Federal Soruşturma Bürosu (FBI), Siber Ulusal Misyon Gücü (CNMF) ve Ulusal Güvenlik Ajansı (NSA) tarafından yayınlanan ortak siber güvenlik duyurusunda, Çin Halk Cumhuriyeti (ÇHC) bağlantılı bilgisayar korsanlarının binlerce internet bağlantılı cihazı tehlikeye attığı ortaya çıktı.
Bunlar arasında küçük ofis/ev ofisi (SOHO) yönlendiricileri, güvenlik duvarları, ağa bağlı depolama (NAS) ve Nesnelerin İnterneti (IoT) cihazları yer alıyor ve bunlar devasa bir botnet oluşturuyor.
18 Eylül 2024’te yayımlanan duyuruda, bu aktörlerin ve botnet faaliyetlerinin oluşturduğu tehdit vurgulanarak, saldırıya maruz kalan cihaz satıcıları, sahipleri ve operatörlerinin daha fazla tehlikeye maruz kalmamak için cihazlarını güncellemeleri ve güvenliğini sağlamaları isteniyor.
ÇHC merkezli Integrity Technology Group adlı bir şirket tarafından yönetilen botnet, 2021 yılının ortalarından bu yana aktif ve sürekli olarak on binlerce hatta yüz binlerce tehlikeye atılmış cihazı koruyor.
Haziran 2024 itibarıyla botnet 260.000’den fazla cihazdan oluşuyordu ve kurban cihazları Kuzey Amerika, Güney Amerika, Avrupa, Afrika, Güneydoğu Asya ve Avustralya’da tespit edildi.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Ülkeye Göre Botnet Cihazları
| Ülke | Düğüm Sayısı | Yüzde |
|---|---|---|
| Amerika Birleşik Devletleri | 126.000 | 47.9% |
| Vietnam | 21.100 | 8.0% |
| Almanya | 18.900 | 7.2% |
| Romanya | 9.600 | %3,7 |
| Hong Kong | 9.400 | %3,6 |
| Kanada | 9.200 | %3,5 |
| Güney Afrika | 9.000 | %3,4 |
| Birleşik Krallık | 8.500 | %3,2 |
| Hindistan | 5.800 | %2,2 |
| Fransa | 5.600 | %2,1 |
| Bangladeş | 4.100 | %1,6 |
| İtalya | 4.000 | %1,5 |
| Litvanya | 3.300 | %1,3 |
| Arnavutluk | 2.800 | %1,1 |
| Hollanda | 2.700 | 1,0% |
| Çin | 2.600 | 1,0% |
| Avustralya | 2.400 | 0,9% |
| Polonya | 2.100 | 0,8% |
| İspanya | 2.000 | 0,8% |
Bilgisayar korsanları, aralarında Zyxel, Fortinet ve QNAP’ın da bulunduğu satıcıların cihazlarını tehlikeye atmak için bilinen çeşitli güvenlik açıklarından yararlandı.
Daha sonra tehlikeye atılan cihazlar, tehdit aktörlerinin cihazları uzaktan kontrol etmelerine ve bunları dağıtılmış hizmet engelleme (DDoS) saldırıları ve kötü amaçlı İnternet trafiğini yönlendirme gibi kötü amaçlı faaliyetler için kullanmalarına olanak tanıyan Mirai kötü amaçlı yazılımının özelleştirilmiş bir sürümüyle enfekte edildi.
Botnet’in komuta ve kontrol (C2) sunucuları, tehlikeye atılmış cihazlara ilişkin bilgileri içeren bir MySQL veritabanını barındıran bir dizi üst düzey yönetim sunucusu kullanılarak yönetiliyordu.
Aktörler, “Sparrow” olarak bilinen botnet yönetim uygulamasına erişmek için China Unicom Beijing Province Network’e kayıtlı belirli IP adreslerini kullandılar; bu uygulama, botnet ile etkileşime girmelerine ve kurban cihazlara komutlar vermelerine olanak sağladı.
Tavsiyede, C2 sunucularıyla ilişkili alt alan adlarının listesi ve botnet’e cihaz eklemek için kullanılan güvenlik açıkları da dahil olmak üzere botnet’in altyapısı hakkında ayrıntılı bilgiler sağlanıyor.
Ayrıca, ÇHC bağlantılı siber aktörlerin botnet faaliyetlerine karşı koruma sağlamak için ağ savunucularına önerilen hafifletme önlemleri de sunuluyor. Bunlar arasında kullanılmayan servis ve portların devre dışı bırakılması, ağ segmentasyonunun uygulanması, yüksek ağ trafiği hacminin izlenmesi, yama ve güncellemelerin uygulanması ve varsayılan parolaların güçlü parolalarla değiştirilmesi yer alıyor.
Devlet destekli siber saldırıların artan tehdidi ve bu tür tehditlere karşı korunmak için güçlü siber güvenlik önlemlerinin önemi.
Cihaz sahipleri ve operatörlerinin, cihazlarını güvence altına almak ve daha fazla tehlikeye atılmayı önlemek için derhal harekete geçmeleri isteniyor.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial