Cumartesi, Aralık 14, 2024
Ana SayfaTeknoloji HaberleriKötü amaçlı yazılım, ev yönlendiricilerini Çin devlet destekli bilgisayar korsanları için proxy'lere...

Kötü amaçlı yazılım, ev yönlendiricilerini Çin devlet destekli bilgisayar korsanları için proxy’lere dönüştürüyor

Birler ve sıfırlardan oluşan stilize bir kafatası ve çapraz kemikler.

Salı günü araştırmacılar büyük bir keşfi açıkladılar: çok çeşitli konut ve küçük ofis yönlendiricilerini, trafiği Çin devleti destekli bilgisayar korsanları tarafından yönetilen komuta ve kontrol sunucularına gizlice aktaran bir ağa sıkıştırabilen kötü amaçlı ürün yazılımı.

Check Point Research’ün bir yazısında ortaya çıkan bir ürün yazılımı implantı, saldırganların virüs bulaşmış cihazlarla iletişim kurmasına ve dosya aktarımlarına, uzaktan komutlar vermesine ve dosyaları yüklemesine, indirmesine ve silmesine olanak tanıyan tam özellikli bir arka kapı içerir. İmplant, TP-Link yönlendiricileri için ürün yazılımı görüntüleri biçiminde geldi. Bununla birlikte, iyi yazılmış C++ kodu, işlevselliğini “firmware-agnostik” bir şekilde uygulamak için çok uğraştı, yani onu diğer yönlendirici modellerinde çalışacak şekilde değiştirmek önemsiz olurdu.

Amaçlar değil, sadece araçlar

Kötü amaçlı yazılımın ana amacı, iletişimin kaynaklarını ve hedeflerini gizleyecek şekilde, virüslü bir hedef ile saldırganların komuta ve kontrol sunucuları arasındaki trafiği aktarmaktır. Check Point Research, daha fazla analizle, kontrol altyapısının, hem Avast hem de ESET güvenlik şirketlerinin Çin hükümeti adına çalıştığını söylediği gelişmiş bir kalıcı tehdit aktörü olan Mustang Panda’ya bağlı bilgisayar korsanları tarafından işletildiğini keşfetti.

Check Point araştırmacıları daha kısa bir yazıda, “Geçmişten öğrenerek, yönlendirici implantları, ana enfeksiyonlar ile gerçek komuta ve kontrol arasında bir düğüm zinciri oluşturmak amacıyla genellikle özel bir ilgi olmaksızın keyfi cihazlara kurulur” diye yazdı. “Başka bir deyişle, bir ev yönlendiricisine virüs bulaştırmak, ev sahibinin özel olarak hedeflendiği anlamına gelmez, bunun yerine yalnızca bir amaca ulaşmak için bir araç oldukları anlamına gelir.”

Araştırmacılar, implantı Avrupa dışişleri kuruluşlarına yönelik bir dizi hedefli saldırıyı araştırırken keşfettiler. Ana bileşen, dahili adı Horse Shell olan bir arka kapıdır. Horse Shell’in üç ana işlevi şunlardır:

  • Etkilenen cihazda komutları yürütmek için uzak bir kabuk
  • Virüslü cihaza ve cihazdan dosya yüklemek ve indirmek için dosya aktarımı
  • TCP bağlantılarını isteğe bağlı bir IP adresine proxy yapmak için bir protokol olan ve UDP paketlerinin iletilmesi için bir araç sağlayan SOCKS5 kullanılarak iki cihaz arasında veri alışverişi.

SOCKS5 işlevselliği, implantın nihai amacı gibi görünüyor. Yalnızca en yakın iki düğümle (her yönde bir tane) şifreli bağlantılar kuran virüslü cihazlardan oluşan bir zincir oluşturarak, bunlardan birine rastlayan birinin bulaşmanın kaynağını veya nihai hedefini veya gerçek amacını öğrenmesi zordur. Check Point araştırmacılarının yazdığı gibi:

İmplant, iki düğüm arasındaki iletişimi aktarabilir. Bunu yaparak, saldırganlar trafiği komuta ve kontrol sunucusuna aktaracak bir düğüm zinciri oluşturabilir. Bunu yaparak, zincirdeki her düğüm yalnızca önceki ve sonraki düğümler hakkında bilgiye sahip olduğundan ve her düğüm virüslü bir cihaz olduğundan, saldırganlar son komut ve kontrolü gizleyebilir. Son komut ve kontrolün kimliğini yalnızca bir avuç düğüm bilecek.

Tehdit aktörleri, iletişimi tünellemek için birden fazla düğüm katmanı kullanarak trafiğin kaynağını ve hedefini belirsizleştirebilir ve savunucuların trafiği C2’ye kadar izlemesini zorlaştırabilir. Bu, savunucuların saldırıyı tespit etmesini ve karşılık vermesini zorlaştırır.

Ek olarak, bir virüs bulaşmış düğüm zinciri, savunucuların saldırgan ile C2 arasındaki iletişimi kesmesini zorlaştırır. Zincirdeki bir düğümün güvenliği ihlal edilirse veya devre dışı bırakılırsa, saldırgan trafiği zincirdeki farklı bir düğüm üzerinden yönlendirerek C2 ile iletişimi sürdürebilir.

RELATED ARTICLES

Popüler Konular