Araştırmacıların bunları yönetmek için kullanılan süresi dolmuş alan adlarını kaydetmesinin ardından 4.000’den fazla terk edilmiş ancak hala aktif web arka kapısı ele geçirildi ve bunların iletişim altyapıları çökertildi.
Canlı kötü amaçlı yazılımların (web kabukları) bir kısmı, hükümet ve üniversite sistemleri de dahil olmak üzere yüksek profilli hedeflerin web sunucularına yerleştirildi ve iletişim alanlarının kontrolünü sağlayan herkesin komutlarını yürütmeye hazırdı.
Saldırgan güvenlik ekibi WatchTowr Labs’taki araştırmacılar, Shadowserver Vakfı ile birlikte bu alan adlarının ve ilgili kurbanların kötü niyetli aktörlerin eline geçmesini engelledi.
Binlerce ihlal edilmiş sistemi bulma
Arka kapılar, yetkisiz uzaktan erişime ve kontrole izin vermek için güvenliği ihlal edilmiş bir sisteme yerleştirilen kötü amaçlı araçlar veya kodlardır. Tehdit aktörleri bunları genellikle kalıcı erişim sağlamak ve saldırıyı ilerletecek tehlikeye atılmış sistem komutlarını yürütmek için kullanır.
WatchTowr araştırmacıları çeşitli web kabuklarındaki alan adlarını aramaya başladı ve süresi dolmuş olanları satın alarak aslında arka kapıların kontrolünü ele geçirdi.
Bir kayıt sistemi kurulduktan sonra, terk edilmiş ancak hala aktif olan kötü amaçlı yazılım, araştırmacıların en azından kurbanlardan bazılarını tespit etmesine olanak tanıyan istekler göndermeye başladı.
Araştırmacılar, 40’tan fazla alan adının kaydedilmesinden sonra “eve telefon etmeye” çalışan 4.000’den fazla ele geçirilmiş sistemden iletişim aldı.
Kaynak: WatchTowr
Araştırmacılar, aralarında “klasik” r57shell, dosya yönetimi ve kaba kuvvet yetenekleri sunan daha gelişmiş c99shell ve genellikle APT gruplarıyla bağlantılı “China Chopper” web kabuğunun da bulunduğu çeşitli arka kapı türleri buldu.
Raporda, Lazarus Grubu ile ilişkili davranışları sergileyen bir arka kapıdan bile bahsediliyor, ancak daha sonra bunun tehdit aktörünün aracının başkaları tarafından yeniden kullanılmasının muhtemel olduğu açıklığa kavuşturuldu.
WatchTowr, ihlal edilen çeşitli makineler arasında mahkemeler, Nijerya hükümetinin tehlikeye atılmış yargı sistemi ve Bangladeş hükümet ağındaki sistemler de dahil olmak üzere Çin’in hükümet altyapısında çok sayıda sistem buldu.
Ayrıca Tayland, Çin ve Güney Kore’deki eğitim kurumlarında da virüslü sistemlere rastlandı.
WatchTowr, ele geçirilen alan adlarının gelecekte devralınmaya uygun olmayacağından emin olmak için, ele geçirilen alan adlarının yönetimi sorumluluğunu Shadowserver Vakfı’na devretti. Shadowserver artık ihlal edilen sistemlerden etki alanlarına gönderilen tüm trafiği kapatıyor.
WatchTowr’un araştırması, karmaşık olmasa da, kötü amaçlı yazılım operasyonlarından dolayı süresi dolmuş alan adlarının hâlâ yeni siber suçlulara hizmet edebileceğini ve bunların da yalnızca kontrol alan adlarını kaydettirerek bazı kurbanlar alabileceğini gösteriyor.