Araştırmacılar, birden fazla ABD hükümetine ve iletişim kuruluşuna yönelik saldırılarla bağlantılı bir Nesnelerin İnterneti (IoT) botnet’i keşfettiler.
“KV-Botnet” ortaya çıktı Lumen’in Black Lotus Laboratuvarlarından rapor, en az dört farklı satıcı tarafından geliştirilen küçük ofis ev-ofis (SOHO) ağ cihazlarına bulaşmak üzere tasarlanmıştır. Bir dizi gizlilik mekanizması ve yerel alan ağlarına (LAN’lar) daha fazla yayılma yeteneği ile birlikte gelir.
Dikkate değer abonelerden biri, ABD’nin kritik altyapısına yönelik saldırılarıyla tanınan, manşetlere çıkan Çin devleti odaklı tehdit aktörü Volt Typhoon gelişmiş kalıcı tehdittir (diğer adıyla Bronze Silhouette). Platformun dahil olduğu görülüyor daha önce bildirilen Volt Typhoon kampanyaları iki telekomünikasyon firmasına, bir İnternet servis sağlayıcısına (ISP) ve Guam merkezli bir ABD hükümet kuruluşuna karşı. Ancak Volt Typhoon’un altyapısının yalnızca bir kısmını temsil ediyor ve onu kullanan başka tehdit aktörlerinin de olduğu neredeyse kesin.
KV-Botnet’in İçinde
KV-Botnet, en azından Şubat 2022’den bu yana öncelikli olarak Cisco RV320, DrayTek Vigor ve Netgear ProSafe ürün grupları dahil olmak üzere SOHO yönlendiricilerine bulaştı. Kasım ortası itibarıyla Axis Communications tarafından geliştirilen IP kameralardan yararlanacak şekilde genişledi.
Çin’de bulunan IP adreslerinden yönetilen botnet genel olarak iki gruba ayrılabilir: yüksek değerli hedeflere yönelik manuel saldırıları içeren “KY” kümesi ve daha geniş hedefleme ve daha az karmaşık teknikleri içeren “JDY” kümesi.
Şu ana kadar çoğu KV-Botnet enfeksiyonu ikinci kümeye giriyor gibi görünüyor. Bununla birlikte botnet, aralarında bir yargı kurumu, bir uydu ağı sağlayıcısı ve ABD’den askeri kuruluşların yanı sıra Avrupa merkezli bir yenilenebilir enerji şirketi de bulunan, daha önce açıklanmayan bir dizi yüksek profilli kuruluşla karşılaştı.
Program belki de en çok gelişmiş, katmanlı gizliliğiyle dikkat çekiyor. Tamamen bellekte bulunur (gerçi diğer taraftan bu, onunla önyüklenebileceği anlamına gelir) basit bir cihaz yeniden başlatma). Virüs bulaşmış cihazda çalışan bir dizi işlemi ve güvenlik aracını kontrol eder ve sonlandırır, halihazırda cihazda bulunan rastgele bir dosya adı altında çalışır ve komut ve kontrol (C2) iletişimi için rastgele bağlantı noktaları oluşturur. tespit edilmekten kaçınmak için.
Ancak en iyi gizlilik avantajları, ilk etapta bulaştığı cihazların doğasında var.
SOHO Botnet’in Faydaları
Mayıs ayında gruptan ayrılırken, Microsoft araştırmacıları not etti Volt Typhoon’un tüm kötü amaçlı trafiğini SOHO ağ uç cihazları (güvenlik duvarları, yönlendiriciler, VPN donanımı) aracılığıyla nasıl proxy olarak kullandığını anlattı. Beyond Identity CEO’su Jasson Casey, bunun bir nedeninin, konut cihazlarının özellikle kötü amaçlı trafiği gizlemek için kullanışlı olması olabileceğini açıklıyor.
“Altyapı sağlayıcılarına (AT&T, Amazon AWS, Microsoft vb.) ve kuruluşlara tahsis edilen İnternet’in çoğu iyi biliniyor ve kayıtlı” diyor. “Bu göz önüne alındığında, trafiğin çoğunun bir altyapı veya işletme adresinden değil, bir ikamet adresinden kaynaklanması bekleniyor. Bu nedenle, birçok güvenlik aracı, trafiğin bir ikamet IP adresinden kaynaklanmaması durumunda şüpheli olarak işaretleyecektir.”
Bunun ötesinde şunu ekliyor: “Konut ekipmanı, genellikle güvenli bir şekilde yapılandırılmadığı için çalıştırılması nispeten risksiz bir varlıktır (örn. varsayılan şifreyi değiştirmemek) veya düzenli olarak güncellenir, bu da uzlaşmayı kolaylaştırır. Ayrıca, ev yöneticileri neredeyse hiçbir zaman ekipmanlarını izlemiyor, hatta uzlaşmanın nasıl bir şey olduğunu bile anlayamıyor.”
Tipik iş yükleriyle karşılaştırıldığında SOHO ekipmanlarının nispeten yüksek bant genişliği, kötü niyetli bir botnet’in bile ortalama bir kullanıcı tarafından gözlemlenebilecek kadar az etki yarattığı anlamına gelir. Lumen araştırmacıları, her gün hala savunmasız durumda çalışan kullanım ömrü dolmuş cihazların yüksek oranı ve bu tür cihazların saldırganların coğrafi sınırlama kısıtlamalarını atlamasına nasıl izin verdiği gibi bir dizi başka faydaya da dikkat çekti.
KV-Botnet ikili dosyasındaki hiçbir işlev, hedeflerin daha geniş yerel alan ağlarında (LAN’lar) daha fazla enfeksiyona neden olacak şekilde tasarlanmamıştır. Ancak araştırmacılar, botnet’in, saldırganların virüslü cihazlara ters kabuk yerleştirmesine, keyfi komutların ve kod yürütmenin yolunu açmasına veya LAN’a saldırmak için daha fazla kötü amaçlı yazılım almasına olanak tanıdığını belirtti.
Casey, “Bu cihazların tehlikeye atılmasının daha kolay, filtrelenmesinin daha zor olduğu ve izlenme veya soruşturulma olasılığının daha düşük olduğu göz önüne alındığında, bir tehdit aktörü olarak çalışılabilecek temel varlıkları temsil ediyorlar” diye bitiriyor.