Matrix adlı bir tehdit aktörü, Nesnelerin İnterneti (IoT) cihazlarındaki güvenlik açıklarından ve yanlış yapılandırmalardan yararlanarak onları yıkıcı bir botnet’e dahil eden yaygın bir dağıtılmış hizmet reddi (DoD) kampanyasıyla ilişkilendirildi.
Bulut güvenliği tehdit istihbaratı direktörü Assaf Morag, “Bu operasyon, tarama, güvenlik açıklarından yararlanma, kötü amaçlı yazılım dağıtma ve mağaza kitleri oluşturma için kapsamlı bir tek durak noktası olarak hizmet ediyor ve siber saldırılara karşı her şeyi kendin yap yaklaşımını sergiliyor.” firması Aqua dedi.
Operasyonun Rus kökenli bir senaryo çocuğu olan yalnız kurt bir aktörün işi olduğuna dair kanıtlar var. Saldırılar öncelikle Çin, Japonya ve daha az ölçüde Arjantin, Avustralya, Brezilya, Mısır, Hindistan ve ABD’de bulunan IP adreslerini hedef aldı.
Bulut güvenlik firması, mağduriyet ayak izinde Ukrayna’nın bulunmamasının, saldırganların tamamen finansal motivasyonlarla hareket ettiğini gösterdiğini söyledi.
Saldırı zincirleri, IP kameralar, DVR’ler, yönlendiriciler ve telekom ekipmanları gibi geniş bir yelpazedeki internete bağlı cihazlara erişim elde etmek için varsayılan veya zayıf kimlik bilgilerinin yanı sıra bilinen güvenlik kusurlarının kullanılmasıyla karakterize edilir.
Tehdit aktörünün ayrıca Amazon Web Services (AWS), Microsoft Azure ve Google Cloud gibi bulut hizmet sağlayıcılarıyla (CSP’ler) ilişkili IP adresi aralıklarını hedeflemeye odaklanarak yanlış yapılandırılmış Telnet, SSH ve Hadoop sunucularından yararlandığı da gözlemlendi.
Kötü amaçlı etkinlik ayrıca GitHub’da bulunan çok çeşitli kamuya açık komut dosyalarına ve araçlara dayanıyor ve sonuçta Mirai botnet kötü amaçlı yazılımını ve DDoS ile ilgili diğer programları güvenliği ihlal edilmiş cihazlara ve sunuculara dağıtıyor.
Buna PYbot, pynet, DiscordGo, Homo Network, HTTP/HTTPS sel saldırısı uygulayan bir JavaScript programı ve Windows makinelerinde Microsoft Defender Antivirus uygulamasını devre dışı bırakabilen bir araç dahildir.
Matrix’in ayrıca kampanyada kullanılan bazı DDoS yapıtlarını sahnelemek için Kasım 2023’te açtıkları kendi GitHub hesabını kullandığı da ortaya çıktı.
Ayrıca tüm teklifin, müşterilerin saldırıları gerçekleştirmek için kripto para birimi ödemesi karşılığında farklı katmanlar arasından seçim yapmasına olanak tanıyan “Kraken Autobuy” adlı bir Telegram botu aracılığıyla bir kiralık DDoS hizmeti olarak tanıtıldığına inanılıyor.
Morag, “Bu kampanya, çok karmaşık olmasa da, erişilebilir araçların ve temel teknik bilginin, bireylerin ağa bağlı cihazlardaki çok sayıda güvenlik açığına ve yanlış yapılandırmaya karşı geniş, çok yönlü bir saldırı yürütmesine nasıl olanak sağladığını gösteriyor” dedi.
“Bu yöntemlerin basitliği, bunun gibi geniş, fırsatçı saldırılara karşı koruma sağlamak için varsayılan kimlik bilgilerinin değiştirilmesi, yönetim protokollerinin güvenliğinin sağlanması ve ürün yazılımı güncellemelerinin zamanında uygulanması gibi temel güvenlik uygulamalarının ele alınmasının önemini vurgulamaktadır.”
Açıklama, NSFOCUS’un, Kasım 2023’ten bu yana öncelikle Intelbras kameralarını ve NETGEAR, TP-Link ve D-Link yönlendiricilerini hedef alan XorBot adlı kaçamak bir botnet ailesine ışık tutmasıyla geldi.
Siber güvenlik şirketi, “Bu botnet tarafından kontrol edilen cihazların sayısı arttıkça, arkasındaki operatörler de aktif olarak kârlı operasyonlara katılmaya başladı ve DDoS saldırı kiralama hizmetlerinin açıkça reklamını yapmaya başladı” dedi ve botnet’in Masjesu adıyla tanıtıldığını ekledi.
“Aynı zamanda, gereksiz kod eklemek ve örnek imzaları gizlemek gibi gelişmiş teknik araçları benimseyerek, dosya düzeyinde savunma yeteneklerini geliştirerek saldırı davranışlarının izlenmesini ve tanımlanmasını daha zor hale getirdiler.”