Zayıf kimlik bilgilerini ve yapılandırmaları hedef alan, kamuya açık kötü amaçlı yazılım araçlarından ve istismarlardan biraz daha fazlasını kullanan bir Rus komut dosyası çocuğu, küresel ölçekte kesintiye neden olabilecek dağıtılmış bir hizmet reddi (DDoS) botnet’i oluşturdu.
Saldırgan, botnet’i oluştururken, bugünlerde yaygın bir uygulama olduğu gibi yalnızca savunmasız Nesnelerin İnterneti (IoT) cihazlarını değil, aynı zamanda kurumsal geliştirme ve üretim sunucularını da hedef alarak yaygın kesinti potansiyelini önemli ölçüde artırdı.
Matrix serbest bırakıldı
Kampanyayı yakın zamanda fark ettikten sonra Aqua Nautilus’taki araştırmacıların “Matrix” olarak takip ettiği saldırgan, Telegram’da müşterilerin farklı DDoS planları ve hizmetleri satın alabileceği bir tür mağaza kurdu. Bunlar arasında, alıcıların kendi seçtikleri hedeflerin taşıma ve uygulama katmanlarında farklı sürelerde DDoS saldırıları gerçekleştirmesine olanak tanıyan “Temel”den “Kurumsal”a kadar değişen planlar yer alıyor.
Aqua baş veri analisti Assaf Morag, “Bu kampanyada ileri teknikler kullanılmasa da, çeşitli cihaz ve yazılımlardaki yaygın güvenlik açıklarından yararlanılıyor” dedi. bir blog yazısında Bu hafta. “Bu yöntemlerin basitliği, bunun gibi geniş, fırsatçı saldırılara karşı koruma sağlamak için varsayılan kimlik bilgilerinin değiştirilmesi, yönetim protokollerinin güvenliğinin sağlanması ve ürün yazılımı güncellemelerinin zamanında uygulanması gibi temel güvenlik uygulamalarının ele alınmasının önemini vurgulamaktadır.”
DDoS saldırıları bir süredir Saldırganın taktik kitaplarındaki standart öğe uzun zamandır. Kuruluşlar yıllar içinde bunlarla başa çıkma konusunda genel olarak daha iyi hale gelmiş olsa da, DDoS saldırılarına karşı tamamen korunmak hala zor. Tehdit aktörleri, yıkıcı etkilerini en üst düzeye çıkarmak için ağın farklı katmanlarını hedef alacak teknikler geliştirirken DDoS saldırılarının hacmini ve süresini sürekli olarak artırdı. Bu yılın başlarında yayınlanan bir Gcore araştırması şunu gösterdi: DDoS saldırılarında %46 artış 2024’ün ilk yarısında geçen yılın aynı dönemiyle karşılaştırıldığında. Bazı saldırılar saniyede birden fazla terabitlik saldırı trafiğini aşarak zirveye ulaştı.
Matrix’in kampanyası Kasım 2023’te GitHub hesabının oluşturulmasıyla başlamış gibi görünüyor. Saldırgan, hesabı öncelikle farklı kaynaklardan indirilen ve bazı durumlarda Matrix’in DDoS kampanyasında kullanılmak üzere değiştirdiği, herkese açık çeşitli kötü amaçlı yazılım araçları için bir depo olarak kullanıyor.
Kullanıma Hazır Saldırı Araçları
Aqua’nın Matrix’in GitHub hesabına ilişkin analizi, aralarında daimi favori Mirai, DDoS aracısı, Pybot, Pynet, SSH Scan Hacktool ve Discord Go’nun da bulunduğu, yaygın olarak bulunan DDoS botnet araçlarının bir koleksiyonunu gösterdi. Bu araçların çoğu kamuya açık ve açık kaynaktır; Matrix’i diğerlerinden ayıran şey, bu araçları nasıl entegre edebildiği ve bir DDoS botnet’i oluştururken etkili bir şekilde kullanabildiğidir. Morag, “Depoları çatallamak yerine araçlar yerel olarak indiriliyor ve değiştiriliyor, bu da bir düzeyde özelleştirme ve uyarlanabilirlik anlamına geliyor” dedi.
Matrix, sahiplerinin yama yapmadan bıraktığı, bilinen güvenlik açıkları bulunan IoT cihazlarını bulmak için İnternet’i taramak amacıyla bu araçları kullanıyor. Tehdit aktörlerinin saldırı komut dosyalarının taradığı güvenlik açıklarının çoğu, 2014’teki bir güvenlik açığı da dahil olmak üzere daha eski kusurlardır (CVE-2014-8361) Realtek Yazılım Geliştirme Kiti’ndeki bir uzaktan kod yürütme (RCE) güvenlik açığı.
Saldırganın hedeflediği Aqua’da listelenen güvenlik açıkları arasında 2017 yılına ait üç güvenlik açığı (CVE-2017-17215, CVE-2017-18368 ve CVE-2017-17106); hedeflenen diğer üç güvenlik açığı 2018 yılına aittir (CVE-2018-10561, CVE-2018-10562 ve CVE-2018-9995). Güvenlik açıkları, ağ yönlendiricileri, DVR’ler, kameralar ve telekom ekipmanları da dahil olmak üzere İnternet’e bağlı bir dizi cihazı etkiliyor.
Tipik DDoS kampanyalarından farklı olarak, tehdit aktörü çeşitli bulut hizmeti sağlayıcılarının IP aralıklarını telnet, SSH, Hadoop YARN ve diğer kurumsal sunuculardaki güvenlik açıkları ve yanlış yapılandırmalara karşı tarıyor. Matrix’in hedeflediği güvenlik açıklarından biri, Apache HugeGraph sunucularındaki kritik bir RCE güvenlik açığı olan CVE-2024-27348’dir. Aqua’nın gözlemlediği tarama etkinliğinin neredeyse yarısı (%48) AWS ortamlarındaki hedef sunucuları, %34’ü Microsoft Azure’da ve %16’sı Google’ın bulut platformundaydı. Morag, en azından şimdilik Matrix’in ana odağının Çin ve Japonya gibi göründüğünü, bunun da muhtemelen bu ülkelerdeki IoT cihazlarının yüksek yoğunluğu nedeniyle olduğunu söyledi.
Kaba Kuvvet Saldırıları
Bu tür kampanyaların çoğunda yaygın olduğu gibi Matrix, IoT cihazlarını ve kurumsal sunucuları tehlikeye atmak ve bunları DDoS botnet’in parçası haline getirmek için varsayılan ve zayıf şifrelerden ve yanlış yapılandırmalardan da yararlanıyor. Aqua, Matrix’i kuruluşların IoT ve sunucu ortamlarına erişimi güvenli hale getirmek için kullandıkları 167 kullanıcı adı ve şifre çiftine karşı kaba kuvvet komut dosyası kullanarak buldu. Çiftlerden şaşırtıcı 134’üne, etkilenen cihazlarda kök veya yönetici düzeyinde erişim izni verildi.
Aqua’nın analizi, saldırganın hedeflediği yazılımı çalıştıran 35 milyon sistemin bulunduğunu gösterdi. Hepsi savunmasız değil. Ancak yalnızca %1’i istismar edilebilir olsa bile bu, saldırgana yaklaşık 350.000 cihazdan oluşan bir botnet verecektir.
Dark Reading’e yaptığı yorumda Morag, yalnızca içerik dağıtım ağlarının ve İnternet trafik kayıtlarını görebilen kuruluşların, Matrix’in oluşturduğu botnet’in gerçek boyutunu gerçekten söyleyebileceğini söylüyor. Ancak belirtiler bunun büyük olduğunu gösteriyor. “Yüzlerce honeypot’umuz var ve genellikle bir veya iki tür honeypot’a saldırı/kampanya görüyoruz. Ancak bu durumda SSH, Telnet, Jupytar Lab, Jupytar Notebook, Hadoop, HugeGraph ve birkaç tanesine saldırılar gördük. IoT cihazlarının simülatörleri” diyor ki bu alışılmadık bir durum. “Ayrıca saldırgan, %95 başarı oranıyla Telnet ve SSH’ye saldırmak için balküplerimizden bazılarını kullandı.”