Siber güvenlik araştırmacıları, varsayılan şifre saldırıları yoluyla VoIP özellikli yönlendiricileri kullanan sofistike bir Botnet operasyonunu ortaya çıkardılar ve ilk etkinlik, yaklaşık 500 cihazdan ödün vermek için küresel olarak genişlemeden önce New Mexico kırsalında yoğunlaştı.
Keşif, Geynoise istihbarat mühendisleri, 3.000’den fazla sakini olan New Mexico’nun seyrek nüfuslu bir bölgesinden kaynaklanan alışılmadık bir kötü amaçlı IP adresi kümesini fark ettiğinde başladı.
Soruşturma üzerine araştırmacılar, kabaca 90 IP adresinin Laguna Hizmet Kurumu Pueblo’suna bağlı olduğunu ve telnet tabanlı saldırılar yoluyla koordineli botnet davranışı sergilediğini buldular.
Koordineli saldırı modeli ortaya çıkıyor
Uzaklaştırılmış sistemler, telnet kaba zorlama yetenekleri, jenerik IoT varsayılan şifre denemeleri ve Mirai botnet varyantlarıyla tutarlı davranışlar dahil olmak üzere çok sayıda özellik gösterdi.
Analiz, bu bölgeden gelen kötü niyetli trafiğin% 100’ünün telnet tabanlı olduğunu ve saldırganların sistematik olarak zayıf kimlik doğrulama protokollerine sahip cihazları hedeflediğini gösterdi.
Yapay zeka destekli analiz araçları ve paket yakalama verileri kullanan araştırmacılar, etkilenen sistemlerin çoğunun VOIP özellikli cihazlar olduğunu belirlediler ve kambium ağlarından gelen donanıma işaret eden kanıtlar etkinliğin bölümlerine dahil oldu.
Araştırma, tehlikeye atılan altyapıdan gelen trafiğin% 90’ını etkileyen benzersiz bir ağ imzasını ortaya çıkardı ve bu da Botnet boyunca benzer donanım konfigürasyonlarını gösterdi.
New Mexico Cluster keşfinin ardından, araştırmacılar dünya çapında araştırmalarını genişleterek benzer saldırı modelleri sergileyen yaklaşık 500 IP adresi belirledi.
Bu sistemler, zayıf kimlik bilgileri, agresif tarama davranışı ve bilinen Mirai botnet operasyonlarıyla uyumlu özellikler kullanarak yüksek hacimli telnet giriş girişimleri gösterdi.
VoIP cihazları, çeşitli faktörler nedeniyle siber suçlular için cazip hedefler sunar: sıklıkla modası geçmiş Linux tabanlı ürün yazılımı üzerinde çalışırlar, genellikle varsayılan olarak açıklanmış telnet hizmetlerine sahiptirler ve genellikle minimum güvenlik izleme veya yama yönetimi alırlar.
Bazı Cambium yönlendirici modelleri hala 2017’de açıklanan bir uzaktan kod yürütme kusuruna karşı savunmasız ürün yazılımı sürümlerini çalıştırıyor olabilir.
Alışılmadık bir gelişmede, New Mexico hizmetinden gelen kötü niyetli etkinlik, bir Geynoise ekip üyesi sosyal medyadaki soruşturmadan kısaca bahsettikten kısa bir süre sonra tamamen sona erdi.
İster tesadüfi ister saldırganların güvenlik araştırma tartışmalarını izlediğini gösteren, trafik durması hemen ve tamamlandı.
Bununla birlikte, küresel Botnet etkinliği kısa bir süre sonra yeniden başladı ve operasyonun kapanmak yerine sadece taktikleri kaydırdığını gösteriyor.
Güvenlik uzmanları, bu Botnet kampanyasından potansiyel olarak etkilenen kuruluşlar için birkaç acil eylem önermektedir.
Ağ yöneticileri, VOIP özellikli sistemlerde telnet maruziyetini denetlemeli, kenar cihazlarında varsayılan kimlik bilgilerini döndürmeli veya devre dışı bırakmalı ve olağandışı giden trafik modelleri için izleme uygulamalıdır.
Olay, internet bağlantılı cihazlarda devam eden güvenlik açıklarını vurgulamakta ve küçük kamu hizmetlerinin ve internet servis sağlayıcılarının bilmeden küresel siber suçlu operasyonlara nasıl altyapıya katkıda bulunabileceğini göstermektedir.
Kuruluşlar, benzer uzlaşmaları önlemek için ürün yazılımı güncellemelerine öncelik vermeli ve VoIP ekipmanındaki gereksiz hizmetleri devre dışı bırakmalıdır.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now