Yazılar

420 bin cihazdan zombi ordusu

Carna BotnetÜnlü internet bağlantılı elektronik cihaz üreticisi Çinli firma ZTE’nin varsayılan veya ürün içerisine kodlanmış şifreler bulunan yüzbinlerce cihazı keşfedildi.

İsmi henüz bilinmeyen araştırmacıların yazdıkları Carna botnet ağıyla ilgili elde ettikleri verileri haritalandırdıkları çalışma esnasında keşfedilen bilgiler bu olayı açığa çıkardı. Araştırma kapsamında neredeyse tüm IPv4 blokları taranarak Carna botnet ağının emrinde çalışabilecek 420.000’in üzerinde embedded veya dışarıya açık online cihaza rastlandı.

Bu varsayılan şifreye sahip 420 bin cihaz üzerine yüklenen ve port scanner içeren bir kod sayesinde neredeyse tüm internet taranabildi. Tarama 4.3 milyar ip adresine gerçekleştirildi. Bunlardan 1.3 milyar adedi kullanımda, 141 milyonu firewall arkasında, 729 milyonu ise dns adresine sahipti. Geriye kalan 2.3 milyar adedi ise kullanılmıyordu.

Varsayılan veya cihaz içerisine kodlanmış şifrelerden etkilenerek Carna botnet ağının parçası olan cihazlarda aslan payını ise Çinli üreticilerin cihazları alıyor. Carna botnetin kontrolünde olan 420 bin cihaz içerisinde %28 ile en büyük payı Çinli firma ZTE alıyor. %9 ile ikinci sırayı Portekizli firma SMD Informatica, %8 ile üçüncü sırayı Çinli üretici Shenzhen Gongjin Electronics Co. takip ediyor. Listenin altlarında %2 ile Dlink, %1 ile Sony bulunuyor.

İşin ilginç tarafı ise listede epeyi aşağılarda yer alan firma Airties ile ilgili. Carna botnet ağına dahil edilen 87,815 cihazı olan yerli üretici Airties araştırma ile ilgili ilk somut adım atarak konuyu araştıran firma.

İlk önlem olarak telekom firmaları ve bazı üreticiler dışarıya açık gelen yönetim portu olan telnet portunu filtrelemeye başladılar.

Fort Disco ile WordPress ve Joomla hedefte

fort-disco-wordpress-joomla-botnet-windowsFort Disco adındaki botnet ağı 6000’den fazla içerik yönetim sistemine sahip Joomla, WordPress, Datalife Engine çalıştıran web sitesine bulaştı ve bu sayı hızla artıyor.

Fort Disco botnet aşağı yukarı bulaştığı 25.000 Windows sistemden oluşuyor ve bu sayı aktif olarak artıyor. Bu 25.000 enfekte olmuş zombie sistemi yöneten ise 6 komuta kontrol sunucusu. Botnet, sitelere brute force yöntemi ile şifre deneyerek saldırıyor. Erişim sağladığı takdirde ise sisteme FilesMan PHP backdoor yükleyerek uzaktan kurbanın web sitesini kontrol ediyor.

Yüklenen arka kapı sayesinde komuta kontrol sunucuları tek komutla tüm sistemleri yönetebiliyor. İstenilen zararlı yazılımları ek olarak yükleyebiliyor. Fort Disco botnetinin sahip olduğu veritabanında kullanıcılar ve sistem yöneticileri tarafından sıkça kullanılan 123456 vb. basit şifreler yer alıyor. Örneğin “123456” şifresi tam 588 web sitesinde işe yaramış. Şifre olarak kullanılan “admin” ise 893 sisteme girişi sağlamış.

Bu zararlı yazılımda da kural bozulmamış. Eğer sistemde Rusya bölgesinden bir ayar veya dil seti yüklenmişse ve Rus ip adresine sahip bir siteye saldırılacaksa Fort Disco botneti bunu anlayıp saldırıyı durduruyor.

Tehlikeli trojan Carberp yenileniyor

carberp-internet-bankaciligi-zararli-yazilimiBilinen en gelişmiş internet bankacılığı zararlı yazılımlarından olan Carberp ile ilgili sıcak gelişmeler oluyor. Aralık 2012’de yayınlanan son versiyonu yeni bir bootkit modülüne sahip olan zararlı yazılım siber mafya tarafından 10.000 dolar ile 40.000 dolar arasında rakamlarla “aylık” kiralama yöntemiyle satılıyordu.

Carberp ilk olarak 3 yıl önce tespit edilmişti. O zamandan beridir diğer ünlü internet bankacılığı zararlı yazılımları Zeus ve SpyEye için tam bir alternatif oluşturuyor. Boot sektörüne bulaşmaya izin veren modülü sayesinde siber suçlular epeyi bir süre antivirus yazılımlarını atlatarak kurbanlarının sistemini yönetebildiler.

İlk kez Haziran 2012’de zararlı yazılım ABD İçişleri Bakanlığının izni ve sağladığı imkanlar ile yakalanan 6 kişilik bir dolandırıcılık şebekesinin sistemlerinde incelenebildi. Bu olaydan gizemi çözülen Carberp’i programlayanlar yeni bir yöntem tercih etmeye başladı. Artık yazılımı sınırsız yönetim ve dağıtım imkanlarıyla satmak yerine kiralama şeklinde sunmaya başladılar. Bunun yarattığı en büyük tehdit çok az teknik bilgiye sahip kişilerin bile zararlı kod içeren bir dosya ile rahatlıkla insanların paralarını internetten çalabilmesine olanak tanımasıydı.

Satıcılar sıkı çalışarak aralarında WellsFargo, Citi, JP Morgan Chase, Bank of America, TD Bank ve TerraMedusa Siber İstihbarat Altyapısının tespit ettiği “2 Türk bankasını” içeren web-injection modüllerini piyasaya sundular.

Son gelişmeyle ise işler iyice karıştı. Bir süredir siber suçlular 5.000 dolar gibi bir rakama Carberp internet bankacılığı zararlı yazılımının kaynak kodunu satmaya başladılar. Satılan kaynak kodu Carberp’in full kaynak kodu. Kod içerisinde yazanın notlarını bile görmek mümkün. Paket içerisinde kaynak kodu, web-injection modülleri, solucan modülü Gavazar, bootkit modülü, köle sistemleri yönetmek için admin paneli, yaması yayınlanmış Windows açıkları için exploitler bulunuyor.

Aslında Carberp’in kaynak kodunun böyle düşük bir fiyata satılması bir sondan çok başlangıcı temsil ediyor. Son 2 yılda Carberp’in 10 milyondan fazla sisteme kurulduğu düşünülüyor. Bu sayının içerisine zararlı bulaşan sistemler, tespit edilebilen varyantlar, banka sistemleri dahil. Daha önceki zararlı yazılım frameworklerinde olduğu gibi eğer çok güçlü bir projenin kaynak kodları sızıyorsa, yolda yayınlanmayı bekleyen çok daha güçlü bir zararlı yazılım geliyor demektir.