Gelişmiş Kötü Amaçlı Yazılım ile Router’lar Bilgisayar Ağlarına Sızmak İçin Kullanılıyor

Güvenliği sağlanmamış küçük ev veya iş yeri (SOHO olarak tanımlanır) router’larını hedef alan ZouRAT adı verilen ve yeni tespit edilen uzaktan erişimli trojan (RAT), uzaktan ya da hibrit çalışanları hedef alan yeni bir risk olarak beliriyor. “Yönlendirici” olarak da bilinen router, aynı ağ iletişim kurallarını kullanan iki bilgisayar ağı arasında veri çerçevelerinin iletimini sağlayan ağ donanımıdır.

Güvenlik uzmanları tarafından incelenen ZouRAT, Ekim 2020’den bu yana Amerika ve Avrupa’da geçerli olan ve son derece gelişmiş, hedefli bir saldırı yöntemi olarak gösteriliyor.

Araştırmalar, taktikler, teknikler ve prosedürlere (TTPs) bakıldığında, ZuoRAT’ın devlet sponsorluğunda geliştirilmiş bir saldırı özelliği taşıdığını kaydediliyor. Uzmanlar, Mart 2020’de milyonlarca çalışan pandemi nedeniyle evlerine hapsolduğunda, siber suçluların ağ yöneticileri tarafından gözardı edilen ve geleneksel ağ güvenlik alanının dışında kalan SOHO router’larına yöneldiğini bildiriyor.

ZuoRAT’ın karakteristiklerine bakıldığında, oldukça gelişmiş bir tehdit aktörü tarafından geliştirildiği düşüncesi hakim. Söz konusu özellikler arasında farklı marka/model SOHO cihazlarına erişim sağlamak; ağ iletişimlerini hedefleme, örnekleme ve ele geçirmek amacıyla cihazlarda kalıcı erişim kurmak; kumanda&kontrol (C2) altyapısını görünmez kılarak router’lar arasında iletişimde çok katmanlı silo edilmiş aygıt oluşturmanın yanı sıra bunları yapabilmek için host ve LAN (yeral alan ağı) bilgilerini ele geçirmek yer alıyor.

Güvenlik uzmanları, yukarıdaki yeteneklerin ZuoRAT’ın yapabilecekleri listesinde “sadece birkaç maddeyi” temsil ettiğini, kötü amaçlı yazılımın çok daha büyük bir resmin parçası olduğunu düşünüyor.

Etki alanı şaşırtıyor

Şu ana kadar en az 80 farklı hedefin ZuoRAT ile saldırıya maruz kaldığı, ancak gerçek sayının çok daha yüksek olduğu düşünülüyor. Araştırmalar, ASUS, Cisco, DrayTrek ve Netgear gibi çeşitli SOHO router üreticisinden elde edilen telemetri bilgilerinin ZouRAT enfeksiyonlarına işaret ettiğini gösteriyor.

Güvenlik araştırmacılarının bugüne kadar azar azar elde ettiği bulgular arasında SOHO router’larını hedef alan ZuoRAT, C++ ile hazırlanmış Windows tabanlı bir yükleyici, cihaz bilgisi dökümü, dosya yükleme ve indirme ve ağ (DNS/HTTP) iletişimini ele geçirmek için kullanılan üç araç bulunuyor. Söz konusu üç araç şu şekilde:

• CBeacon: C++ ile hazırlanan özelleşmiş RAT. Dosya indirip yükleyebiliyor, rastgele komutlar çalıştırabiliyor ve bileşen nesne modeli (COM) ele geçirme yöntemi ile enfekte dosyada kalıcı olabiliyor.
• GoBeacon: Go ile hazırlanmış özelleşmiş RAT. Neredeyse CBeacon ile aynı özellikleri taşıyan GoBeacon’ı ayrı kılan özellik, Linux ve MacOS cihazlarına da bulaşması.
• Cobalt Strike: Hazır olarak bulunan uzaktan erişim aracı, CBeacon ve GoBeacon yerine alternatif sunabiliyor.

Şirketler için çok ciddi bir sorun

Araştırmacılar router kötü amaçlı yazılımlarının şirketler için çok ciddi güvenlik sorunları doğurabileceğine, çünkü bu cihazların geleneksel güvenlik tarama alanının dışında kaldığına işaret ediyor. Şirketlerin SOHO cihazlarına yönelik dikkatlerini artırması gerektiğinin altını çizen siber güvenlik uzmanları, ZuoRAT’ın tespit edilen saldırılarla sınırlı kalmış olamayacağını, mevcut tehdidin engellenmesi için routerlar’da güvenlik yamalarının yapılması gerektiğini ve tüm bu cihazların en güncel sürümleri ile kullanılmaları gerektiğini ifade ediyor. Bu kapsamda router’lardaki güncel sürüm ve güvenlik yamalarına ilişkin genel durum, sürecin son derece zorlu olabileceğini düşündürüyor.

Siber korsanların giderek daha fazla sayıda yamanmamış sistemler ve eski yazılımlar ile bağlantılı zafiyetleri (açıkları) kullanmaya başlaması, şirketlerin bilgisayar ağlarını ve organizasyonları eski güvenlik zafiyetlerinden kaynaklanabilecek fidye yazılımın yanı sıra diğer saldırılara karşı savunmasız bırakıyor.

Yapılan güvenlik analizleri, şirketlerin bilgisayar ağlarında başgösteren güvenlik zafiyetlerinin %61’nin, güvenlik yamaları mevcut olmasına rağmen 2016 ve öncesine ait olduğunu ortaya çıkardı. Bilgisayar ağlarının güvenlik bariyerlerini aşmayı başaran bazı zafiyetler ise on yıldan daha eski.

Güvenlik uzmanları, bilişim teknolojileri varlıklarının farkında olan, tehditleri tespit edebilen ve önleyebilmek için gerekli adımları atabilen şirketlerin siber saldırılara karşı koyabileceğini ifade ediyor. Araştırmalar, tehditleri tespit edebilmenin bir yetenek olduğunu, ancak siber tehditlere karşı kapsamlı planı bulunan şirketlerin bunlara birkaç gün veya hafta yerine “birkaç saat içerisinde” yanıt verebildiğine de dikkat çekiyor.