DDoS Koruması, Uç Nokta Güvenliği, Yönetişim ve Risk Yönetimi
Muhtemelen Rus Hacker, Birçoğu Yıllardır Bilinen Nesnelerin İnterneti Güvenlik Açıklarından Yararlanıyor
Prajeet Nair (@prajeetspeaks) •
27 Kasım 2024
Görünüşe göre Rus senaryolu bir çocuk, yaygın güvenlik açıklarını küresel ölçekte dağıtılmış hizmet reddi saldırıları başlatabilecek güçlü bir botnet’e dönüştürüyor.
Ayrıca bakınız: 2024 Tehdit Avcılığı Raporu: Modern Düşmanları Zekice Alt Etmeye Yönelik İçgörüler
Bulut güvenlik firması Aqua, Salı günkü bir blog yazısında, çevrimiçi takma adı “Matrix” olan bir tehdit aktörünün, varsayılan kimlik bilgileri ve güncel olmayan yazılımlar gibi Nesnelerin İnterneti cihazının güvenlik açıklarından yararlandığını söyledi.
Aqua, Matrix’in tek bir birey olup olmadığından emin değil ancak “aktarılan izlenim bu.” Matrix, kaba kuvvet saldırılarını komut dosyalarıyla birleştirir. Harici komut dosyalarına bu kadar fazla güvenmenin yanı sıra “gelişmiş yetenekleri bağımsız olarak geliştirmek yerine mevcut araçlardan yararlanmaya odaklanma”, Matrix’i büyük olasılıkla karmaşık olmayan bilgisayar korsanlığı yelpazesine yerleştiriyor. Tak-çalıştır bilgisayar korsanlığı araçlarının çoğalması ve yapay zeka geliştirmeleri, daha az karmaşık saldırganların geniş kapsamlı saldırıları yürütmesini kolaylaştırdığından, bu Matrix’i durdurmadı.
Bilgisayar korsanı ayrıca Rus uyruklu olduğuna dair güçlü işaretler gösteriyor veya en azından bu izlenimi yaratmaya özen gösteriyor. Botnet’in Ukrayna’yı hedeflememesi ideolojiden ziyade finansal kazanca odaklanıldığını gösteriyor.
Hizmet reddi saldırıları, kendilerini öncelikle geçici rahatsızlıklar yaratmak için kullanan, kendilerine özgü Rus bilgisayar korsanlarının neden olduğu son zamanlardaki yükselişle birlikte, kamuoyunun farkındalığına girip çıkıyor. Hacktivizm ile kar amacı güden faaliyetler arasındaki çizgi ince olabilir – ABD federal savcıları bu yılın başlarında iki kardeşi, botnet’ini kiralarken aynı anda ABD’ye “siber savaş” ilan eden bir DDoS grubu olan Anonymous Sudan’ı işletmekle suçladı (bkz: ABD, Sudanlı Kardeşleri İsimsiz Sudan Saldırılarından Suçladı).
Matrix, hackleme çılgınlığına Kasım 2023’te, çoğunlukla sızdırılan Mirai kodu, DDoS aracısı, PyBot, Pynet, SSH Scan Hacktool ve Discord Go dahil olmak üzere halka açık kötü amaçlı yazılım araçlarının deposu olarak kullanılan bir GitHub hesabı oluşturarak başlamış gibi görünüyor. Aqua, “Depoları çatallamak yerine araçlar yerel olarak indiriliyor ve değiştiriliyor, bu da bir düzeyde kişiselleştirme ve uyarlanabilirlik anlamına geliyor” dedi.
Botnet’i saldırıya uğramış ağ yönlendiricilerinden, dijital video kaydedicilerden, kameralardan ve telekom ekipmanlarından oluşuyor. Apache Hadoop YARN ve HugeGraph gibi kurumsal sistemlerdeki güvenlik açıkları, erişimini perakende cihazların ötesine taşıyor, ancak güvenlik açıklarının çoğunluğu IoT cihazları çevresinde yoğunlaşıyor.
Yaklaşık 35 milyon internete bağlı cihaz, Matrix’in hedeflediği cihaz türüdür. Aqua, “Bu cihazların yalnızca %1’inin sömürülebilir olduğunu varsayarsak, potansiyel botnet boyutu 350.000 cihaza ulaşabilir. Eğer %5’i savunmasızsa, botnet boyutu tahminen 1,7 milyon cihaza çıkabilir” dedi.
Araştırmacılar, saldırılarda kullanılan 167 benzersiz kullanıcı adı-şifre çifti belirlediler ve bunların %80’i “admin:admin” gibi varsayılan kimlik bilgileriydi.
Botnet’i bir araya getirmek için istismar edilen güvenlik açıkları arasında, ZTE yönlendiricilerindeki CVE 2017-18368 ve Arcadyan ürün yazılımı özellikli komut enjeksiyonlarındaki CVE 2021-20090 dahil olmak üzere, ilk kez yıllar önce tanımlanan yama yapılmamış kusurlar yer alıyor. Huawei ve Realtek cihazlarındaki evrensel tak ve çalıştır güvenlik açıkları da bilgisayar korsanlığını kolaylaştırıyor.
Matrix orantısız bir şekilde Asya-Pasifik bölgelerini, özellikle de Çin ve Japonya’yı hedef alıyor ve bu bölgelerde IoT cihazlarının yüksek benimsenme oranlarından yararlanıyor.