O NE LAN?! Siber suçlular, doğru uzaktan erişim özelliklerini kullanarak, zayıf kimlik bilgileriyle korunan internet yönlendiricilerine kalıcı zarar verebilir. Black Lotus araştırmacıları, geçen Ekim ayında yüz binlerce yönlendiriciyi bloke eden böyle bir “yıkıcı” olayı keşfettiler.
Black Lotus Laboratuarlarındaki analistler, geçen yılın Ekim ayının sonuna kadar birçok Orta Batı eyaletinde hissedildiği için siber olayı “Kabak Tutulması” olarak adlandırdı. 25 ve 27 Ekim tarihleri arasında 600.000’den fazla küçük ofis/ev ofisi (SOHO) yönlendiricisi çevrimdışı duruma getirildi ve internete erişemedi.
İsimsiz suçlular, ActionTec tarafından üretilen iki yönlendirici modelini (T3200, T3260) hedef aldı ancak bu cihazlara erişim için kullanılan yöntem hala bilinmiyor. Bilgisayar korsanlarının açıklardan yararlanma veya sıfır gün güvenlik açıklarını kullanmaması, zayıf kimlik doğrulama bilgilerine saldırmak için kaba kuvvet kullandıklarını veya açıkta kalan bir yönetim arayüzü üzerinden girmiş olabileceklerini gösteriyor.
Siber suçlular, içeri girdikten sonra, ele geçirilen yönlendiricilere kötü amaçlı yazılım indirip yüklemek için Chalubo adlı iyi bilinen bir uzaktan erişim truva atı (RAT) kullandı. Ürün yazılımı, SOHO cihazlarını “kalıcı olarak çalışmaz” hale getirerek ISP’yi internet bağlantısını yeniden sağlamak için bunları değiştirmeye zorladı. Güvenlik araştırmacıları Chalubo RAT’ı 2018’den beri biliyor. Kötü amaçlı yazılımın şifreli iletişim, DDoS yetenekleri ve özel Lua komut dosyası yürütme gibi gelişmiş özellikleri var.
Black Lotus, sağlayıcının adını açıklamadı ancak olay, Arkansas merkezli ISP Windstream müşterilerinin yaşadığı yaygın internet kesintisiyle bağlantılı. Hem Windstream hem de FBI, bunun bilinmeyen motivasyonlarla “son derece endişe verici” bir siber saldırı olmasına rağmen olayla ilgili herhangi bir açıklama yapmayı reddetti.
Windstream’in internet hizmetinin büyük bir kısmı, acil servislere bağlanmak, mahsulleri uzaktan izlemek veya sağlık uygulamalarını yönetmek için internet bağlantısının kullanıldığı kırsal veya yetersiz hizmet alan toplulukları kapsamaktadır. Birkaç Windstream Reddit kullanıcısı, olayın 25 Ekim civarında başlamasıyla birlikte tuhaf bir internet kesintisi yaşadıklarını kamuoyuna açıkladı.
Siber suçlular, güçlü bir DDoS saldırısını yönetmek için virüslü yönlendiricilerden yararlanmakla ilgilenmiyorlardı. Black Lotus, Balkabağı Tutulması olayı sırasında bilinen ulus devlet gruplarının herhangi bir “örtüşen” faaliyetini gözlemlemedi; bu, bilinmeyen suçluların, henüz kimsenin açıklayamadığı nedenlerle her şeyi örtbas etmeye karar verdikleri anlamına geliyor.