Mirai Bu Sefer Windows'tan Yayılıyor
Yetenekli bir siber saldırgan, meşhur Mirai zararlı yazılımını yaymak için ileri seviye bir Windows botnet'i geliştirdi.
Windows tabanlı yayıcı, orijinal Mirai kod temelinden daha zengin ve daha sağlam ancak yeni sürümün bileşenleri, teknikleri ve işlevsellikleri yıllarca eskiye dayanıyor. Bu yayıcının Mirai zararlı yazılımını yayma kapasitesi ise sınırlı: Mirai botlarını, ele geçirilmiş olan bir Windows bilgisayarından savunmasız bir Linux IoT (Internet of Things - Nesnelerin İnternet'i) cihazına sadece kaba kuvvet saldırısıyla girdiği uzak bir telnet bağlantısı söz konuysa gönderebiliyor.
Bu kısıtlamaya rağmen, kodun daha deneyimli bir geliştiricinin, muhtemelen de Mirai ile yeni ilgilenmeye başlayan birinin eseri olduğu açıkça anlaşılıyor. Yazılımın içinde bulunan kodun Tayvan'da bulunan sunuculara bağlı Çince bir sistemde derlenmiş olması ve Çinli şirketlerden çalınan kod imzalama sertifikalarının kötüye kullanılmış olması gibi arkada bırakılan bir takım ipuçları, geliştiricinin Çince konuşan biri olduğu olasılığına dikkat çekiyor.
Kaspersky Lab Baş Güvenlik Araştırmacısı Kurt Baumgartner, "Mirai'nin Linux'tan Windows'a atladığını ve tecrübeli geliştiricilerin bu işlere giriştiğini görmek gerçekten endişe verici. 2011'de bankacılığı hedef alan Zeus adlı Truva atının kaynak kodunun yayımlanması yıllar süren problemleri beraberinde getirdi. 2016'da yayınlan Mirai IoT botu kaynak kodu da aynısını internet için yapacak. Gittikçe daha karmaşık becerileri ve teknikleri beraberinde getiren daha deneyimli saldırganlar, ortalıkta dolanan Mirai kodunu kullanmaya başlıyorlar. IoT Mirai botlarını yaymakta olan bir Windows botnet geliyor ve daha önce Mirai operatörleri tarafından kullanılamayan yeni cihazlara ve ağlara Mirai'nin yayılmasını sağlıyor. Bunun daha bir başlangıç olduğunu söyleyebiliriz" dedi.
Kaspersky Lab telemetri verilerine göre, söz konusu Windows botu tarafından 2017'de yaklaşık 500 tekil sistem saldırıya uğradı ve bu girişimler tespit edilerek engellendi.
Saldırının ikinci aşamasında yer alan IP adreslerinin coğrafi konumlandırılmasına dayanarak, bu konuda en savunmasız ülkelerin bağlantılı teknolojilere büyük miktarda yatırım yapmış ve gelişmekte olan Hindistan, Vietnam, Suudi Arabistan, Çin, İran, Brezilya, Fas, Türkiye, Malavi, Birleşik Arap Emirlikleri, Pakistan, Tunus, Rusya, Moldova, Venezuela, Filipinler, Kolombiya, Romanya, Peru, Mısır ve Bangladeş olduğu ortaya çıkıyor.
Kaspersky Lab, internet altyapısına yönelik artan bu tehdide cevap vermek için Bilgisayar Acil Durum Müdahale Ekipleri (Computer Emergency Response Team: CERT), barındırma hizmeti sağlayıcıları ve ağ operatörleriyle birlikte çalışıyor. Bu sunucuların hızlı ve başarıyla etkisiz hale getirilmesi, büyüyen IoT tabanlı botnet'lerin beraberinde getirdiği risk ve zararı en aza indiriyor. Kaspersky Lab'ın dünya çapındaki CERT'ler ve sağlayıcılarla olan tecrübeleri ve ilişkileri bu çabaları hızlandırmaya yardımcı oluyor.
Kaspersky Lab ürünleri, Windows ve Mirai botlarını tespit ederek ve onlara karşı koruma sağlıyor.
Windows tabanlı Mirai yayıcısının kullandığı araçların ve tekniklerin yanı sıra, bu araştırmayla ilgili çıkarımlar hakkında daha fazla bilgi edinmek için, Securelist.com'daki blog yazısını okuyabilirsiniz.