Federal Soruşturma Bürosu (FBI), THEMOON kötü amaçlı yazılım hakkında bir uyarı yayınladı. Uyarı ayrıca Yaşlanan internet yönlendiricilerini hedefleyen siber saldırılarda dramatik artış, özellikle “yaşam sonu” (EOL) olarak kabul edilenler. Artık yazılım veya güvenlik güncellemeleri olan üreticiler tarafından desteklenmeyen bu savunmasız yönlendiriciler, onları yeni bir Themoon kötü amaçlı yazılım yükü ile sömüren tehdit aktörlerinin en son odağı haline geldi.
FBI’a göre, siber suçlular artık üreticiler tarafından güncellenmeyen veya desteklenmeyen savunmasız yönlendiricilere manzaralarını belirlediler. 2010 veya daha önce yapılan cihazlar, yıllardır ürün yazılımı veya güvenlik güncellemeleri almadığı için özellikle risk altındadır.


Uyarı, kötü amaçlı yazılım kullanan saldırılarda bir artış kaydetti, özellikle de uzaktan uygulama özelliklerine sahip yönlendiricileri hedefleyen etkinleştirildi.
FBI, “Yaşam sonu yönlendiricileri siber aktörler tarafından temoon kötü amaçlı yazılım varyantları kullanılarak ihlal edildi” dedi. “Son zamanlarda, hayatın sonunda, uzaktan yönetim açılan bazı yönlendiriciler, yeni bir tema kötü amaçlı yazılım varyantı tarafından tehlikeye atıldığı tespit edildi.”
Tana kötü amaçlı yazılım nedir?
Başlangıçta 2014 yılında tespit edilen Themoon kötü amaçlı yazılım, yönlendiricilere şifreye ihtiyaç duymadan enfekte olan sofistike bir kod parçasıdır. Açık bağlantı noktalarını tarar ve savunmasız komut dosyalarını hedefler. İçeri girdikten sonra, bir komut ve kontrol (C2) sunucusuyla bağlanır, bu da daha sonra daha fazla talimat verir, genellikle enfekte cihazı enfekte olmak için daha fazla yönlendirici aramaya yönlendirir ve böylece kötü amaçlı yazılımların erişimini genişletir.
Kötü amaçlı yazılımın birincil işlevi, enfekte cihazları kullanarak proxy ağları oluşturmaktır. Bu ağlar daha sonra internetteki suç faaliyetlerini maskelemek için kullanılır ve bu da yasadışı operasyonların kaynağını izlemeyi zorlaştırır.
Proxy hizmetleri savunmasız yönlendiricileri nasıl kullanır?
Bir proxy sunucusu, kullanıcılar ve internet arasında bir ağ geçidi görevi görür. Siber suçluların elinde, bu vekiller yasadışı çevrimiçi eylemlerin kökenini gizlemek için kullanılır. Bir suçlu bir web sitesine enfekte bir yönlendirici aracılığıyla eriştiğinde, site saldırganın değil, proxy’nin IP adresini kaydeder, soruşturma ve uygulanmayı çok daha zor hale getirir.
Bu kurulum, tehdit aktörlerinin kripto para birimlerini çalmaktan yasaklanmış hizmetlere erişmeye kadar bir dizi yasadışı faaliyette bulunmalarını sağlarken, tespitten kaçınır.
FBI’ın koruma önerileri
Bu tehditlere karşı koymak için FBI, bireyler ve kuruluşlar için çeşitli öneriler sunuyor:
- Modası geçmiş donanımı değiştirin: Yönlendiriciniz yaşam sonu olarak kabul edilirse, daha yeni, desteklenen bir modele yükseltin.
- Güncellemeleri hemen uygulayın: Üreticiden mevcut herhangi bir ürün yazılımı veya güvenlik yaması yükleyin.
- Uzaktan Yönetim’i Devre Dışı Bırak: Yönlendirici ayarlarınıza giriş yapın, uzaktan yönetimi kapatın, değişiklikleri kaydedin ve cihazı yeniden başlatın.
- Güçlü, benzersiz şifreler kullanın: 16 ila 64 karakter arasında güvenli şifreler oluşturun ve bunları platformlarda yeniden kullanmaktan kaçının.
- Şüpheli Etkinlik Monitörü: Enfeksiyon belirtileri arasında aşırı ısınma, zayıf bağlantı veya beklenmedik konfigürasyon değişiklikleri bulunur.
Çözüm
Cihazınızın bir proxy ağı tarafından tehlikeye atıldığından veya kullanıldığından şüphelendiğinizi varsayalım. Bu durumda FBI, olayı Internet Suç Şikayet Merkezi’ne (IC3) etkinliğin tarihi, zamanı, doğası, etkilenen kullanıcılar ve ilgili cihaz dahil olmak üzere mümkün olduğunca ayrıntılı olarak bildirmenizi istemektedir.
Hizmet sağlayıcılarınızla iletişime geçerek, tüm şifreleri değiştirerek, iki faktörlü kimlik doğrulamasını etkinleştirerek ve şüpheli giriş denemeleri veya işlemleri için uyarılar ayarlayarak hızlı hareket etmeniz kritiktir. FBI’ın uyarısı I-050725-PSA, savunmasız yönlendiricilerin, özellikle yaşam sonu yönlendiricilerinin ciddi siber güvenlik riskleri oluşturduğunu zamanında hatırlatıyor.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.