2024’ün ortası itibarıyla artık yanıt vermiyor.
SecShow, Muddling Meerkat’tan sonra internette büyük ölçekli DNS araştırma faaliyetleri gerçekleştiren Çin bağlantılı ikinci tehdit aktörüdür.
“Karışık Meerkat sorguları küresel DNS trafiğine karışmak ve [have] Araştırmacılar, “Secshow sorguları, IP adreslerinin ve ölçüm bilgilerinin şeffaf kodlamalarıyken, dört yılı aşkın süredir fark edilmeden kaldı” dedi.
Rebirth Botnet DDoS Hizmetleri Sunuyor
Bu gelişme, finansal motivasyona sahip bir tehdit aktörünün, DDoS saldırılarını kolaylaştırmaya yardımcı olmak için Rebirth adlı yeni bir botnet hizmetinin reklamını yapmasıyla ortaya çıktı.
Hizmet Olarak DDoS (DaaS) botnet’i “Mirai kötü amaçlı yazılım ailesini temel alıyor ve operatörler hizmetlerinin reklamını Telegram ve bir çevrimiçi mağaza (rebirthltd.mysellix) aracılığıyla yapıyor[.]io),” Sysdig Tehdit Araştırma Ekibi yakın zamanda yapılan bir analizde söyledi.
Siber güvenlik firması, Rebirth’in (diğer adıyla Vulcan) öncelikle video oyun topluluğuna odaklandığını ve botnet’i finansal kazanç için oyun sunucularını hedeflemek üzere çeşitli fiyat noktalarında diğer aktörlere kiraladığını söyledi. Botnet’in vahşi doğada kullanıldığına dair en eski kanıt 2019 yılına dayanıyor.
Rebirth Basic olarak adlandırılan en ucuz planın maliyeti 15 dolar iken Premium, Advanced ve Diamond katmanlarının maliyeti sırasıyla 47 dolar, 55 dolar ve 73 dolardır. Ayrıca 53 dolara satılan bir Rebirth API ACCESS planı da var.
Rebirth kötü amaçlı yazılımı, TCP ACK seli, TCP SYN seli ve UDP seli gibi TCP ve UDP protokolleri üzerinden DDoS saldırıları başlatma işlevini destekler.
Bu, oyun sunucularının DDoS botnet’leri tarafından hedef alındığı ilk sefer değil. Aralık 2022’de Microsoft, özel Minecraft sunucularını hedeflemek için tasarlanan MCCrash adlı başka bir botnet’in ayrıntılarını açıkladı.
Daha sonra Mayıs 2023’te Akamai, Dark Frost olarak bilinen kiralık bir DDoS botnet’inin oyun şirketlerine, oyun sunucusu barındırma sağlayıcılarına, çevrimiçi yayıncılara ve hatta diğer oyun topluluğu üyelerine yönelik DDoS saldırıları başlattığı gözlemlendi.
Sysdig, “Rebirth gibi bir botnet ile bir kişi, canlı bir oyundaki oyun sunucusuna veya diğer oyunculara DDoS uygulayabilir, bu da oyunların arızalanmasına ve yavaşlamasına veya diğer oyuncuların bağlantılarının gecikmesine veya çökmesine neden olabilir” dedi.
“Bu, iş modeli bir yayın oynatıcısının takipçi kazanmasına dayanan Twitch gibi yayın hizmetlerinin kullanıcıları için finansal açıdan motive edici olabilir; bu aslında bozuk bir oyundan para kazanma yoluyla bir tür gelir sağlar.”
Kaliforniya merkezli şirket, Rebirth’ün potansiyel müşterilerinin bunu aynı zamanda meşru oyuncuların deneyimini bozmak için oyun sunucularına yönelik saldırıların başlatıldığı DDoS trolling (diğer adıyla stres trolling) gerçekleştirmek için de kullanabileceğini öne sürdü.
Kötü amaçlı yazılımı dağıtan saldırı zincirleri, işlemci mimarisine bağlı olarak DDoS botnet kötü amaçlı yazılımının indirilmesi ve çalıştırılmasıyla ilgilenen bir bash betiği dağıtmak için bilinen güvenlik kusurlarından (örn. CVE-2023-25717) yararlanmayı içerir.
Rebirth ile ilişkili Telegram kanalı, 30 Mayıs 2024’te “Yakında geri döneceğiz” yazan bir mesajla tüm eski gönderileri kaldırmak için silindi. [sic].” Yaklaşık üç saat sonra, “kurşun geçirmez barındırma” adı verilen kurşun geçirmez bir barındırma hizmetinin reklamını yaptılar.[.]xyz.”