Düzinelerce kuruluş, kapladığı alanı en aza indirmek için paket koklama tekniği kullanan yönlendirici kötü amaçlı yazılımdan etkilendi.
Onların yerine çok daha popüler Cisco muadilleriBlack Lotus Labs’ın “J-magic” adını verdiği kampanya, yüksek değerli ağların ucundaki Juniper marka yönlendiricilere odaklanıyor. Açığa çıkan kurumsal yönlendiriciler, çeyrek asırlık bir arka kapı çeşidi olan “cd00r” ile dinleniyor ve bu, bir aktivasyon ifadesi (sihirli paket) alana kadar hareketsiz kalıyor. Ancak o zaman saldırganların verileri çalabileceği, konfigürasyonları değiştirebileceği ve daha fazla cihaza yayılabileceği ters kabuğa erişim izni veriyor.
“Çok vurgu yapıldı küçük ofis/ev ofisi (SOHO) cihazlarıBlack Lotus Labs’ın baş bilgi güvenliği mühendisi Danny Adamitis, “ancak saldırganlar kurumsal alanda da aynı derecede aktif” diye uyarıyor. “Gerçekte uç nokta algılama ve yanıt (EDR) özelliği olmayan bu cihazlarda yaşıyorlar.” , bir güvenlik duvarının önünde bulunuyor ve aslında Sysmon gibi şeyleri çalıştırmıyor, dolayısıyla insanların bu saldırıları tespit etmesi biraz daha zor.”
Arka Kapı Kötü Amaçlı Yazılım Juniper Yönlendiricilerini Etkiliyor
Bilgisayar korsanlarının etkilenen yönlendiricilere ilk erişimi tam olarak nasıl elde ettiği bilinmiyor, ancak yararlandıkları açıklıklar açık. J-magic’in kurbanı olan Juniper yönlendiricilerinin yaklaşık yarısı, sanal özel ağ (VPN) ağ geçitleri olarak yapılandırıldı ve diğer yarısı, yöneticilerin ağ ayarlarını uzaktan yönetmesine ve yapılandırmasına olanak tanıyan, aynı zamanda saldırganlara da izin veren açıkta kalan Ağ Yapılandırma Protokolü (NETCONF) bağlantı noktalarına sahipti. gizlice girip aynısını yapmak. Bu yönlendiriciler, çok daha büyük ağlar için giriş ve kontrol noktaları görevi görerek, saldırganlara kötü niyetli eylemleri için geniş bir alan sağlıyordu.
Saldırganlar, bu değerli cihazlardan yararlanmak için kötü amaçlı yazılımlarını (cd00r) uç cihaza gelen tüm TCP trafiğini gözlemleyebilecekleri bir konuma yükler. Daha sonra, bir aktivasyon cümlesi gibi davranan, son derece spesifik koşulları karşılayan, önceden tanımlanmış beş paketten birini bekler. Bu ön ayarlardan birini karşılayan bir paket alındığında program, sihirli pakette belirtilen bağlantı noktası aracılığıyla saldırganın IP adresine bağlı bir ters kabuk oluşturacaktır.
Bu teknik işe yarıyor çünkü savunucuların kötü amaçlı yazılımları tespit etmek için zaten sınırlı olan yöntemlerini atlatıyor. Adamitis, tipik bir enfeksiyonda şunları söylüyor: “Bir güvenlik duvarı veya yönlendiriciden gelen trafiği izleyebiliyorsanız, belirli aralıklarla ortaya çıkan bir işaret olduğunu görebilirsiniz. Ve bir zaman serisi analizi gerçekleştirirseniz, şunu görebilirsiniz: aktivite bu aralıkta sürekli olarak meydana geliyor ve bu bir nevi göze çarpıyor. Böyle bir şeyde, o kadar tutarlı bir çağrıya sahip olamazsınız.”
Ancak J-sihirli saldırı, sihirli paketin alınmasıyla tamamen tamamlanmaz. İşleyicinin amaçlanan saldırgan olduğunu doğrulamak için – sadece işlerini geri almaya çalışan yoldan geçen biri değil – cd00r, sabit kodlanmış bir genel anahtarla şifrelenmiş bir “meydan okuma” dizisi gönderir. Saldırgan ancak bu testi geçerse (ilişkili özel anahtarını kullanarak dizeyi geri göndererek), ters kabuk üzerinde kontrol sahibi olur ve bununla birlikte virüslü cihazı kontrol etme, kurumsal verileri çalma ve daha fazla kötü amaçlı yazılım dağıtma gücüne sahip olur.
Bu J-sihirli enfeksiyonların kanıtları Eylül 2023’e kadar uzanıyor, ancak vakaların çoğunluğu 2024 ilkbahar ve yazında ortaya çıkmış gibi görünüyor. Yaklaşık o yıl içinde cd00r ABD, İngiltere, Rusya, Norveç’e yayıldı. Hindistan ve aradaki daha fazla ülke, diğerlerinin yanı sıra inşaat, biyomühendislik, sigorta ve BT hizmetleri alanındaki kuruluşları da etkiliyor.
Uç Ağ Siber Güvenliğinde Kör Nokta
Kolayca gözden kaçırılan şey, cd00r’nin yeni özelliklerle güncellenmesine rağmen 25 yıllık bir program olduğu gerçeğidir. İlk olarak 2000 yılında bilgi güvenliği web sitesi Packet Storm’da “görünmez” bir arka kapı için kavram kanıtı (PoC) olarak geliştirilmiş ve yayınlanmıştır.
Bu kadar eski ve bazı açılardan atavistik bir kötü amaçlı yazılımın 2025’te hâlâ yeterli olması, saldırganların uç ağlarda ne kadar çok şey elde edebildiğini gösteriyor.
“Kurumsal dizüstü bilgisayarınızda muhtemelen Windows Defender ve en sevdiğiniz EDR satıcısından bir şey vardır. Son kullanıcı iş istasyonları için genellikle çok sayıda satıcı vardır, ancak uç cihazların üzerinde pek bir şey yok gibi görünüyor. Yani yaşayarak Bu kör noktalarda, saldırganlar bu 20 yıllık kötü amaçlı yazılımı kullanmaktan kurtulabiliyor çünkü söz konusu cihazda bu tür kullanıcı etkileşimini gerçekten yakalayacak hiç kimse ve hiçbir şey yok,” diyor Adamitis.
“Bu tür kurumsal sınıf yönlendiricilerle ilgili raporlar çok daha seyrek olma eğiliminde” diye ekliyor. “Söylemeye çalıştığımız şey şu: Çevrede görünürlüğü düşük bir nokta olabileceğini düşünüyoruz.”