Herhangi bir Linux cihazınızda, özellikle IoT yönetimi yaptığınız Linux cihazınızda ‘ELF_IMEIJ.A’ isiminde bir dosya görürseniz tehlike çanları çalıyor demektir. Özellikle IP Kamera motorları konusunda yaygın olarak kullanılan AVTech’in ürünlerinde, bu haftadan itibaren örnekleri görüldü. Bu Malware’in gelişiyle şu da anlaşılmış oldu; Windows platformların aksine Linux sistemler IoT teknolojilerinde daha yaygın kullanılıor. Bu kadar yaygın kullanılmasıyla da Linux, şimdinin popüler hedef tahtası. Linux – ARM tabanlı cihazları tehdit eden, Mirai, Umbreon, LuaBot, BashLite kadar yıkıcı bir etkiye sahip. Bulgularda AVTech’in Cloud platformlarından sızmayı (CloudSetup.cgi dosyası) başarıyor, bunun yanısıra server sistemelerindeki ‘cgi-bin’ scriptleri de bu Malware’e karşı zayıf bölgelerden bir tanesi.
Script’lerin çalışmasıyla birlikte random IP adreslerine birer request turu gönderiliyor, IP adresleri güvenlik açığı bulunan cihazları bularak gerekli Trojan dosyaları sisteme bırakmaya başlıyor, böylece zararlı dosyaları sisteme kaydedebilecek dosyalar ‘tetiklenerek’ indirilmeye başlıyor. Hedefe alınan bilgisayar veya cihaz ise zararlı dosya ile normal dosyanın yerlerini ve dosya izinlerini değiştirdikten sonra tehdit yerel cihazlardan harekete geçiyor. Bu saldırı yöntemi şimdiye dek İrlanda’daki bazı sunucularda, ekim ayında YouTube’a gerçekleştirilen DDoS saldırısında, Almanya’daki banka saldırılarında, kameraları hacklemek için kullanılmış, ancak henüz keşfedilemediği için bu saldırılarla ilgili bir başka DDoS prensibi olan, Mirai suçlanmıştı. Ancak gözümüze çarpan bir detay, bu saldırıların hemen akabininde, Mirai’nin neredeyse aynı tanımına uyan başka bir saldırı yöntemi, Trend Micro tarafından blog yazısında anlatılmış. Dolayısıyla 2016’nın son çeyreğinde çok fazla vurgun yaptığını düşündüğümüz Mirai’den başka şüphelilerin de olduğu ortaya çıktı, benzer yöntemler olduğu için siber güvenlikçiler Mirai’ye önlem alırken, ELF_IMEJ.A’ya pek fazla önlem alınamadı.
Tek bir noktadan Mirai’den ayrılır durumda; DDoS yetenekleri tamamen benzeşse de tehditin başlangıçının işlemesi açısından farklı. Bu Trojan, yoğun olarak AVTech cihazlarını kullandı, saldırıyla ilgili yazılan raporlarda geçen ortak ifade, bu saldırının tek bir kanaldan gerçekleştirildiğini kanıtlıyor: “Sadece 39999 port’unu kullanıyor” Bu cümle, yapılan herhangi bir DDoS saldırısından sonra rapor edilen ortak cümle ve Mirai ile farklılığını gösteren tek detay. Elbette bu ifade, sadece Linux’larında AVTech’i kullanan yöneticiler tarafından belirtildi.
AVTech Türkiye’de de yaygın kullanılıyor ve kabaca bir hesapla toplam 130,000 adet internete bağlanmış farklı arayüzü ve cihazı bulunuyor. AVTech’in adının geçmesi, durumu sadece AVTech ile sınırlı kılmaz, zira bu cihazların da büyük DDoS saldırılarında kullanlacağı botlara dönüşebilir.

Kaynak : 