Çok çeşitli yönlendiriciler yeni, alışılmadık derecede karmaşık kötü amaçlı yazılımların saldırısı altındadır


Çok çeşitli yönlendiriciler yeni, alışılmadık derecede karmaşık kötü amaçlı yazılımların saldırısı altındadır

Getty Resimleri

Araştırmacıların Salı günü bildirdiğine göre, alışılmadık derecede gelişmiş bir bilgisayar korsanlığı grubu, Kuzey Amerika ve Avrupa’daki çok çeşitli yönlendiricilere Windows, macOS ve Linux çalıştıran bağlı cihazların tam kontrolünü ele geçiren kötü amaçlı yazılım bulaştırmak için neredeyse iki yıl harcadı.

Şimdiye kadar, Lumen Technologies’in Black Lotus Labs araştırmacıları, Cisco, Netgear, Asus ve DayTek tarafından üretilen yönlendiricilere bulaşan gizli kötü amaçlı yazılımdan etkilenen en az 80 hedef belirlediklerini söylüyorlar. ZuoRAT olarak adlandırılan uzaktan erişim Truva Atı, 2020’nin en az dördüncü çeyreğinden beri var olan ve çalışmaya devam eden daha geniş bir bilgisayar korsanlığı kampanyasının parçası.

Yüksek düzeyde gelişmişlik

MIPS mimarisi için yazılmış ve küçük ofis ve ev ofis yönlendiricileri için derlenmiş özel olarak oluşturulmuş kötü amaçlı yazılımların keşfi, özellikle çeşitli yetenekleri göz önüne alındığında önemlidir. Virüs bulaşmış bir yönlendiriciye bağlı tüm cihazları numaralandırma ve gönderdikleri ve aldıkları DNS aramalarını ve ağ trafiğini toplama ve algılanmadan kalma yeteneği, son derece karmaşık bir tehdit aktörünün ayırt edici özelliğidir.

Black Lotus Labs araştırmacıları, “SOHO yönlendiricilerinden, bitişik bir LAN’a erişim elde etmek için bir erişim vektörü olarak ödün vermek yeni bir teknik olmasa da, nadiren rapor edilmiştir.” yazdı. “Benzer şekilde, DNS ve HTTP ele geçirme gibi ortadaki kişi tarzı saldırıların raporları daha da nadirdir ve karmaşık ve hedefli bir operasyonun işaretidir. Bu iki tekniğin kullanımı uyumlu bir şekilde yüksek düzeyde bir karmaşıklık göstermiştir. Tehdit aktörü, bu kampanyanın muhtemelen devlet destekli bir kuruluş tarafından gerçekleştirildiğini belirtiyor.”

Kampanya, üçü tehdit aktörü tarafından sıfırdan yazılan en az dört kötü amaçlı yazılımdan oluşuyor. İlk parça, bazı İnternet hizmetlerini günlerce sakat bırakan rekor kıran dağıtılmış hizmet reddi saldırıları gerçekleştiren Mirai Nesnelerin İnterneti kötü amaçlı yazılımına çok benzeyen MIPS tabanlı ZuoRAT’tır. ZuoRAT, genellikle SOHO cihazlarındaki yama uygulanmamış güvenlik açıklarından yararlanarak kurulur.

Yüklendikten sonra ZuoRAT, virüslü yönlendiriciye bağlı cihazları sıralar. Tehdit aktörü daha sonra kullanabilir DNS kaçırma ve bağlı cihazların diğer kötü amaçlı yazılımları yüklemesine neden olmak için HTTP ele geçirme. CBeacon ve GoBeacon olarak adlandırılan bu kötü amaçlı yazılım parçalarından ikisi, ilki Windows için C++’da, ikincisi Linux ve macOS aygıtlarında çapraz derleme için Go’da yazılmış olmak üzere özel yapımdır. Esneklik için ZuoRAT, yaygın olarak kullanılan Cobalt Strike hack aracıyla bağlı cihazlara da bulaşabilir.

