Daha önce hiç görülmemiş bir kötü amaçlı yazılım türü, ağ sınırının arkasından kimlik doğrulama ayrıntılarını ve diğer verileri çalmak için kurumsal düzeydeki ve SOHO yönlendiricilerini hedef alıyor. Ayrıca özel IP adreslerine yapılan bağlantılara DNS ve HTTP ele geçirme saldırıları da gerçekleştirir.
1 Mayıs’ta yayınlanan bir blog gönderisine göre, Lumen Technologies’deki Black Lotus Labs ekibi tarafından “Mürekkepbalığı” olarak adlandırılan, paket koklayan kötü amaçlı yazılım, kullanıcılardan ve cihazlardan veri yakalamak için sıfır tıklama yaklaşımı sunuyor.
Black Lotus Labs’a göre “Bu kötü amaçlı yazılımın sızdığı, ağ ekipmanı üzerinden gönderilen herhangi bir veri potansiyel olarak açığa çıkar”. Araştırmacılar, saldırganların modüler kötü amaçlı yazılımı, genel bulut tabanlı hizmetlere ağırlık vererek, özellikle kimlik doğrulama verilerini elde etmek için belirli bir kural seti tarafından tetiklenecek şekilde tasarladıklarını söyledi.
“Verileri sızdırmak için tehdit aktörü öncelikle bir proxy veya VPN tüneli oluşturur. güvenliği ihlal edilmiş yönlendiricidaha sonra hedeflenen kaynaklara erişmek için çalınan kimlik bilgilerini kullanıyor.” Gönderiye göre “İsteği yönlendirici aracılığıyla göndererek, aktörün çalınan kimlik doğrulama bilgilerini kullanarak anormal oturum açma tabanlı analizlerden kaçabileceğinden şüpheleniyoruz.”
Mürekkepbalığının aynı zamanda her ikisini de gerçekleştirme kapasitesini sağlayan ikincil bir işlevi vardır. DNS Ve HTTP ele geçirme dahili bir ağdaki iletişimlerle ilişkili özel IP alanına bağlantılar için. Ayrıca LAN üzerindeki diğer cihazlarla etkileşime girebilir ve materyali taşıyabilir veya yeni aracılar tanıtabilir.
Mürekkep Balığının Benzersiz Kötü Amaçlı Yazılım Davranışı
Mürekkepbalığının uç ağ ekipmanlarını gizlice dinleme ve DNS ve HTTP korsanlığı gerçekleştirme yeteneği “nadiren gözlemlenmiştir”; ancak bunun gibi kampanyalar ZuoRat, VPNFiltreBlack Lotus Labs’a göre , Attor ve Plead benzer davranışlar sergiledi.
Bununla birlikte, Mürekkepbalığı’na özgü olan, potansiyel ele geçirme için özel IP adresi bağlantılarına odaklanma yeteneğidir; araştırmacılar bu yeteneği ilk kez gözlemlediler ve muhtemelen anti-algılama ve kalıcılık amaçları için olduğunu belirttiler.
“Bu bulut hizmetlerini hedeflemenin, saldırganların EDR gibi güvenlik kontrolleriyle uğraşmak zorunda kalmadan, dahili olarak barındırılan aynı materyallerin çoğuna erişmesine olanak tanıdığından şüpheleniyoruz.” [extended detection and response] veya ağ bölümlendirmesi” blog gönderisine göre.
Araştırmacılar, kötü amaçlı yazılımın sıklıkla izlenmeyen ağ ekipmanlarını hedeflemenin yanı sıra, genellikle günlük kaydı bulunmayan bulut ortamlarına erişim sağlama kombinasyonunun, hedeflenen ekosistemlere uzun vadeli kalıcı erişim sağlamayı amaçladığını belirtti.
Türk Telekomünikasyon Şirketleri ve HiatusRAT Bağlantıları
Mürekkepbalığı en azından geçen Temmuz ayından bu yana aktif ve en son kampanyası Ekim ayından geçen aya kadar sürüyor. Enfeksiyonların büyük kısmı Türkiye’de iki telekomünikasyon sağlayıcısı (bir segment) aracılığıyla meydana geldi. Siber casusluk amaçlı kötü amaçlı yazılımların sıklıkla hedefi oluyor), enfeksiyonların yaklaşık %93’ünü veya 600 benzersiz IP adresini oluşturuyor.
Black Lotus Labs’a göre, muhtemelen küresel uydu telefonu sağlayıcılarıyla ilişkili müşterilerin IP adresleri ve potansiyel olarak ABD merkezli bir veri merkezi de dahil olmak üzere “bir avuç” Türk olmayan kurban da var.
