Kaspersky, IoT saldırılarını, bu saldırıların nasıl gerçekleştirildiğini ve nasıl önlenebileceğini keşfetmek için honeypot adı verilen, saldırganların dikkatini çekmek ve faaliyetlerini analiz etmek için kullanılan tuzak cihazlar kurdu. Kaspersky, kurduğu tuzak noktalarında CVE-2024-3721 güvenlik açığının bir botu konuşlandırmak için kullanıldığını tespit etti ve bunun bir Mirai botnet modifikasyonu olduğu ortaya çıktı. Botnet, saldırganın kontrolü altında koordineli kötü amaçlı faaliyetler gerçekleştirmek için kötü amaçlı yazılım bulaşmış cihazlardan oluşan ağlara verilen isim.

Bu kez saldırıların odağında dijital video kaydediciler (DVR) vardı. Bu cihazlar birçok sektörde güvenlik ve gözetimin ayrılmaz bir parçası olarak yer alıyor. DVR’lar kamu güvenliğini artırmak ve kritik altyapıyı güvence altına almak için evleri, perakende mağazalarını, ofisleri, depoları, fabrikaları, havaalanlarını, tren istasyonlarını ve eğitim kurumlarını izlemek için kameralardan gelen görüntüleri kaydetme işini üstleniyor. DVR cihazlarına yönelik saldırılar gizliliği tehlikeye atabilir. Ancak bunun ötesinde, saldırganların daha geniş ağlara sızması, kötü amaçlı yazılım yayması ve Mirai’de görüldüğü gibi DDoS saldırıları başlatmak için botnet oluşturması için giriş noktaları olarak hizmet edebilirler.

Keşfedilen DVR botu, güvenlik araştırmacıları tarafından kötü amaçlı yazılımları analiz etmek için yaygın olarak kullanılan sanal makine (VM) ortamlarını veya emülatörleri tespit etmek ve bunlardan kaçmak için mekanizmalar içeriyor. Bu teknikler botun tespit ve analizden kaçınmasına yardımcı olarak daha gizli çalışmasına ve virüslü cihazlarda aktif kalmasına olanak tanıyor.

Kaspersky GReAT Güvenlik Araştırmacısı Anderson Leite, şunları söylüyor: “Mirai botnetinin kaynak kodu yaklaşık on yıl önce internette paylaşıldı ve o zamandan bu yana, çoğunlukla DDoS ve kaynak ele geçirmeye odaklanan büyük ölçekli botnetler oluşturmak için çeşitli siber suç grupları tarafından uyarlanarak değiştirildi. Linux tabanlı sistemleri hedef alan kötü amaçlı yazılımların yaygın kullanımının yanı sıra, IoT cihazlarında ve sunucularında yama uygulanmamış bilinen güvenlik açıklarından yararlanmak, internette sürekli olarak bulaşacak cihaz arayan önemli sayıda botun ortaya çıkmasına neden olmaktadır. Halka açık kaynakları analiz ederek internette 50 binden fazla açık DVR cihazı tespit ettik. Bu da saldırganların yamalanmamış, savunmasız cihazları hedeflemek için çok sayıda fırsata sahip olduğunu gösteriyor.” 

IoT cihazlarının güvenlik riskini azaltmak için Kaspersky şunları öneriyor:

• Varsayılan kimlik bilgilerini değiştirin ve güçlü, benzersiz parolalar kullanın.
• Bilinen güvenlik açıklarını yamamak için DVR ürün yazılımını düzenli olarak güncelleyin.
• Gereksizse uzaktan erişimi devre dışı bırakın veya yönetim için güvenli VPN’ler kullanın.
• DVR’ları yalıtılmış ağlarda bölümlere ayırın.
• Potansiyel tehlikeleri tespit etmek için olağandışı ağ trafiğini izleyin.

Kaspersky, yeni bir Mirai botnet sürümü tarafından hedeflenen birden fazla IoT cihazı keşfetti yazısı ilk önce En Gazete üzerinde ortaya çıktı.

ESET araştırmacıları, Nesnelerin İnterneti (IoT) botnetlerinin en üretkenlerinden birinin ani çöküşünü gözlemledi: Mozi, 2019’dan bu yana yılda yüz binlerce cihazın kötüye kullanılmasından sorumlu. 

ESET Research yakın zamanda, her yıl yüz binlerce IoT cihazındaki güvenlik açıklarından faydalanmasıyla ünlü, Nesnelerin İnterneti (IoT) botnetlerinin en üretken olanlarından Mozi’nin ortadan kalktığını gözlemledi. Kullanıcı Datagram Protokolü (UDP), botnetin aktivitesinde Hindistan’da başlayan ve bir hafta sonra Çin’de de gözlemlenen beklenmedik bir düşüş gözlemledi. Değişikliğe, Mozi botlarının işlevselliğini ortadan kaldıran bir güncelleme neden oldu. Bu olaylardan birkaç hafta sonra ESET araştırmacıları Mozi’nin yok olmasına neden olan kill switch’i tespit edip analiz ettiler.

Mozi’nin ortadan kaldırılmasını analiz eden ESET araştırmacısı Ivan Bešina şunları söyledi, “En üretken IoT botnetlerinden birinin sona ermesi, siber adli bilimin büyüleyici bir örneği ve bize bu tür botnet’lerin nasıl oluşturulduğu, çalıştırıldığı ve ortadan kaldırıldığı konusunda ilgi çekici teknik bilgiler sağlıyor.”

27 Eylül 2023’te ESET araştırmacıları, tipik içeriğin eksik olduğu bir UDP mesajının içindeki kontrol yükünü (yapılandırma dosyası) fark etti. Bu dosyanın yeni fonksiyonu aslında Mozi’nin ortadan kaldırılmasından sorumlu olan kill switch görevini üstlenmekti. Kill switch, ana işlemi (orijinal Mozi kötü amaçlı yazılımı) durdurdu ve belirli sistem hizmetlerini devre dışı bıraktı. Orijinal Mozi dosyasını kendisiyle değiştirdi, belirli yönlendirici/cihaz yapılandırma komutlarını yürüttü ve çeşitli bağlantı noktalarına erişimi devre dışı bıraktı.İşlevsellikteki ciddi azalmaya rağmen Mozi botları kalıcılığını korudu, bu da kasıtlı ve hesaplı bir yayından kaldırma işlemine işaret ediyor. ESET’in kill switch analizi, botnet’in orijinal kaynak kodu ile yakın zamanda kullanılan ve doğru özel anahtarlarca imzalanan kontrol veri yükleri arasında güçlü bir bağlantı olduğunu gösterdi. 

Bešina sözlerine şöyle devam etti, “Bu operasyonun iki potansiyel nedeni var: Mozi’nin orijinal botnet yaratıcısı ya da belki de orijinal aktör ya da aktörleri işbirliğine dahil eden ya da zorlayan Çin kolluk kuvvetleri. Botların Hindistan’da ve ardından Çin’de sırayla hedeflenmesi, önce bir ülkenin ve bir hafta sonra diğerinin hedef alınmasıyla, yayından kaldırma işleminin kasıtlı olarak gerçekleştirildiğini gösteriyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Zombi botnet artık yok yazısı ilk önce En Gazete üzerinde ortaya çıktı.