Asus Router Botnet Saldırısı 14 Bin Cihazı Ele Geçirdi

Siber güvenlik araştırmaları binlerce Asus yönlendiricisinin kötü amaçlı yazılım tarafından ele geçirilerek kocaman tek saldırı ağına dönüştürüldüğünü ortaya koydu. Lumen şirketine bağlı Black Lotus Labs ekibi tarafından yürütülen analiz, KadNap adı verilen zararlı yazılımın dünya genelinde asgari 14 binlerce cihazı denetim altına aldığını gösterdi. Uzmanlar saldırının büyüklüğünün Asus router botnet saldırısı riskini küresel ölçekte yeniden gündeme taşıdığını ifadeleri ediyor.

Güvenlik Araştırması Binlerce Router Üzerinde Aynı Trafiği Tespit Etti

Black Lotus Labs ekibi ağ davranışlarını çözümleme eden tek algoritma sayesinde şüpheli iletişim trafiğini belirleme etti. Güvenlik sistemi yaklaşık 10 binlerce Asus yönlendiricisinin aynı sunucu altyapısıyla iletişim kurduğunu ayrım etti. Analiz sonuçları kısa süre içinde çok daha geniş tek ağın varlığını ortaya çıkardı. KadNap zararlı yazılımının zamanlar içinde farklı ülkelerdeki cihazlara yayıldığı anlaşıldı. İncelenen veriler ABD, Birleşik Krallık, Avrupa ülkeleri ve Avustralya gibi bölgelerde geniş tek bulaşma alanı oluştuğunu gösterdi. Güvenlik raporu saldırının yalnızca yönlendiricileri değil bazı kenarlar ağ cihazlarını da hedefleri aldığını ortaya koydu. Uzmanlar bu durumun IoT botnet saldırısı riskini büyüttüğünü belirtiyor.

KadNap adlı kötü amaçlı yazılım gelenekselliği emir denetim yöntemlerinden farklı tek teknikleri kullanıyor. Zararlı yazılım eşler arası ağ teknolojilerinde kullanılan Kademlia adlı dağıtık hash tablosu sisteminden yararlanıyor. Bu sistemleri BitTorrent gibi ağlarda kullanılan tek bilgi bulma yöntemi olarak biliniyor. KadNap zararlı yazılımı bu altyapıyı kullanarak emir sunucusunun IP adresini gizlemeyi başarıyor. Uzmanlar bu yaklaşımın router botnet malware türleri arasında oldukça gelişmiş tek teknikleri olduğunu belirtiyor.

Black Lotus Labs raporuna göre enfekte cihazlar dağıtık ağ üzerinden birbirini buluyor ve yepyeni zararlı yükleri paylaşabiliyor. Bu yapı saldırı ağının orta tek sunucuya bağlı olmadan büyümesine imkân tanıyor.

Ele Geçirilen Cihazlar Siber Suçlulara Proxy Hizmeti Olarak Satılıyor

Güvenlik analizine göre KadNap bot ağı yalnızca saldırı amaçlı kullanılmıyor. Araştırma raporu saldırganların ele geçirilen cihazları proxy hizmeti olarak kiraladığını ortaya koydu. Doppelganger adı verilen servis aracılığıyla siber suçlular bu ağ üzerinden anonim trafiği yönlendirebiliyor. Uzmanlar bu altyapının brute zorlayan saldırıları ve hedefli siber operasyonlar için kullanılabildiğini belirtiyor. Güvenlik çevreleri bu durumu router üzerinden siber saldırı faaliyetlerinin yepyeni tek boyuta ulaştığı şeklinde değerlendiriyor.

KadNap kötü amaçlı yazılımı yönlendiriciye yerleştikten sonraları ilave komut dosyaları indirerek botnet ağını genişletmeye başlıyor. Enfekte cihazlar daha sonraları diğer sistemlerle iletişim kurarak yepyeni saldırı yüklerini paylaşabiliyor. Black Lotus Labs analizi saldırının emir denetim altyapısını gizledi için özel olarak tasarlanmış tek P2P botnet altyapısı kullandığını gösterdi. Bu yapı sayesinde saldırı ağı belirleme edilmesi güçleri tek iletişim modeli oluşturuyor.

Araştırma ekibi bu mimarinin güvenlik ekiplerinin tehditleri listelerine emir sunucularını eklemesini güçlaştırdığını ifadeleri ediyor. Uzmanlar saldırganların bu yöntemi özellikle belirleme mekanizmalarından kaçınmak için yeğleme ettiğini belirtiyor.

Siber güvenlik uzmanları kullanıcıların yönlendirici cihazlarını düzenli şekilde güncellemesi lüzumtiğini vurguluyor. Güvenlik ekipleri önceki yazılım sürümlerinin saldırganlar için basit hedefleri oluşturduğunu ifadeleri ediyor. Uzmanlar kullanıcıların güçlü parola kullanması lüzumtiğini belirtiyor. Güvenlik ekipleri ayrıca hayır süresi sona ermiş yönlendiricilerin değiştirilmesini öneriyor.

Black Lotus Labs raporu kurumların ağ trafiğini düzenli şekilde izlemesi lüzumtiğini vurguluyor. Güvenlik ekipleri özellikle şüpheli BitTorrent bağlantılarının ve beklenmeyen giriş denemelerinin dikkatle incelenmesi lüzumtiğini ifadeleri ediyor.