Tehdit Aktörleri Ele Geçirilmiş Yönlendiricileri Kiralıyor

APT aktörleri ve siber suçlular, kötü niyetli faaliyetlerini maskelemek için hem proxy anonimleştirme katmanlarından hem de VPN düğümlerinden yararlanırken, tanınmış bir APT grubu olan Pawn Storm, 2022’de güvenliği ihlal edilmiş Ubiquiti EdgeRouters’ın siber suçlu botnet’ine sızdı ve bunu casusluk için kullandı.

FBI, Ocak 2024’te botnet’i kesintiye uğrattı, ancak Pawn Storm bazı botları yeni bir C&C sunucusuna taşımayı başardı ve farklı bir botnet için EdgeRouters’ta Ngioweb kötü amaçlı yazılımını kullanan başka bir tehdit aktörü buldu.

Operasyonları için çeşitli tehlikeye atılmış veya ticari botnet’lerden yararlanıyorlar.

Aynı zamanda siber suçlular, kötü amaçlı yazılım yüklemek için genellikle güvenliği zayıf yönlendiriciler kullanıyor; bu da internete bakan yönlendiriciler için güçlü güvenlik önlemlerinin önemini vurguluyor.

2016’dan bu yana Linux cihazlarını hedef alan suç niteliğindeki bir botnet, FBI tarafından sekteye uğratıldı.

Botnet, kimlik bilgilerini çalmak, varsayılan kimlik bilgilerinden yararlanmak ve ele geçirilen cihazlara kalıcı erişim sağlamak için bash/python komut dosyalarını ve SSHDoor kötü amaçlı yazılımını kullanıyor.

Ayrıca, SOCKS5 proxy’sini yüklerken ve EdgeRouters’ı hedefleyerek Monero kripto para birimi madenciliği yaparken VPS’ye ve yönlendiricilere de bulaşır, ancak herhangi bir Linux cihazına da bulaşabilir.

Kötü amaçlı yazılım, MicroSocks ve SSHDoor gibi açık kaynaklı araçları minimum düzeyde değişiklikle kullanıyor ve bu da onları kaba kuvvet saldırılarına karşı savunmasız hale getiriyor.

SSHDoor, meşru OpenSSH kaynak kodunu değiştirerek oluşturulan, SSH sunucusunun kötü amaçlı bir sürümüdür; oturum açma kimlik bilgilerini bir dosyaya kaydederek çalar ve sabit kodlanmış parolalar veya SSH anahtarları aracılığıyla yetkisiz erişime izin verir.

Kodlarının çoğu, sabit kodlanmış kimlik bilgilerini kabul eden ve geçerli olanları güvenliği ihlal edilmiş EdgeOS yönlendiricilerindeki bir dosyaya günlüğe kaydeden bir değişken olarak meşru olduğundan, algılamayı zorlaştırır.

Parola bdpassword2 adlı bir değişkende saklanır ve günlük dosyası genellikle şifrelenebilen /tmp/.zZtemp dosyasıdır.

Trend Micro’daki araştırmacılar, SSH sunucu banner’larını ve desteklenen algoritmaları analiz ederek EdgeRouters’ı hedef alan bir arka kapı tespit etti.

Yasal OpenSSH sürümleri belirli sürümleri kullanmaz veya belirli şifreleri desteklemez.

Resmi olmayan OpenSSH sürümlerini (6.0p1, 6.6.1p1, 8.2p2) ve hatta şüpheli şifreler içeren resmi sürümleri (OpenSSH 7.4p1 veya üzeri için blowfish-cbc) kullanan arka kapılı cihazlar bulunmuştur.

177 cihazı analiz ettiler ve 80 cihazın muhtemelen değiştirilmiş sshd ikili dosyaları (bazıları varsayılan şifrelerle) ve kalıcı erişim için ek ortak anahtarlarla arka kapıya kapatıldığını buldular.

Kolluk kuvvetleri, Pawn Storm’un botnet altyapısını kesintiye uğrattı, ancak yasal sınırlamalar ve teknik zorluklar nedeniyle güvenliği ihlal edilmiş bazı EdgeRouter’lar kaldı.

Pawn Storm ve Raspberry Pi gibi güvenliği ihlal edilmiş diğer cihazlar, saldırı başlatmak için bunlardan yararlandı.

Ukraynalı ukr.net kullanıcılarını hedef alan kimlik avı kampanyaları, SSH tünelleri aracılığıyla kimlik bilgilerinin toplanması ve anonimleştirilmesi için güvenliği ihlal edilmiş EdgeServer’lardan yararlandı ve internete bakan yönlendiricilerin güvenliğini sağlamanın önemini vurguladı.

Ngioweb kötü amaçlı yazılım bulaşmış EdgeRouter’ları hedef alan Linux botnet’leri yalnızca bellekte bulunur ve bu da onları daha önce gözlemlenen tehditlerden daha gizli hale getirir.

Botnet’in, konut proxy hizmeti olarak ticari olarak kullanıma sunulduğuna inanılıyor; bu, giderek kötü niyetli aktörler tarafından hedef alınan SOHO yönlendiricileri gibi internete yönelik cihazların güvenliğinin sağlanmasının artan önemini vurguluyor.

Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide