Siber Suçlar, Uç Nokta Güvenliği, Dolandırıcılık Yönetimi ve Siber Suçlar
Water Barghest Grubu, İlk Tehlikeden Sonraki 10 Dakika İçinde Etkilenen Cihazları Listeliyor
Akşaya Asokan (asokan_akshaya) •
18 Kasım 2024
Rus ulus-devlet bilgisayar korsanlarıyla bağlantısı olduğundan şüphelenilen bir tehdit aktörü, binlerce savunmasız IoT cihazını, ilk ele geçirmelerinden birkaç dakika sonra proxy ağları olarak listeledi. Güvenlik firması Trend Micro’ya göre 2020’de başlayan bir kampanya şu ana kadar 20.000 IoT cihazına bulaştı.
Ayrıca bakınız: Tehdit Ortamını Ortaya Çıkarmak: 2024 Esnek Küresel Tehdit Raporu
Trend Micro, Water Barghest olarak takip edilen bir tehdit grubuyla ilişkilendirdiği, faaliyetlerini büyütmek için otomatik araçlar kullanan ve bilgisayar korsanının ele geçirilen cihazları neredeyse anında kiralamak üzere bir proxy pazarında listelemesine olanak tanıyan bir proxy botnet kampanyasını ortaya çıkardı.
Trend Micro, “İlk enfeksiyon ile botun piyasada proxy olarak kullanılabilir hale getirilmesi arasındaki tüm prosedür 10 dakikadan fazla sürmeyebilir” dedi.
Water Barghest tarafından listelenen proxy’ler, “web sitelerinin içeriklerini kazımak, çalınan veya tehlikeye atılmış çevrimiçi varlıklara erişmek ve siber saldırılar başlatmak için makul bir şekilde coğrafi konuma sahip IP adresleriyle” faaliyetlerinin anonimleştirilmesine yardımcı olmak amacıyla diğer siber suçlulara ve aynı zamanda ulus devlet korsanlarına pazarlanmaktadır.
Trend Micro, kampanyayı, Ocak ayında ABD Federal Soruşturma Bürosu’nun, anonimleştirme ve diğer kötü amaçlı siber suç faaliyetleri için Pawn Storm tarafından kullanılan bir botnet altyapısını çökertmesi sonrasında ortaya çıkardı. APT28 ve Forest Blizzard olarak da bilinen tehdit grubu, Rus GRU Askeri Birimi 26165’e bağlı gelişmiş bir kalıcı tehdit aktörüdür.
Trend Micro, “Araştırmamız sırasında Pawn Storm tarafından kullanılan birkaç EdgeRouter cihazını ele geçirdik. Bu da bizi Water Barghest’in Ngioweb botnet’inin keşfedilmesine yönlendirdi” dedi.
Ngioweb, ilk olarak 2017’de tespit edilen çok işlevli bir proxy sunucu botnet’idir. En son kampanyada Water Barghest, 2020’den beri aktif olan kötü amaçlı yazılımın yeni bir sürümünü dağıtıyor. Kampanya, EdgeRouter, Cisco, DrayTek, Fritz!Box ve Linksys’e bulaştı. Raporda, cihazların çoğunlukla ABD’de bulunduğu belirtildi.
Kampanya, bilgisayar korsanlarının n gün ve sıfır gün içeren IoT cihazı güvenlik açıklarını ele geçirmesiyle başlıyor. Water Barghest daha sonra savunmasız cihazları ve bunların IP adreslerini bulmak için Shodan gibi halka açık veritabanlarını tarar.
Savunmasız IP adresleri hakkında bilgi edindikten sonra bilgisayar korsanları, IoT cihazlarındaki kusurlardan yararlanmaya devam ediyor. Başarılı olduktan sonra kötü amaçlı yazılımı IoT cihazının belleğine dağıtırlar.
Trend Micro, “Bu, enfeksiyonun kalıcı olmadığı anlamına geliyor. Yeniden başlatma, enfeksiyonu ortadan kaldıracaktır” dedi.
Trend Micro, kötü amaçlı yazılımın yüklendikten sonra “hız testi ve ad sunucusu testi” için komut ve kontrol sunucularıyla bağlantı kurduğunu ve bu bilgilerin otomatik olarak pazara gönderildiğini ve satış için listelendiğini söyledi.
VPNFilter botnet ve Cyclops Blink gibi benzer hizmetlere ilişkin kolluk kuvvetlerinin eylemleri, proxy hizmetlerini kullanan kötü niyetli faaliyetlerde bir düşüşe yol açsa da Trend Miro, internetten bağlantı isteklerini kabul eden tüm IoT cihazlarının bu tür saldırılara karşı savunmasız kalmaya devam edeceğini söylüyor.
Özellikle APT gruplarının faaliyetlerini gizlemek amacıyla bu tür hizmetlere yüksek talep olduğundan şirket, Water Barghest gibi grupların IoT cihazlarını tehlikeye atmaya devam edeceğini de öngördü.
Trend Micro, “IoT cihazlarını iş açısından gerekli olmadığında gelen internet bağlantılarına maruz bırakmamak ve altyapılarının sorunun bir parçası olmasını önlemek için hafifletici önlemlerin uygulanması önemlidir” dedi.