Çin devlet destekli tehdit grubu Flax Typhoon’un işlettiği bir botnet’in kolluk kuvvetleri tarafından etkisiz hale getirildiği ve grubun bu ağı terk ettiği FBI Direktörü Chris Wray tarafından Çarşamba günü doğrulandı.
“Botnet’in altyapısını kontrol altına almak için mahkeme tarafından yetkilendirilmiş operasyonlar yürüttük. Kötü adamlar neler olduğunu anlayınca botlarını yeni sunuculara taşımaya çalıştılar ve hatta bize karşı dağıtılmış bir hizmet engelleme saldırısı bile gerçekleştirdiler,” dedi 2024 Aspen Cyber Zirvesi’ndeki izleyicilere.
“Ortaklarımızla çalışarak, sadece saldırılarını azaltmakla kalmadık, aynı zamanda yeni altyapılarını da birkaç saat içinde tespit edebildik. O noktada, yeni sunucularına geçiş yapmaya başladığımızda, kötü adamların karşılarında FBI ve ortaklarımızın olduğunu fark ettiklerini düşünüyoruz. Ve bu farkındalıkla, yeni altyapılarını yakıp yıktılar ve botnetlerini terk ettiler.”
Wray ayrıca, Çin Halk Cumhuriyeti’nde (ÇHC) hükümetle bağlantıları olan bir şirket olan Integrity Technology Group’un botnet’i kontrol etmek ve yönetmekten sorumlu olduğunu söyledi. “Başkanları, şirketinin yıllardır Çin hükümetinin güvenlik ajansları için istihbarat topladığını ve keşif yaptığını kamuoyuna açıkladı,” diye belirtti.
Flax Typhoon’un botnet’i hakkında
FBI ve Five Eyes ülkelerindeki ortak kuruluşların bugün yayınladığı ortak bir danışma raporunda, botnet’in 2021 ortasından beri aktif olduğu belirtiliyor. Çarşamba günü botnet hakkında bir rapor yayınlayan Lumen’in Black Lotus Labs araştırmacıları, botnet’in başlangıcının daha da eskilere, Mayıs 2020’ye dayandığını söylüyor.
Black Lotus Labs tarafından “Raptor Train” olarak adlandırılan botnet, bilinen güvenlik açıklarının uzun bir listesinden yararlanarak çeşitli ağlara (modemler, yönlendiriciler) ve IoT cihazlarına (IP kameralar, dijital video kayıt cihazları, ağa bağlı depolama) yerleştirilebilen bir Mirai kötü amaçlı yazılım çeşidi (“Nosedive”) tarafından destekleniyor.
Qakbot botnet’ine benzer şekilde Raptor Train botnet’i de çok katmanlı bir ağ mimarisine sahipti.
Flax Typhoon’un botnetinin ağ mimarisi ve katmanlama yapısı (Kaynak: Black Lotus Labs)
Tehlikeye atılan cihazlar (1. Kademe düğümler) tehlikeye atılır ve 2. Kademe komuta ve kontrol sanal sunucularından yönlendirilir; bu sunucular da 3. Kademe sunucularından yönetilir.
FBI, “Aktörler, bu uygulamaya erişmek için China Unicom Beijing Province Network’e kayıtlı belirli IP adreslerini kullandılar. Bu IP adresleri arasında, daha önce Flax Typhoon tarafından ABD merkezli kurbanlara yönelik bilgisayar saldırılarında kullanılan sistemlere erişmek için kullanılan IP adresleri de yer alıyor” diyor.
Büro, Haziran 2024 itibarıyla botnetin dünya genelinde, ancak ağırlıklı olarak ABD’de bulunan 260.000’den fazla cihazdan oluştuğunu iddia ediyor. Black Lotus Labs araştırmacıları, “aktif 1. Kademe düğümlerinin sayısının [i.e., infected devices] sürekli dalgalanıyor” ve herhangi bir anda on binlerce aktif olarak tehlikeye atılmış cihazın 2. Kademe C2 sunucularına giriş yaptığı belirtiliyor.
