Balkabağı Tutulması

 (blog.lumen.com)
1 puan yazan GN⁺ 2024-06-01 | 1 yorum | WhatsApp'ta paylaş

Black Lotus Labs raporunun özeti

Olayın özeti

  • Olayın gerçekleşmesi: 25 Ekim 2023'ten 27 Ekim'e kadar 72 saat boyunca, tek bir internet servis sağlayıcısına (ISP) ait 600 binden fazla küçük ofis/ev ofisi (SOHO) yönlendirici çevrimdışı kaldı.
  • Etkisi: Enfekte cihazlar kalıcı olarak çalışamaz hale geldi ve donanım değişimi gerekti.
  • Ana neden: "Chalubo" adlı bir uzaktan erişim truva atı (RAT) başlıca neden olarak belirlendi.

Chalubo truva atı

  • İlk tespit: İlk olarak 2018'de tespit edildi.
  • Özellikler:
    • Diskteki tüm dosyaları kaldırır ve bellekte çalışır.
    • Cihazda zaten mevcut olan rastgele süreç adlarını kullanır.
    • Komuta ve kontrol (C2) sunucusuyla tüm iletişimi şifreler.
  • Yetenekler: DDoS saldırıları gerçekleştirebilir, Lua betikleri çalıştırabilir.

Enfeksiyon süreci

  • İlk erişim: Zayıf kimlik bilgileri veya açığa çıkmış yönetim arayüzlerinin istismar edilmiş olma olasılığı yüksektir.
  • Enfeksiyon aşamaları:
    • Birinci aşama: İlk yük sunucusuna "get_scrpc" bash betiği üzerinden erişilir.
    • İkinci aşama: Ek betikler ve yükler indirilip çalıştırılır.
    • Başlıca dosyalar: /usr/bin/usb2rci, /tmp/.adiisu, /tmp/crrs vb.

Küresel enfeksiyon durumu

  • Etkinlik: Kasım 2023'ten 2024'ün başına kadar Chalubo kötü amaçlı yazılımı çok aktifti.
  • Enfekte IP adresleri: 30 Ekim 2023 itibarıyla 330 binden fazla benzersiz IP adresi enfekte oldu.

Sonuç

  • Dikkat çekici nokta: Bu saldırı belirli bir ASN ile sınırlıydı ve 600 binden fazla cihaz etkilendi.
  • Saldırının amacı: Kasıtlı bir firmware güncellemesiyle cihazları çalışamaz hale getirmekti.
  • Güvenlik önerileri:
    • SOHO yönlendiricilerini yöneten kuruluşlar: Varsayılan parolaları kullanmayın, yönetim arayüzü güvenliğini güçlendirin.
    • Genel kullanıcılar: Yönlendiriciyi düzenli olarak yeniden başlatın ve güvenlik güncellemelerini yükleyin.

GN⁺ görüşü

  • İlgi çekici nokta: Bu olayın tek bir ISP ile sınırlı kalması ve büyük ölçekli donanım değişimi gerektirmesi açısından oldukça sıra dışı.
  • Güvenliği güçlendirme ihtiyacı: SOHO yönlendiricileri ve IoT cihazlarının güvenliğinin acilen güçlendirilmesi gerekiyor.
  • Teknik ders: Kötü amaçlı yazılımın yalnızca bellekte çalışması ve iletişimi şifrelemesi gibi tespitten kaçınma teknikleri gelişiyor.
  • Alternatif çözümler: Benzer işlevler sunan başka güvenlik çözümleri veya projelerin incelenmesi gerekiyor.
  • Benimseme sırasında dikkat edilmesi gerekenler: Yeni güvenlik teknolojileri devreye alınırken mevcut sistemlerle uyumluluk ve yönetim kolaylığı dikkate alınmalıdır.

İlgili okumalar

1 yorum

 
GN⁺ 2024-06-01
Hacker News görüşleri
  • Firmware sorunu: Firmware kaynaklı bir sorunu çözmek için flash çipinin yazılabilir hattını kesmeyi ve günlük yeniden başlatma planlamayı hayal ediyor.
  • Uydu alıcısı deneyimi: 20 yıl önce uydu alıcılarında olduğu gibi, internete bağlı tüm cihazların elektronik önlemlere karşı savunmasız kabul edilmesi gerektiği belirtiliyor.
  • Güncelleme izleme: Cihaz güncellemelerini izleyen ve bir güncelleme olduğunda bildirim veren bir sisteme ihtiyaç var.
  • Haberde içerik eksikliği: Haberde ilgi çekici ayrıntıların eksik olduğu söyleniyor. Router'ın varsayılan olarak açık portlara ve servislere sahip olup olmadığı merak ediliyor.
  • Firmware karşılaştırması: Farklı firmware sürümlerinin karşılaştırılıp karşılaştırılamayacağı sorgulanıyor.
  • OpenWrt kullanımı: Çoğu kişinin OpenWrt ve vendor SDK kullandığı görülüyor.
  • Kötü niyetli güncelleme şüphesi: Vendor'ın kötü niyetli veya bozuk bir güncelleme göndermiş olabileceğinden şüphe ediliyor.
  • ISP'nin resmî açıklama yapmaması: ISP'nin neden resmî bir açıklama yapmadığı sorgulanıyor. Eğer bu bir saldırıysa soruşturma gerektiği belirtiliyor.
  • ABD'deki yaklaşım: ABD'de bu tür sorunların nasıl ele alındığı merak ediliyor.
  • Bot bulaşma ihtimali: Cihazların bir bot tarafından enfekte olduğu ve vendor'ın her şeyi bozan bir güncellemeyi zorla dağıtmış olabileceği düşünülüyor.
  • Güvenlik olayı bildirimi ihtiyacı: Müşteri olarak güvenlik olaylarından haberdar olmak istendiği ifade ediliyor.
  • Firmware imajı bağlantısı talebi: Söz konusu cihazın firmware imajına veya ek ayrıntılara bağlantı isteniyor.
  • Trafik logları: Black Lotus Labs'ın trafik logları üzerinden IP'ler arası iletişimi nasıl bildiği sorgulanıyor.
  • Tor güvenliği şüphesi: Tor'un güvenliğinin gerçekten ne kadar güvenli olduğu merak ediliyor.
  • x86 kutu ve OpenWrt: Çift NIC'li küçük bir x86 kutu satın alıp üzerinde OpenWrt çalıştırmak tercih ediliyor. Açık kaynak, geniş destek, iyi bir topluluk ve Wireguard desteği sunuyor.
  • HN karma puanı önerisi: HN'de clickbait başlıkları iyileştiren gönderi sahiplerine karma puanı verilmesi öneriliyor.
  • Kanada hükûmetinin faydalı tavsiyeleri: Kanada hükûmetinin faydalı tavsiyelerine bağlantı veriliyor.
  • Arka kapı ve firmware hatası: 600 bin router'a arka kapı yerleştirip firmware hatası eklenirse ortaya çıkacak sorunlara değiniliyor.
  • Güncellemelerin kademeli dağıtımı: Güncellemelerin kademeli olarak dağıtılamayıp dağıtılamayacağı sorgulanıyor.
  • Haber başlığının anlamı: Haber başlığının ne anlama geldiği soruluyor.
  • Kafa karıştırıcı başlık: Başlığı kafa karıştırıcı bulanlar için bunun 600 bin ayrı router'ın devre dışı kalmasıyla ilgili olduğu açıklanıyor.
  • İlgili haber: Ars Technica'nın ilgili haberine bağlantı veriliyor.