btbilgi

Çinli güvenlik şirketi Qihoo 360, 2019 yılının Aralık ayından beri kurumsal FTP ve e-posta trafiğine kulak misafiri olmaya çalışan iki hacker grubu ile ilgili bir rapor yayımlamış. Firmanın ağ güvenliği bölümü Netlab’ın blogunda yayımlanan raporda, hackerların kendine özellikle DrayTek markasının yük dengeleme yapan router (yönlendirici) ürünlerini ve kurumsal VPN ağ geçitlerini hedef seçtiğini aktarıyor. Bu iki hacker grubunun aktiviteleri şöyle anlatılmış:

Saldırı Grubu A

Qihoo’ya göre, iki hacker grubundan birincisi 4 Aralık’ta DrayTek cihazlarına oldukça karmaşık bir saldırı başlatmış durumda. Bu grup operasyonlarında yönlendirici cihazların içindeki bir güvenlik açığından faydalanıyor. Böylece RSA şifreli kullanıcı adı oturum açma alanında kötü niyetli kod çalıştırılabilmekte. Bir DrayTek yönlendiricisi RSA şifreli giriş verilerini alıp şifreyi çözdüğünde kod çalışmaya başlıyor ve siber saldırganlara yönlendirici üzerinde kontrol imkanı sağlıyor.

Araştırmacılar hackerların ele geçirdikleri yönlendiricileri aktif saldırılar (mesela DDoS saldırısı gibi) için kullanmak yerine, birer kurumsal casusluk aracısına dönüştürdüğünü söylemiş. Kötü niyetli kod yönlendiricide 21 no’lu portu (FTP – dosya aktarımı), 25 no’lu portu (SMTP – e-posta), 110 no’lu portu (POP3 – e-posta) ve 143 no’lu portu (IMAP – e-posta) izleyerek bulardan geçen trafiği kaydeden bir komut dosyası çalıştırıyor. Kod her Pazartesi, Çarşamba ve Cuma günleri gece yarısında bu portlardan kaydedilmiş verileri uzak bir sunucuya yüklemekte.

DrayTek kurumsal FTP ve e-posta yönlendiricilerine saldırı
Kaynak: Qihoo 360

Saldırı Grubu B

Qihoo’nun raporunda DrayTek yönlendiricilerin ikinci bir grup tarafından da kötüye kullanıldığı aktarılmış. Bu grup ise farklı bir sıfır gün güvenlik açığı kullanmış. Bu açığın 26 Ocak’ta ‘Skull Army’ isminde bir güvenlik blog sitesinde anlatıldığı ve siber suçluların iki gün sonra açığı kullanarak saldırılara başladığı ifade edilmekte.

Saldırganlar bu ikinci açığı yönlendiricilerde arka kapı hesapları oluşturmak için değerlendirmişler. Yönlendiricideki ‘rtick’ işleminde var olan bir hatadan yararlanarak, savunmasız DrayTek cihazlarında kötü niyetli kod çalıştırılabilir. Raporda açılan arka kapılarla neler yapıldığına dair ayrıntılı bilginin olmadığı açıklanmış.

Qihoo araştırmacıları saldırıları tespit ettikten sonra, DrayTek firmasına hemen bu sıfır günü açıkları ile ilgili bilgi yollamış. Durumu öğrenen üretici ürünlerine güvenlik yamaları hazırlamış ve 10 Şubat itibarı ile yayımlamış. Saldırıya uğrayan modellerin DrayTek Vigor 2960, 3900 ve 300B olduğu bilgisi veriliyor. Dünya çapında bu cihazlardan 1 milyona yakın miktarda olduğu bilgisi, fakat sadece 100 bin tanesinin saldırılara karşı savunmasız olduğu tahminleri raporda yer almakta.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.