Araştırmacılar, özellikle kod benzerlikleri ve yerleşik derleme yolları olmak üzere bağlantılar buldu. HiatusRat, dolayısıyla Mürekkepbalığı’nın Çin merkezli tehdit aktörlerinin çıkarlarıyla da uyumlu olduğuna inanıyorlar. Ancak Black Lotus Labs şu ana kadar ortak bir mağduriyet bulamadı ve iki kötü amaçlı yazılım kümesinin aynı anda çalıştığını tahmin ediyor.
Enfeksiyon Süreci ve Yürütülmesi
Araştırmacılar ilk enfeksiyon vektörünü belirlememiş olsalar da, hedeflenen cihaz istismar edildikten sonra Mürekkepbalığının yolunu takip ettiklerini söylediler. Tehdit aktörü ilk olarak, komut ve kontrol sunucusuna (C2) göndermek üzere belirli ana bilgisayar tabanlı verileri toplayan bir bash betiği dağıtır. Ayrıca Mürekkepbalığı’nı, SOHO işletim sistemleri tarafından kullanılan tüm önemli mimariler için derlenmiş kötü amaçlı bir ikili dosya biçiminde indirir ve çalıştırır.
Gönderiye göre “Bu aracı, tüm giden bağlantıların incelenmesi ve belirli bağlantı noktalarının, protokollerin ve hedef IP adreslerinin kullanılması için bir paket filtresinin kurulmasıyla başlayan çok adımlı bir süreç uyguluyor.” “Mürekkep balığı, cihazdaki tüm trafiği sürekli olarak izliyor ve yalnızca belirli bir dizi aktivite gördüğünde devreye giriyor.”
C2, ilk girişten ana bilgisayar tabanlı numaralandırmayı aldıktan sonra güncellenmiş ve belirlenmiş etkileşim kurallarını bir yapılandırma dosyası aracılığıyla gönderir. Kural kümesi, kötü amaçlı yazılımı özel bir IP adresine yönlendirilen trafiği ele geçirmeye yönlendirir; halka açık bir IP’ye gidiliyorsa, belirli parametrelerin karşılanması durumunda kimlik bilgilerini çalmak için bir algılama işlevi başlatacaktır.
Yönlendirici Saldırılarına Karşı Savunma
Araştırmacıların gönderisine bir uzlaşma göstergeleri (IoC) listesi eklemenin yanı sıra, hem kurumsal ağ savunucuları hem de kurumsal ağ savunucuları için ayrı tavsiyeler de vardı. SOHO yönlendiricileri Mürekkepbalığı kaynaklı riskleri önlemek ve tespit etmek için.
Kurumsal kuruluşlar, coğrafi sınırlamayı ve ASN tabanlı engellemeyi atlayan yerleşik IP adreslerinden kaynaklansalar bile, zayıf kimlik bilgilerine ve şüpheli oturum açma girişimlerine yönelik saldırıları aramalıdır. Araştırmacılar ayrıca, bulut tabanlı hizmetleri kullanırken veya herhangi bir kimlik doğrulama türünü gerçekleştirirken uzaktan bulunan verileri alırken veya gönderirken koklamayı önlemek için ağ trafiğini TLS/SSL ile şifrelemeleri gerektiğini önerdi.
Yöneten kuruluşlar bu tür yönlendiriciler Cihazların ortak varsayılan şifrelere bağlı kalmamasını, ayrıca yönetim arayüzlerinin uygun şekilde güvenlik altına alınmasını ve İnternet üzerinden erişilememesini sağlamalıdır. SOHO cihazlarının /tmp dizininde bulunan ikili dosyalar veya hileli iptables girişleri gibi anormal dosyalar açısından incelenmesi ve bellekteki kötü amaçlı yazılım örneklerinin kaldırılmasına yardımcı olmak için bu cihazların rutin olarak yeniden çalıştırılması da kuruluşların riskten kaçınmasına yardımcı olabilir. Kuruluşlar ayrıca, tehdit aktörlerinin bağlantıları ele geçirmesini önlemek için bulut varlıkları gibi yüksek değerli varlıklara uzaktan bağlanırken sertifika sabitlemeyi uygulamalıdır.
SOHO yönlendiricilere sahip tüketiciler, yönlendiricileri düzenli olarak yeniden başlatma, güvenlik güncellemeleri ve yamaları yükleme, ayrıca kullanım ömrünün sonuna gelen yönlendiricileri kullanımdan kaldırma ve değiştirme ve dolayısıyla ilgili satıcılardan destek alma konusunda en iyi uygulamaları takip etmelidir.