“Aktif bir Tier 1 düğümünün (tehlikeye atılmış cihaz) ortalama ömrü yaklaşık 17 gündür ve Nosedive implantlarının çoğu kalıcılık yöntemine sahip değildir, bu da operatörlerin tehlikeye atılmış cihazların düzenli rotasyonuyla ilgilenmediğinin bir işaretidir. İnternetteki savunmasız cihazların muazzam ölçeği, aktörlerin kalıcılık mekanizmalarından vazgeçmelerine ve operasyonel ihtiyaçları karşılamak için düzenli olarak yeni cihazları kullanmalarına olanak tanır,” diye açıkladılar.
ABD Adalet Bakanlığı, “Botnet’in bilgisayar altyapısını ele geçiren yetkililer, enfekte cihazlardaki kötü amaçlı yazılıma devre dışı bırakma komutları gönderdi” açıklamasında bulundu.
“Hükümetin kötü amaçlı yazılımın yerel işlevselliğiyle etkileşime giren kötü amaçlı yazılım devre dışı bırakma komutları, operasyondan önce kapsamlı bir şekilde test edildi. Beklendiği gibi, operasyon enfekte cihazların meşru işlevlerini etkilemedi veya bu cihazlardan içerik bilgisi toplamadı. FBI, mahkeme tarafından yetkilendirilen bu operasyondan etkilenen cihazların ABD sahiplerine bildirimde bulunuyor. FBI, müşterilerine bildirimde bulunacak olan internet servis sağlayıcıları aracılığıyla bu mağdurlarla iletişime geçiyor.”
Cihazlarınızın botnetlere bağlanmasını önleyin
Flax Typhoon’un Tayvan’daki örgütleri (muhtemelen) casusluk amacıyla hedef aldığı biliniyor.
Araştırmacılar, “Black Lotus Labs, bu ağdan askeri, hükümet, yüksek öğrenim, telekomünikasyon, savunma sanayi üssü (DIB) ve bilgi teknolojisi (BT) sektörlerindeki ABD ve Tayvan kuruluşlarını hedef alan bir etkinlik keşfetti. Ayrıca, Atlassian Confluence sunucularına ve Ivanti Connect Secure cihazlarına yönelik olası istismar girişimleri, bu botnet ile ilişkili düğümlerden kaynaklandı” dedi.
“Black Lotus Labs henüz Raptor Train kaynaklı herhangi bir DDoS saldırısı görmemiş olsa da, bunun Çin merkezli operatörlerin gelecekte kullanmak üzere sakladıkları bir yetenek olduğundan şüpheleniyoruz.”
Yönetmen Wray, bu botnetin engellenmesinin başarılı olduğunu ancak bunun çok daha uzun bir mücadelenin sadece bir turu olduğunu belirtti.
“Çin hükümeti kuruluşlarınızı ve kritik altyapımızı hedef almaya devam edecek – ya kendi elleriyle ya da proxy’leri aracılığıyla gizleyerek. Ve kötü niyetli faaliyetlerini belirlemek, bilgisayar korsanlığı kampanyalarını engellemek ve bunları gün yüzüne çıkarmak için ortaklarımızla çalışmaya devam edeceğiz,” diye ekledi.
Bu ve diğer tehdit gruplarının yeni ve eski botnet’ler kurmaya devam edeceği bekleniyor, bu nedenle ağ savunucularına kullanım ömrü dolmuş ekipmanları değiştirmeleri, düzenli olarak yamalar ve güncellemeler uygulamaları, varsayılan parolaları güçlü parolalarla değiştirmeleri, kullanılmayan hizmetleri ve bağlantı noktalarını devre dışı bırakmaları, ağ segmentasyonu uygulamaları ve cihazların botnet’lere dahil olmasını önlemek için cihazları yeniden başlatmaları öneriliyor.
Bu önerilerin çoğu tüketiciler tarafından da ciddiye alınmalıdır. Örneğin, IoT ve ağ cihazlarını düzenli olarak yeniden başlatmak, hafızalarından dosyasız kötü amaçlı yazılımları kaldırmanın kolay bir yoludur (ancak meşru aktiviteyi bozabilir).