Matrix adlı bir tehdit aktörü, Nesnelerin İnterneti (IoT) cihazlarındaki güvenlik açıklarından ve yanlış yapılandırmalardan yararlanarak onları yıkıcı bir botnet’e dahil eden yaygın bir dağıtılmış hizmet reddi (DoD) kampanyasıyla ilişkilendirildi.
Bulut güvenliği tehdit istihbaratı direktörü Assaf Morag, “Bu operasyon, tarama, güvenlik açıklarından yararlanma, kötü amaçlı yazılım dağıtma ve mağaza kitleri oluşturma için kapsamlı bir tek durak noktası olarak hizmet ediyor ve siber saldırılara karşı her şeyi kendin yap yaklaşımını sergiliyor.” firma Aqua, söz konusu.
Operasyonun Rus kökenli bir senaryo çocuğu olan yalnız kurt bir aktörün işi olduğuna dair kanıtlar var. Saldırılar öncelikle Çin, Japonya ve daha az ölçüde Arjantin, Avustralya, Brezilya, Mısır, Hindistan ve ABD’de bulunan IP adreslerini hedef aldı.
Bulut güvenlik firması, mağduriyet ayak izinde Ukrayna’nın bulunmamasının, saldırganların tamamen finansal motivasyonlarla hareket ettiğini gösterdiğini söyledi.
Saldırı zincirleri, IP kameralar, DVR’ler, yönlendiriciler ve telekom ekipmanları gibi geniş bir yelpazedeki internete bağlı cihazlara erişim elde etmek için varsayılan veya zayıf kimlik bilgilerinin yanı sıra bilinen güvenlik kusurlarının kullanılmasıyla karakterize edilir.
Tehdit aktörünün ayrıca Amazon Web Services (AWS), Microsoft Azure ve Google Cloud gibi bulut hizmet sağlayıcılarıyla (CSP’ler) ilişkili IP adresi aralıklarını hedeflemeye odaklanarak yanlış yapılandırılmış Telnet, SSH ve Hadoop sunucularından yararlandığı da gözlemlendi.
Kötü amaçlı etkinlik ayrıca GitHub’da bulunan çok çeşitli kamuya açık komut dosyalarına ve araçlara dayanıyor ve sonuçta Mirai botnet kötü amaçlı yazılımını ve DDoS ile ilgili diğer programları güvenliği ihlal edilmiş cihazlara ve sunuculara dağıtıyor.
Bu şunları içerir: PYbot, pynet, DiscordGo, Homo AğıHTTP/HTTPS sel saldırısı uygulayan bir JavaScript programı ve Windows makinelerinde Microsoft Defender Virüsten Koruma uygulamasını devre dışı bırakabilen bir araç.
Matrix’in ayrıca kampanyada kullanılan bazı DDoS yapıtlarını sahnelemek için Kasım 2023’te açtıkları kendi GitHub hesabını kullandığı da ortaya çıktı.
Ayrıca tüm teklifin, müşterilerin saldırıları gerçekleştirmek için kripto para birimi ödemesi karşılığında farklı katmanlar arasından seçim yapmasına olanak tanıyan “Kraken Autobuy” adlı bir Telegram botu aracılığıyla bir kiralık DDoS hizmeti olarak tanıtıldığına inanılıyor.
Morag, “Bu kampanya, çok karmaşık olmasa da, erişilebilir araçların ve temel teknik bilginin, bireylerin ağa bağlı cihazlardaki çok sayıda güvenlik açığına ve yanlış yapılandırmaya karşı geniş, çok yönlü bir saldırı yürütmesine nasıl olanak sağladığını gösteriyor” dedi.
“Bu yöntemlerin basitliği, bunun gibi geniş, fırsatçı saldırılara karşı koruma sağlamak için varsayılan kimlik bilgilerinin değiştirilmesi, yönetim protokollerinin güvenliğinin sağlanması ve ürün yazılımı güncellemelerinin zamanında uygulanması gibi temel güvenlik uygulamalarının ele alınmasının önemini vurgulamaktadır.”
Açıklama, NSFOCUS’un, “Next” adlı kaçamak bir botnet ailesine ışık tutmasıyla geldi. XorBot Kasım 2023’ten bu yana öncelikli olarak NETGEAR, TP-Link ve D-Link’in Intelbras kameralarını ve yönlendiricilerini hedef alıyor.
Siber güvenlik şirketi, “Bu botnet tarafından kontrol edilen cihazların sayısı arttıkça, arkasındaki operatörler de DDoS saldırısı kiralama hizmetlerinin açıkça reklamını yaparak karlı operasyonlara aktif olarak katılmaya başladı.” söz konusubotnet’in Masjesu adı altında tanıtılmasının eklenmesi.
“Aynı zamanda, gereksiz kod eklemek ve örnek imzaları gizlemek gibi gelişmiş teknik araçları benimseyerek, dosya düzeyinde savunma yeteneklerini geliştirerek saldırı davranışlarının izlenmesini ve tanımlanmasını daha zor hale getirdiler.”
