Bir siber suç grubu güvenlik açıklarından yararlanıyor Nesnelerin İnterneti (IoT) cihazları ve ardından bunları, devlet destekli ileri kalıcı tehditler (APT’ler) ve diğer kötü niyetli aktörler tarafından proxy botnet’lere dönüştürülebilecekleri bir konut proxy pazarında satışa sunarak düzenli bir kar elde etmek.
“Water Barghest” olarak takip edilen çete, halihazırda 20.000’den fazla IoT cihazını ele geçirdi. İşletmeler tarafından kullanılan küçük ofis ve ev ofisi (SOHO) yönlendiricilerisavunmasız cihazları tespit etmek ve tehlikeye atmak için otomatik komut dosyaları kullanarak, yeni araştırma Trend Micro’dan. Araştırmacılar, beş yıldan fazla süredir faaliyet gösteren (sofistike otomasyon stratejisi nedeniyle büyük ölçüde radar altında) faaliyet gösteren tehdit aktörünün, Shodan gibi halka açık İnternet tarama veritabanlarındaki savunmasız IoT cihazlarını keşfettiğini belirtti.
Water Barghest cihazların güvenliğini ihlal ettiğinde, cihazı bir proxy (yani istemci ile sunucu arasına aracı koyan bir ağ) olarak kaydetmek için Ngioweb adı verilen özel kötü amaçlı yazılım dağıtır. Water Barghest daha sonra cihazı diğer tehdit aktörlerinin satın alması için konut vekil pazarında satışa sunuyor.
Trend Micro araştırmacıları Feike Hacquebord ve Fernando Mercês, gönderide bir hedefi köleleştirmeye yönelik tüm siber suçlu sürecinin 10 dakika kadar kısa sürdüğünü ve bunun “son derece verimli ve otomatikleştirilmiş bir operasyona işaret ettiğini” yazdı.
Siber Suç İş Modeli Olarak Proxy Cihazlarının Satışı
Hem casusluk motivasyonlu hem de finansal motivasyona sahip aktörler için, kötü niyetli faaliyetlerinin nereden kaynaklandığını gizlemeye yardımcı olacak proxy botnet’ler kurma konusunda gerçekten de önemli bir teşvik var; Rusya’nın Kum kurduörneğin yakın zamanda şunu kullandık: VPNFiltre botnet’i Ve Tepegöz Yanıp Sönüyor aktivitelerde Ukrayna’ya karşı Trend Micro’ya göre bunlar FBI tarafından kesintiye uğratılmadan önce bir süreliğine anlaşılması zordu.
“Bunlar [botnets] Araştırmacılar, web sitelerinin içeriklerini sıyırmak, çalınan veya tehlikeye atılan çevrimiçi varlıklara erişmek ve siber saldırıları başlatmak için makul bir şekilde coğrafi olarak konumlandırılmış IP adresleri sağlayabilen bir anonimleştirme katmanı olarak hizmet edebilir” diye yazdı.
Tehdit aktörlerinin, halka açık tarama hizmetlerini kullanarak açık İnternet üzerinden gelen bağlantıları kabul eden herhangi bir IoT cihazını bulabileceğini, bunun da gelecekte kötü amaçlı faaliyetlerde kullanılmak üzere bilinen güvenlik açıklarına ve hatta sıfır günlere sahip olanları tehlikeye atmayı kolaylaştıracağını yazdılar. Bunun, Water Barghest gibi tehdit aktörlerinin finansal kazanç ve daha fazla suiistimal için onları sömürmesini kolaylaştırdığını da eklediler.
Ele Geçirilmesi Zor Satılık Botnet Siber Operasyonunu Ortaya Çıkarmak
Trend Micro, Water Barghest’in operasyonunu Adalet Bakanlığı’nın internet kesintilerini soruşturması sırasında ortaya çıkardı. Rus askeri istihbarat botneti Rus devleti destekli tehdit grubu Fantezi Ayı (aka APT28) küresel siber casusluk için kullanılır.
