Perşembe günü Microsoft, öncelikle özel Minecraft sunucularına karşı dağıtılmış hizmet reddi (DDoS) saldırıları başlatmak için tasarlanmış bir platformlar arası botnet’i işaretledi.
Aranan Çöküşbotnet, Windows ana bilgisayarlarındaki kötü amaçlı yazılım indirmelerinden kaynaklanmasına rağmen Linux tabanlı cihazlara yayılmasına izin veren benzersiz bir yayma mekanizması ile karakterize edilir.
Şirket bir raporda, “Botnet, internete açık Secure Shell (SSH) özellikli cihazlarda varsayılan kimlik bilgilerini numaralandırarak yayılıyor” dedi. “Nesnelerin İnterneti cihazları genellikle güvenli olmayabilecek ayarlarla uzaktan yapılandırma için etkinleştirildiğinden, bu cihazlar bu botnet gibi saldırılara karşı risk altında olabilir.”
Bu aynı zamanda, kötü amaçlı yazılımın, virüs bulaşmış kaynak bilgisayardan kaldırıldıktan sonra bile IoT cihazlarında kalabileceği anlamına gelir. Teknoloji devinin siber güvenlik bölümü, ortaya çıkan DEV-1028 takma adıyla etkinlik kümesini izliyor.
Enfeksiyonların çoğu Rusya’da ve daha az ölçüde Kazakistan, Özbekistan, Ukrayna, Beyaz Rusya, Çekya, İtalya, Hindistan ve Endonezya’da bildirilmiştir. Şirket, kampanyanın tam boyutunu açıklamadı.
Botnet’in ilk bulaşma noktası, yasa dışı Windows lisansları sağladığını iddia eden kırma araçlarının yüklenmesi yoluyla ele geçirilen bir makine havuzudur.
Yazılım daha sonra, bir sözlük saldırısı başlatmak için SSH özellikli Linux cihazlarının taranması da dahil olmak üzere, botnet’in temel özelliklerini içeren bir Python yükünü yürütmek için bir kanal görevi görür.
Yayılma yöntemini kullanarak bir Linux ana bilgisayarını ihlal ettikten sonra, biri özellikle Minecraft sunucularını (“ATTACK_MCCRASH”) çökertmek üzere ayarlanan DDoS komutlarını çalıştırmak için aynı Python yükü dağıtılır.
Microsoft, yöntemi “oldukça verimli” olarak nitelendirdi ve muhtemelen yeraltı forumlarında bir hizmet olarak sunulduğunu belirtti.
Araştırmacılar David Atch, Maayan Shaul, Mae Dotan, Yuval Gordon ve “Bu tür bir tehdit, kuruluşların yalnızca geleneksel uç noktaları değil, aynı zamanda genellikle daha az güvenli olan IoT cihazlarını da yönetmesini, güncel tutmasını ve izlemesini sağlamanın önemini vurguluyor.” dedi Ross Bevington.
Bulgular, Fortinet FortiGuard Labs’in kendi kendine barındırılan WordPress web sitelerinde kaba kuvvet uyguladığı gözlemlenen GoTrim adlı yeni bir botnet’in ayrıntılarını açıklamasından günler sonra geldi.