İngiltere Ulusal Siber Güvenlik Merkezi (NCSC) ve muadili Five Eyes ajansları, Çin merkezli bir şirketin, 250 binden fazla internete bağlı cihazdan oluşan ve bunların yaklaşık 8 bin 500’ünü İngiltere’de barındıran devasa bir botnet çalıştırdığını iddia etti.
Tehlikeye atılan cihazlar arasında yönlendiriciler ve güvenlik duvarları gibi kurumsal ağ ve güvenlik araçları ve CCTV kameraları ve web kameraları gibi nesnelerin interneti (IoT) ürünleri yer alıyor. Sahiplerinin haberi olmadan, dağıtılmış hizmet reddi (DDoS) saldırıları ve kötü amaçlı yazılım dağıtımı dahil olmak üzere koordineli siber saldırılar gerçekleştirmek için kullanılıyorlar.
NCSC operasyon direktörü Paul Chichester, “Botnet operasyonları, günlük internet bağlantılı cihazlardaki güvenlik açıklarını istismar ederek büyük ölçekli siber saldırılar gerçekleştirme potansiyeline sahip olması nedeniyle İngiltere için önemli bir tehdit oluşturuyor” dedi.
“Botnetlerin çoğunluğu koordineli DDoS saldırıları gerçekleştirmek için kullanılsa da bazılarının hassas bilgileri çalma yeteneğine de sahip olduğunu biliyoruz.
“Bu nedenle NCSC, Five Eyes ülkelerindeki ortaklarımızla birlikte, kuruluşları ve bireyleri, cihazlarının bir botnet’e katılmasını önlemek için internet bağlantılı cihazlara güncellemeler uygulanması da dahil olmak üzere bu danışma belgesinde belirtilen rehberliğe göre hareket etmeye şiddetle teşvik ediyor.”
Söz konusu şirket, Integrity Technology Group, Pekin merkezlidir ve hizmette ağ güvenliği hizmetleri sağlayan meşru bir sağlayıcı olarak faaliyet gösteriyor gibi görünmektedir.
Ancak, tamamı burada okunabilen ortak bildiriye göre, şirket uzmanlığını Çin hükümetinin hizmetinde de kullanıyor – Integrity’nin China Unicom Beijing Province IP adreslerinin, ABD’deki mağdurlara yönelik siber saldırılarda kullanılan diğer operasyonel altyapılara erişmek için kullanıldığı biliniyor.
Yetkililere göre FBI, bu mağdurların birçoğuyla iletişime geçti ve Flax Typhoon olarak bilinen, ancak RedJuliett ve Ethereal Panda gibi isimlerle de bilinen, devlet destekli ileri düzey sürekli tehdit (APT) aktörünün tercih ettiği taktik, teknik ve prosedürlerle (TTP’ler) tutarlı faaliyetler ortaya çıkardı.
Botnet’i, Linux tabanlı işletim sistemleri çalıştıran cihazları ele geçirmek için kötü şöhretli Mirai kötü amaçlı yazılım ailesini kullanır. Integrity, bu cihazları bir dizi açıklanan ortak güvenlik açığı ve ifşa (CVE) yoluyla hedef alır.
Mirai yükü indirilip yürütüldüğünde, 443 numaralı port üzerinden Taşıma Katmanı Güvenliği (TLS) kullanarak Integrity’nin komuta ve kontrol (C2) altyapısıyla bir bağlantı kurmak için cihazda işlemler başlatır. Ayrıca, sayım amaçları için işletim sistemi sürümleri, bellek ve bant genişliği ayrıntıları dahil olmak üzere sistem bilgilerini toplar ve dışarı aktarır. Ayrıca, ek internet bağlantısı ayrıntılarını toplamak için ‘c.speedtest.net’e istekler gönderir. Ayrıca, soruşturma Mirai yüklerinden bazılarının tespit edilmekten kaçınmak için kendi kendini sildiğini buldu.
Bu arada, yukarı akışta Integrity, botnet’in C2 altyapısını çalıştırmak için TCP portu 34125 üzerinden bir yönetim sunucuları katmanı çalıştırır. Sunucular, bu yılın Haziran ayı itibarıyla 1,2 milyondan fazla kayıt içerdiği düşünülen, tehlikeye atılmış cihazlarla ilgili bilgileri tutan bir MySQL veritabanına ev sahipliği yapar. Sunucular ayrıca botnet ile etkileşim kurmak için ‘Sparrow’ olarak bilinen bir uygulamaya ev sahipliği yapar – bu uygulamanın kodu bir Git deposunda saklanır ve kullanıcıların tehlikeye atılmış cihazlara görevlendirme ve istismar komutları göndermesini sağlayan çeşitli işlevleri tanımlar. ‘Sparrow’ ayrıca kullanıcılara cihaz güvenlik açığı bilgileri ve kurban cihazlar aracılığıyla geleneksel ağları istismar etmelerine olanak tanıyan ‘güvenlik açığı cephaneliği’ adlı bir alt bileşen sağlayabilir.
Integrity’nin faaliyetleri hakkında daha fazla ayrıntıya, azaltma rehberliği de dahil olmak üzere, tam duyuruda ulaşabilirsiniz.