Araştırmacılar Sandworm tarafından kullanılan EdgeRouter cihazlarını incelediler ve sonunda Water Barghest’in Ngioweb kötü amaçlı yazılımını ve botnet’ini ortaya çıkardılar. Araştırmacılar, grubun altyapısının beş yıldan fazla bir süredir çalışır durumda olduğunu ancak “dikkatli operasyonel güvenlikleri ve yüksek düzeyde otomasyonları nedeniyle” güvenlik araştırmacıları ve kolluk kuvvetleri tarafından tespit edilmekten kaçmayı başardığını yazdı.
“Günlük dosyalarını sunucularından sessizce sildiler ve adli analizleri daha da zorlaştırdılar” diye yazdılar. “Neredeyse her şeyi otomatikleştirerek operasyonlarında insan hatasını ortadan kaldırdılar. Ayrıca anonim ödemeler için kripto para birimini kullanarak finansal izlenebilirliği de ortadan kaldırdılar.”
Water Barghest, başlangıçta savunmasız Nesnelerin İnterneti cihazlarının bulunmasından, bunların konut proxy pazarında satışa sunulmasına kadar 10 dakikalık sürecin her adımını otomatikleştiriyor. Grup ilk önce cihazlardaki kusurlara ilişkin bilinen açıkları elde ediyor, ardından savunmasız cihazları ve bunların IP adreslerini bulmak için halka açık İnternet tarama veritabanlarından birinde arama sorguları kullanıyor. Daha sonra potansiyel olarak savunmasız IoT cihazlarına karşı açıkları denemek için bir dizi veri merkezi IP adresi kullanır.
Biri çalıştığında, güvenliği ihlal edilmiş IoT cihazları, farklı Linux mimarileri için derlenmiş Ngioweb kötü amaçlı yazılım örneklerini yineleyen bir komut dosyası indirir. Örneklerden biri başarılı bir şekilde çalıştığında, Ngioweb kurbanın IoT cihazının hafızasında çalışacak, onu bir komuta ve kontrol (C2) sunucusuna kaydedecek ve ardından onu bir Dark Web pazarında listelenmek üzere gönderecek.
Water Barghest’in, yönlendiricileri ve IoT cihazlarını bilinen güvenlik açıklarına karşı sürekli olarak tarayan ve aynı zamanda yeni ele geçirilen IoT cihazlarına Ngioweb kötü amaçlı yazılımını yükleyen sanal özel sunucularda yaklaşık 17 kimliği bulunuyor. Trend Micro analizine göre Water Barghest bu şekilde “işçi IP adreslerinin zaman içinde yavaş yavaş değişmesiyle yıllardır” kârlı bir iş yürütüyor.
SOHO Yönlendiricilerini Korumak: Herkese Açık İnternete Maruz Kalmayı Sınırlandırın
Trend Micro, hem APT’lerden hem de mali siber suç gruplarından gelen yüksek talep nedeniyle hem konut proxy hizmetlerine yönelik ticari pazarın hem de proxy yeraltı pazarının önümüzdeki yıllarda büyüyeceğini öngörüyor. Araştırmacılar, bu büyümenin, bu grupların arkasına saklandığı anonimleştirme katmanlarına karşı korunmak için “dünya çapındaki birçok işletme ve devlet kurumu için bir zorluk” oluşturacağını yazdı.
Kanuni yaptırım uygulanırken proxy botnet’lerini bozmada etkilisorunla mücadele etmek için doğrudan kaynağa gitmek daha iyidir ve bu, IoT cihazlarının güvenliği ele alınarak yapılabilir. Aslında bu cihazlar herkesin bildiği gibi hacklenebilirgiderek daha büyük ağları yönetmesi gereken kuruluşlar için sorun teşkil ediyor.
“Bu önemli [for organizations] …altyapılarının sorunun bir parçası olmasını önlemek için hafifletici önlemleri uygulamaya koymak” diye yazdı araştırmacılar. Bunu, bu cihazların iş dışı zamanlarda açık İnternet’ten gelen bağlantılara maruz kalmasını sınırlayarak yapabileceklerini eklediler. gerekli.