Bilgisayar korsanları genellikle ağ trafiğinin sorumluluğunu almak, hassas verileri ele geçirmek ve bağlı cihazlara saldırmak için yönlendiricileri hedef alır.
Bir yönlendirici saldırıya uğradığında, büyük siber saldırılar için bir botnet oluşturabilir veya kullanıcıları zararlı web sitelerine gönderebilir, bu arada şeytani işine devam edebilir ve kapsama alanını artırabilir.
Lumen Technologies’in Black Lotus Laboratuarlarındaki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının botnet için 72 saat içinde 600.000’den fazla SOHO yönlendiricisinin güvenliğini ihlal ettiğini tespit etti.
600.000 SOHO Yönlendirici Saldırıya uğradı
Ekim 2023’te Lumen Technologies, Chalubo uzaktan erişim truva atını kullanarak bir İSS’ye ait 600.000 SOHO yönlendiricisini 72 saat içinde kullanılamaz hale getiren yıkıcı bir saldırı keşfetti.
Kötü amaçlı yazılım, kırsal alanlar ve internet olanaklarına daha az erişimi olan kişiler için hizmetin kalıcı olarak reddedilmesini sağlamak amacıyla karartma teknikleri ve ürün yazılımı güncellemeleri yoluyla bulaşan birden fazla adım kullandı.
Hepsi Bir Arada Siber Güvenlik Platformu MSP’lerin tek bir araçla tam ihlal koruması sağlaması için Tam Demoyu İzleyin
Saldırının kasıtlı olarak ISP’yi hedef aldığına ve bilinen herhangi bir ulus devlet aktörünün operasyonlarından kaynaklanmadığına inanılıyor; bu da, kritik altyapılar üzerinde ciddi sonuçlara yol açacak bu tür siber saldırılarda artışa ilişkin endişeleri artırıyor.
.webp)
Chalubo’nun bir sonraki aşaması, dosyaları diskten kaldıran, süreçleri yeniden adlandıran, şifreli iletişimlerden yararlanan, sanal alanlardan kaçınmak için gecikmeler uygulayan ve büyük olasılıkla yıkıcı yükü geri alma kanalı olan rastgele Lua komut dosyalarının çalıştırılmasına olanak tanıyan daha karmaşık bir ticari araç sundu.
İzleme, DDoS işlevselliğine sahip olduğunu ve bunun kullanılmadığını gösterdi; bu da geliştiriciler ve operatörler arasında koordinasyon eksikliği olduğunu gösteriyor.
Ticari amaçlı bir kötü amaçlı yazılımın MIPS, ARM ve PowerPC mimarilerindeki bulaşma mekanizması şaşırtıcı derecede gelişmişti; bu durum muhtemelen saldırganların ağ yönlendirici saldırılarının gerçekleşmesinin neden bu kadar uzun sürdüğünü açıklıyor.
Ekim 2023’te toplanan Chalubo örnekleri analiz edildi. Anahtarın yeniden kullanıldığına ve kalıcılık mekanizmalarının bulunmadığına dair işaretler gösterdiler; bu da Lua komut dosyası motorunun ISP’nin yönlendiricilerine saldırmak üzere programlanan yıkıcı yükü getirmek için kullanılmış olabileceğini ima ediyordu.
DDoS vardı ama operatörler bunu hiç kullanmadı. Uluslararası telemetri, Chalubo botnet’in küresel kapsamını gösteriyordu; burada bir komuta ve kontrol (C&C) paneli, bir ay içinde yüz binden fazla botu yönetebiliyordu.
Buna rağmen, ayrılmış altyapı için ayrı ayarlar ve birçok botun kısa bağlantıları, bunların yedekleme sistemleri olmadığını, daha ziyade silolanmış operasyonları gösterdiğini gösteriyor.
.webp)
Araştırmalar, Chalubo’nun kolaylaştırıcı bir kötü amaçlı yazılım olduğunu ancak bulaşmalarının tamamının yıkıcı yüklere yol açmadığını ortaya çıkardı.
Benzeri görülmemiş ölçekteki bu kasıtlı eylem, sağlayıcılar arasındaki güvenlik açıklarını hedef alan önceki ulus devlet kampanyalarından farklı olarak, donanım yazılımı bozulması şüphesi yoluyla tek bir İSS’den 600.000’den fazla kişiyi engelledi.
Kimliği belirlenemeyen tehdit aktörünün bilinen hiçbir kümeyle çakışması yoktu ve yıkımı tek bir otonom sistemle sınırlandırdı.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
Organizasyonlar için:
- Yaygın varsayılan şifrelerden kaçının.
- Yönetim arayüzlerini güvenli hale getirin ve bunları internetten erişilemez tutun.
- Ayrıntılı rehberlik için DHS’nin CISA Yönetim Kurulu 23-02’sine bakın.
Tüketiciler için:
- Yönlendiricileri düzenli olarak yeniden başlatın.
- Güvenlik güncellemelerini ve yamaları yükleyin.
- Kanada Siber Güvenlik Merkezi’nin “en iyi uygulamalar” belgesini takip edin.
ANY.RUN Sandbox’tan özel teklifler alın. 31 Mayıs’a kadar 6 aylık ücretsiz hizmet veya ekstra lisans alın. Ücretsiz kaydol.