Siber suç, uç nokta güvenliği, sahtekarlık yönetimi ve siber suç
Uzun süredir devam eden saldırıların ölçeği ‘benzeri görülmemiş’, Shadowserver Vakfı’nı uyarıyor
Mathew J. Schwartz (Euroinfosec) •
10 Şubat 2025
Kötü niyetli İnternet etkinliğini izlemek için tasarlanmış balkaplar, genellikle kötü amaçlı enfekte Edge cihazları tarafından başlatılan kenar cihazlarını hedefleyen saldırılarda bir artış tespit etti.
Ayrıca bakınız: Silolardan Synergy’ye: Gen AI onu hizalar ve güvenlik ekipleri
Shadowserver Vakfı Cumartesi günü, son birkaç hafta içinde balkaplarının “web girişi kaba zorlama saldırılarında büyük bir artış” ortaya çıkardığı konusunda uyardı. Özellikle – ancak münhasıran değil – Palo Alto Networks, Ivanti ve Sonicwall tarafından üretilen hedef cihazlar, sadece çevrimiçi kötü niyetli etkinlikleri değil, aynı zamanda genellikle kötü niyetli alanları düden eden kâr amacı gütmeyen güvenlik organizasyonunun (bkz: bkz: bkz: Terkedilmiş Backroors: Kötü niyetli altyapının nasıl yaşadığı).
Güvenlik uzmanları, Edge cihazlarının hem suçlu hem de ulus devlet bilgisayar korsanları için en iyi başlangıç vektörü olarak kaldığı konusunda uyarmaya devam ediyor.
Shadowserver Foundation, saldırganların son zamanlarda Edge cihazlarına karşı kaba saldırılar başlatmak için günde 2,8 milyon kadar benzersiz IP adresi kullandığını söyledi. Bu IP adreslerinden son zamanlarda 1,1 milyon Brezilya’da, ardından Türkiye’de yaklaşık 135.000, Rusya’da 133.000 ve Arjantin’de 99.000’i takip ediyor.
Bu saldırılardaki artış yeni olsa da, saldırıların kendileri uzun süredir devam ediyor.
“Bu saldırılar – maruz kalan kenar cihazlarına karşı şifre giriş girişimleri – birkaç yıldır devam ediyor, zamanla sürekli yoğunlaşıyor, ancak son başak yeni, bilgi güvenliği medya grubuna söyledi. Diyerek şöyle devam etti: “İlgili benzersiz IP’lerin miktarı benzeri görülmemiş ve kötü amaçlı yazılım enfeksiyonları ölçeğine bir bakış sunuyor.”
Bu saldırıları Cumartesi günü başlatmak için kullanılan kötü amaçlı yazılımlarla enfekte ekipman, 100.000’den fazla mikrotik cihazın yanı sıra Huawei, Cisco ve Ubiquiti veya Nesnelerin İnterneti tarafından üretilen daha az sayıda cihaz içeriyordu. Honeypot tespitlerine göre, diğer 200 üretici veya yazılım yığını geliştiricisi.
Shadowserver Foundation, belirli bir cihaza her zaman bir kaynak IP izleyemeyeceğini ve ayrıca bazı durumlarda enfekte cihazın tanımladığı cihazın arkasında olabileceğini söyledi.
Öyleyse, İnternet’e erişilebilir yönlendiricilere, güvenlik duvarlarına, sanal özel ağ cihazlarına ve diğer kenar donanımlarına karşı kaba kuvvet şifre giriş denemelerini başlatmak için kullanılan inanılmaz derecede çok sayıda enfekte mikrotik cihazın ne olduğunu açıklayan nedir?
“Bilmiyoruz,” dedi Shadowserver Foundation, ancak grup Letonya tabanlı Mikrotik tarafından oluşturulan yönlendiriciler, anahtarlar ve kablosuz sistemlerin Brezilya’da popüler olduğunu ve kampanyanın bu cihazların kitlesel bir uzlaşmasını içerebileceğini belirtti.
Organizasyon ISMG, “Saldırıların arkasındaki kötü amaçlı yazılımın paketlenmesi veya Brezilya’da popüler olan bir yazılımın bir parçası olması da mümkündür – örneğin, bazı VPN Proxy yazılımı – ama kesin olarak bilmiyoruz, bu yüzden bu sadece spekülasyon” dedi.
Brute-Force şifre giriş girişimlerinin ötesinde, araştırmacılar, Edge cihaz hedefleme saldırganlarının bazen ekipmandaki sıfır günlük güvenlik açıklarından yararlanmaya çalışacağını söylüyor. Ancak çok daha sık, birçok güvenlik duvarı, e -posta ağ geçitleri ve VPN ağ geçitlerinden ve diğer kenar ekipmanlarından zamanında yamalı olmamak üzere bilinen güvenlik açıklarını hedefliyorlar.
Özellikle, en az dokuz ABD telekomünikasyon devine ve daha fazla yurtdışına başarılı bir şekilde sızan “Tuz Typhoon” adlı gruba bağlı Çin siber sorumluluk kampanyasını araştıran araştırmacılar, saldırganların bazen kurbanların ortamlarına ilk erişimini sağladıkları ortaya çıktı. cihazlar. Bu, Cisco ve Fortinet tarafından inşa edilen ağ dişlilerini içeriyordu (bakınız: Çin’in ABD telekomlarını korsanlığı: Yetkililer daha fazla kurbanı isimlendiriyor).