Mirai Şirketleri hedef alıyor

Mart 22, 2019

Geçtiğimiz günlerde Mirai’nin yeni bir versiyonu ile ilgili bir haber gördük (Mirai, IoT cihazlarını hedef alan ve kendi kendine çoğalabilen bir botnettir ve 2016 yılında Dyn sunucularına yapılan büyük çaplı DDoS saldırılarının da sorumlusudur). Analistlere göre bu botnet, çok daha geniş bir yelpazedeki güvenlik açıklarından yararlanan yazılımlarla donatılmıştır. Bu özelliği botnet’in, çok daha tehlikeli olmasına ve daha hızlı yayılmasına yol açmaktadır. Asıl endişe verici olan ise yeni türün, yalnızca eski kurbanları, yani yönlendiriciler, IP kameralar ve diğer “akıllı” nesneler, ile sınırlı kalmaması ve kurumsal IoT cihazlarını da hedef almasıdır.

Aslında bu durum, çok büyük bir sürpriz olmadı. Kaynak kodu yakın zaman önce sızdırılan Mirai kötü amaçlı yazılımı, şu anda yeterli programlama becerilerine sahip her türlü saldırgan tarafından kullanılabiliyor. Dolayısıyla Mirai adı, Securelist’in 4. çeyrek DDoS raporunda birçok yerde geçiyor. En yeni IoT tehdit raporumuza göre Mirai kötü amaçlı yazılımının varyasyonları da tüm IoT cihaz saldırılarının %21’inde kullanılmış.

Mirai’nin kodu son derece esnek ve uyarlanabilirdir, bu nedenle hedef yelpazesini genişletmek için kötü amaçlı yazılımı, güvenlik açıklarından yararlanan yeni yazılımlarla donatmak oldukça kolaydır. Şu anda yaşanan da tam olarak budur. Yönlendiriciler, erişim noktaları, ADSL modemleri ve ağ kameraları gibi normal avlarına yönelik yeni kötü amaçlı yazılım setinin yanı sıra yüksek kapasiteli, kurumsal kablosuz denetleyicilere, dijital işaret sistemlerine ve kablosuz sunum sistemlerine bulaşabilir.

Palo Alto Networks analistlerine göre Mirai’nin yeni potansiyel hedefleri arasında aşağıdakiler bulunmaktadır:

  • ePresent WiPG-1000 kablosuz sunum sistemleri,
  • LG Supersign televizyonlar,
  • DLink DCS-930L ağ video kameraları,
  • DLink DIR-645, DIR-815 yönlendiriciler,
  • Zyxel P660HN-T yönlendiriciler,
  • Netgear WG102, WG103, WN604, WNDAP350, WNDAP360, WNAP320, WNAP210,
  • WNDAP660, WNDAP620 cihazları,
  • Netgear DGN2200 N300 Wireless ADSL2+ modem yönlendiricileri ve
  • Netgear Prosafe WC9500, WC7600, WC7520 kablosuz denetleyiciler.

Üstelik yeni hedefler, bu kadarla da sınırlı değildir. Uzmanlarımız, endüstriyel IoT cihazlarını bile etkileme potansiyeline sahip Mirai saldırısının yeni dalgalarının geleceğini düşünüyor.

Cihazlarınızı nasıl koruyabilirsiniz?

Güvenlik araştırmacımız Victor Chebyshev, cihazların Mirai botnet’inin eline geçmesini önlemek için işletmelere bazı önerilerde bulundu:

  • Yamaları ve ürün yazılımı güncellemelerini, yayınlanır yayınlanmaz tüm cihazlara ve sistemlere yükleyin;
  • Her cihazda gelen trafiğin hacmini izleyin, çünkü virüslü cihazların trafik hacmi, normal cihazlara kıyasla önemli ölçüde daha fazladır;
  • Mutlaka önceden belirlenen parolaları değiştirin ve çalışanlar için etkili bir parola politikası uygulayın;
  • Bir tuhaflık olduğunu düşündüğünüz cihazlarda sistemi yeniden yükleyin fakat şunu aklınızdan çıkarmayın: Sistemi yeniden yüklemek, mevcut kötü amaçlı yazılımdan kurtulmanızı sağlasa bile tek başına, bu yazılımın yayılması riskini düşürmez.

Kaspersky IoT Tehdit Veri Akışı

Şirketleri, IoT cihazlarıyla ilgili en yeni tehditlerden korumak için yeni bir istihbarat veri akışı yayınladık. Bu veri akışında, özellikle IoT tehditlerine ilişkin veriler toplanıyor. Şu anda veri akışında 8000’den fazla kayıt bulunmakta ve veri tabanı her saatte güncelleniyor. Bu veri akışını yönlendiricilere, Web ağ geçitlerine, akıllı sistemlere ve bireysel IoT ürünlerine uygulayabileceğiniz gibi genel Tehdit İstihbaratı çözümlerinizin bir parçası haline de getirebilirsiniz.

Bu istihbarat akışı, araştırmacılarımızın ve analistlerimizin edindiği bilgilere ve “sanal sunucular” (honeypot) ile korunmasız IoT cihazlarını taklit eden diğer tuzaklardan toplanan verilere dayanır. Daha fazla bilgi almak veya entegre teknoloji çözümlerinden sorumlu ekibimizle iletişime geçmek için lütfen Kaspersky Nesnelerin İnterneti Tehdit Veri Akışı Web sayfasını ziyaret edin.