ABD istihbarat teşkilatları bugün, dünya genelinde 260.000 cihazı tehlikeye atan bir Çin botnet’i hakkında bir uyarı yayınladı. Bu cihazlar arasında, BT ve ağ alanında en büyük isimlere ait küçük ofis/ev ofisi (SOHO) yönlendiricileri, güvenlik duvarları, ağa bağlı depolama (NAS) ve Nesnelerin İnterneti (IoT) cihazları da yer alıyor.
FBI, Ulusal Güvenlik Ajansı (NSA) ve Siber Ulusal Görev Gücü (CNMF), yayımladıkları duyuruda (PDF), Çin Halk Cumhuriyeti (ÇHC) bağlantılı siber aktörlerin, botnet’i dağıtılmış hizmet engelleme (DDoS) saldırıları düzenlemek ve hedeflenen ABD ağlarını tehlikeye atmak için kullandığını belirtti.
Araştırmacılar, kampanyada ServiceNow, Fortinet, Zyxel, Apache, QNAP, F5, Ivanti, Juniper, Citrix, WordPress, Ubiquiti, Confluence, Atlassian, Cisco, Netgear, IBM, D-Link, Microsoft gibi kuruluşların ürün ve hizmetlerinde ve hatta yaygın CVE-2024-4577 PHP güvenlik açığında toplam 66 CVE’nin hedef alındığını gözlemledi.
Duyuruya ABD’li kuruluşların yanı sıra Avustralya, Yeni Zelanda, Kanada ve İngiltere’den siber güvenlik kuruluşları da katıldı.
Çin Botnet’i Şirket ve Tehdit Gruplarıyla Bağlantılı
Kurumlar, Çin hükümetiyle bağlantıları bulunan ÇHC merkezli bir şirket olan Integrity Technology Group’un, 2021 ortasından bu yana aktif olan botnet’i kontrol ettiğini ve yönettiğini söyledi.
Botnet, düzenli olarak “on binlerce ila yüz binlerce tehlikeye atılmış cihazı” korudu ve Haziran 2024 itibarıyla 260.000’den fazla cihazdan oluşuyordu; bunların neredeyse yarısı ABD’de bulunuyordu. Mağdur cihazlar Kuzey Amerika, Güney Amerika, Avrupa, Afrika, Güneydoğu Asya ve Avustralya’da gözlemlendi.
“Ömürleri dolmuş cihazların saldırılara karşı daha savunmasız olduğu bilinse de Integrity Tech tarafından kontrol edilen botnetteki tehlikeye atılan cihazların birçoğunun hala ilgili satıcılar tarafından desteklendiği muhtemeldir.” denildi.
Integrity Tech, botnet’i kontrol etmek ve yönetmek için China Unicom Beijing Province Network IP adreslerini kullandı. Aynı China Unicom Beijing Province Network IP adresleri, ABD kurbanlarına karşı bilgisayar saldırı faaliyetlerinde kullanılan diğer operasyonel altyapılara erişmek için de kullanıldı, dedi kurumlar.
FBI, bu saldırıların çok sayıda ABD’li mağduruyla iletişime geçti ve “halk arasında Flax Typhoon, RedJuliett ve Ethereal Panda olarak bilinen siber tehdit grubuyla ilişkili taktikler, teknikler ve altyapıyla tutarlı faaliyetler buldu.”
C2 Sunucuları Belirli Etki Alanını Kullanır; Diğer IoC’ler Paylaşılır
Botnet, web kameraları, DVR’ler, IP kameralar ve Linux tabanlı işletim sistemleri çalıştıran yönlendiriciler dahil IoT cihazlarını ele geçirmek için Mirai kötü amaçlı yazılım ailesini kullanır. Enfekte cihazlarda 50’den fazla farklı Linux sürümü gözlemlendi ve bunlar arasında Linux çekirdek sürümleri 2.6’dan 5.4’e kadar uzanıyor.
Yük, TLS’yi 443 numaralı portta kullanarak bir komuta ve kontrol (C2) sunucusuyla bağlantı kurmak için cihazda işlemler başlatır. Kötü amaçlı yazılım ayrıca “c.speedtest.net”e isteklerde bulunur ve “w8510.com”un 80’den fazla alt etki alanı botnet’in C2 sunucularına bağlanır.
TCP portu 34125’i kullanan bir dizi yukarı akış yönetim sunucusu botnet’in C2 sunucularını yönetir. Bu yönetim sunucuları, hem daha önce hem de aktif olarak istismar edilmiş, 1,2 milyondan fazla tehlikeye atılmış cihaz kaydı içeren bir MySQL veritabanına ev sahipliği yapar.
NSA Önerileri
NSA, “Ulusal Güvenlik Sistemleri, Savunma Bakanlığı ve Savunma Endüstriyel Üssü ağlarının bu siber tehditleri hafifletmesine yardımcı olmak için” bu uyarıyı yayınladığını söyledi.
Danışma raporunun yazarları aşağıdaki hafifletme önlemlerini öneriyor:
- Güvenilir sağlayıcıların sunduğu otomatik güncellemeleri kullanarak düzenli olarak yamaları ve güncellemeleri uygulayın.
- Tehdit aktörlerinin ilk erişimi elde etmek veya kötü amaçlı yazılımları diğer ağ aygıtlarına yaymak için kötüye kullanabileceği otomatik yapılandırma, uzaktan erişim veya dosya paylaşım protokolleri gibi kullanılmayan hizmetleri ve bağlantı noktalarını devre dışı bırakın.
- Varsayılan parolaları güçlü parolalarla değiştirin.
- Daha geniş bir ağ içindeki IoT cihazlarının “bilinen, sınırlı ve tolere edilebilir riskler” oluşturmasını sağlamak için en az ayrıcalık ilkesiyle ağ segmentasyonunu uygulayın.
- DDoS olaylarını tespit etmek ve azaltmak için yüksek ağ trafiği hacimlerini izleyin.
- Kalıcı olmayan kötü amaçlı yazılımları kaldırmak için cihazı yeniden başlatmayı planlayın.
- Ömrünü tamamlamış ekipmanlarınızı desteklenen cihazlarla değiştirin.