Siyah Lotus Laboratuvarları

ZuoRAT, iki yöntemden birini kullanarak enfeksiyonları bağlı cihazlara yönlendirebilir:

  • Google veya Facebook gibi bir etki alanına karşılık gelen geçerli IP adreslerini saldırgan tarafından işletilen kötü niyetli bir adresle değiştiren DNS ele geçirme.
  • Kullanıcıyı farklı bir IP adresine yönlendiren bir 302 hatası oluşturmak için kötü amaçlı yazılımın kendisini bağlantıya eklediği HTTP ele geçirme.

kasıtlı olarak karmaşık

Black Lotus Labs, kampanyada kullanılan komuta ve kontrol altyapısının, olanları gizlemek amacıyla kasıtlı olarak karmaşık olduğunu söyledi. Bir altyapı seti, virüslü yönlendiricileri kontrol etmek için kullanılır ve bir diğeri, daha sonra virüs bulaşırsa bağlı cihazlar için ayrılır.

Araştırmacılar, hedeflerin ilgi çekici olup olmadığını belirlemek için bir ilk anket yaptığına inandıkları bir kontrol sunucusuna kalıcı bir bağlantısı olan 23 IP adresinden yönlendiricileri gözlemlediler. Bu 23 yönlendiricinin bir alt kümesi daha sonra üç ay boyunca Tayvan merkezli bir proxy sunucusuyla etkileşime girdi. Yönlendiricilerin başka bir alt kümesi, saldırganın altyapısını şaşırtmak için Kanada merkezli bir proxy sunucusuna döndürüldü.

Bu grafik, ilgili olarak listelenen adımları göstermektedir.

Tehdit aktörleri ayrıca bir kontrol sunucusunun açılış sayfasını şöyle görünecek şekilde gizledi:

Siyah Lotus Laboratuvarları

Araştırmacılar şunları yazdı:

Black Lotus Labs görünürlüğü, ZuoRAT’ı gösterir ve ilişkili etkinlik, muhtemelen kötü amaçlı yazılım bulaşmasının birden fazla aşamasıyla uyumlu, karmaşık, çok aşamalı C2 altyapısı aracılığıyla tipik internet trafiğine karışan ABD ve Batı Avrupa kuruluşlarına karşı oldukça hedefli bir kampanyayı temsil eder. Aktörlerin C2 altyapısını gizlemek için ne kadar uğraştığı göz ardı edilemez. İlk olarak, şüpheden kaçınmak için, zararsız içeriği barındıran özel bir sanal özel sunucudan (VPS) ilk istismarı devrettiler. Daha sonra, algılamayı daha da önlemek için yönlendiriciler arası iletişim yoluyla düz görüşte saklanan proxy C2’ler olarak yönlendiricilerden yararlandılar. Son olarak, algılanmayı önlemek için proxy yönlendiricilerini periyodik olarak döndürdüler.

Devam eden bu kampanyanın keşfi, 2018’de keşfedilen Rus hükümeti tarafından yaratılan ve dağıtılan yönlendirici kötü amaçlı yazılımı VPNFilter’dan bu yana SOHO yönlendiricilerini etkileyen en önemli şeydir. Yönlendiriciler, özellikle evden çalışma çağında genellikle göz ardı edilir. Kuruluşların genellikle hangi cihazların bağlanmasına izin verildiği konusunda katı gereksinimleri olsa da, cihazların yönlendiricileri için çok az sayıda zorunlu yama veya diğer güvenlik önlemleri vardır.

Çoğu yönlendirici kötü amaçlı yazılım gibi, ZuoRAT yeniden başlatmadan sağ çıkamaz. Virüs bulaşmış bir cihazı yeniden başlatmak, geçici bir dizinde depolanan dosyalardan oluşan ilk ZuoRAT istismarını kaldıracaktır. Ancak tamamen kurtarmak için, virüslü cihazların fabrika ayarlarına sıfırlanması gerekir. Ne yazık ki, bağlı cihazlara diğer kötü amaçlı yazılımların bulaşması durumunda, bu cihazlar o kadar kolay dezenfekte edilemez.



Kaynak : https://arstechnica.com/?p=1863305

Yorum yapın