IPv6 ve AitM Saldırıları Nedir?
Saldırıları gerçekleştiren "TheWizards" kimdir?
Spellbinder aracı nasıl çalışır?
SLAAC nedir ve nasıl kullanılır?
Yapılan saldırıların hedefleri kimlerdir?
Bu tür saldırılara karşı nasıl önlem alabiliriz?
Saldırıları gerçekleştiren "TheWizards" kimdir?
"TheWizards" adındaki APT (Advanced Persistent Threat) grubu, Çin ile ilişkili bir tehdit aktörüdür. ESET’e göre bu grup en az 2022 yılından beri aktif olarak çalışmaktadır. Hedefleri arasında Filipinler, Kamboçya, Birleşik Arap Emirlikleri, Çin ve Hong Kong bulunmaktadır. Bu grubun kurbanları arasında bireyler, kumar şirketleri ve diğer organizasyonlar yer almaktadır.
Spellbinder aracı nasıl çalışır?
ESET tarafından "Spellbinder" olarak adlandırılan araç, IPv6 Stateless Address Autoconfiguration (SLAAC) özelliğini kötüye kullanarak adversary-in-the-middle (AitM) saldırıları gerçekleştirmektedir. Spellbinder, şüpheli RA (Router Advertisement) mesajları göndererek ağdaki cihazların kendiliğinden yeni IPv6 adresleri edinmesine yol açar. Bu durumda, cihazlar kötü niyetli bir IP adresini varsayılan geçit olarak alır. Bu durum, saldırganların iletişimleri ele geçirmesine ve trafiği kendi kontrolündeki sunuculara yönlendirmesine olanak tanır.
SLAAC nedir ve nasıl kullanılır?
SLAAC, IPv6 ağ protokolünün bir özelliğidir ve cihazların DHCP sunucusuna ihtiyaç duymadan otomatik olarak kendi IP adreslerini ve varsayılan geçitlerini yapılandırmalarına olanak tanır. Cihazlar, IPv6 uyumlu yönlendiricilerden IP adreslerini almak için RA mesajlarını kullanmaktadır. Bu nedenle, SLAAC özelliğini kullanarak, bir saldırganın ağda sözde bir "geçit" tanımlaması mümkündür.
Spellbinder, her 200 milisaniyede bir multicast RA paketi göndererek, IPv6 etkin Windows makinelerinin kendilerini yeniden yapılandırmasını sağlar. Bu yeniden yapılandırma, sistemlerin trafiğini saldırganın kontrolündeki makineye yönlendirir.
Yapılan saldırıların hedefleri kimlerdir?
ESET’in raporuna göre, Spellbinder aracı belirli yazılım güncelleme sunucalarına bağlanmayı amaçlayan ağ trafiğini izler. Hedefteki firmalar arasında Tencent, Baidu, Xunlei, Youku, iQIYI, Kingsoft gibi büyük yazılım şirketleri bulunmaktadır. Bu saldırılar sonucunda, hedeflenen alan adlarına yönlendirme yapılarak, kötü niyetli güncellemelerin indirilmesi sağlanmakta ve böylece "WizardNet" adındaki arka kapı malware’i kurulum yapılmaktadır.
Bu tür saldırılara karşı nasıl önlem alabiliriz?
Bu tür saldırılara karşı etkili önlemler almak oldukça önemlidir. Önerilen başlıca önlemler şunlardır:
IPv6 Trafiğini İzleme: Kurumlar, ağlarında IPv6 trafiğini izlemeli ve şüpheli aktiviteleri tespit etmelidir.
IPv6 Protokolünü Kapatma: Eğer ortamda IPv6 kullanımı gerekmiyorsa, bu protokol kapatılmalıdır. Bu sayede, SLAAC özelliğinden kaynaklanan saldırılar önlenebilir.
Güncellemeleri Kontrol Etme: Yazılım güncellemelerinin kaynağını daima kontrol edin. Şüpheli güncellemelerden kaçınmak, muhtemel saldırıları önlemeye yardımcı olacaktır.
- Güvenlik Yazılımları Kullanma: İyi bir antivirüs ve güvenlik yazılımı kullanarak cihazları sürekli olarak güncel tutmak, zararlı yazılımlara karşı koruma sağlayabilir.
Bu tür saldırılar, kurumsal güvenlik tehditleri arasında önemli bir yer tutmaktadır. Özellikle yazılım güncellemelerine yönelik kötü niyetli faaliyetler, kullanıcıların bilgilerini tehlikeye sokmada etkili olabiliyor. Bu nedenle, etkili önlemler alarak ve güvenlik bilinci oluşturarak, bu tür tehditlere karşı koymak büyük önem taşımaktadır.
