Bu ay içerisinde Mirai, resmen mitoz bölünme gerçekleştirmiş. Mirai’nin yeni varyasyonları epey can yakayacak ve epey zarar verecek gibi görünüyor, zira 54 saat kadar sürebiliyor. Mirai’nin adını ise henüz geçtiğimiz bahar döneminde Dyn’e yapılan saldırılar çerçevesinde duymuştuk. Sadece 2.5, 3 saatlik bir saldırıyla Dyn çok büyük zarar görmüştü. Üstelik bu saldırı Dyn tarafından durdurulamamış, saldırganlar istedikleri istatistiği yakalamalarıyla saldırı, saldırganlar tarafından sonlandırıldı. Mirai’nin yeni varyayonu açısından da aynı şey geçerli: Yaklaşık 9,3793 IP kamerasına bu yeni prensiple saldırıldı ve saldırılar durdurulamadı.
Hücresi olan Mirai gibi IoT cihazlarını hedefleyen yeni tür, IP kameraların yanısıra CCTV kameraları, DVR sistemleri, router’ları, Raspberry Pi sistemleri hedef alıyor. Kodların dokusuna bakıldığında ise orijinal Mirai ile üslup görüldü. IoT botnet’i olarak çalışıyor, saniyede 30,000 traffic request yapabilir, peaking istatistiği ise 37,000. Bu rakamsal ifadeler Mirai’nin gücüne ikiye katladığını gösterdi. Yeni keşfedilen bir yöntem olmasına karşın 9,793 IP, saldırganlar tarafından kontrol ediliyor. 18%’inin ABD’de, 11%’inin İsrail’de, 11%’inin ise Tayvan’da olduğu tespit edilmiş.
Tıpkı Mirai gibi Layer7 katmanı, Layer 2 ve Layer 3 katmanlarından yayılıyor
HTTP bazlı saldırılar, Layer 7’den, flood tabanlı saldırılar ise Layer 2’den ve Layer 3’ten gerçekleşiyor. Temel olarak router’ların ve IP kameraların çalıştığı protokoller alsında. Client’lar ve hostlar adreslenir ve her biri için farklı adresleme yapıları kullanılıyor. Bunun yanısıra kesin bir bilgi olmamakla birlikte cihazlardaki telnet TR-069 7547 portu da tahmin edilen açıkların içerisinde. Özellikle router’larının default ayarlarını kullanan kullanıcılar tehditte ilk sırada yer alıyorlar. TR-064 arayüzü, Mirai’de izin gerektirmeksizin sisteme sızmak için en uygun arayüzlerden biri olarak sayılıyor.
Linux çalışan sistemlerde ise CVE-1999-0502, CVE-2016-6535, CVE-2016-1000245 and CVE-2016-1000246 arayüzleri, açık kapıyı oluşturuyor. Bu arayüzlerin oluşturduğu açıklar ise şu linkte epey irdelenmiş: “SANS ISC InfoSec Forums : Port 7547 SOAP Remote Code Execution Attack Against DSL Modems”
Saldırı aktif mi? Yoksa sadece test aşamasında mı?
Bu konuyu Impreva isimli bir siber güvenlik firması araştırıyor. Saldırıyla ilgili birçok simülasyon oluşturmuşlar. Bu simülasyonlar ise bankaların geçtiğimiz ay yaşadığı sıkıntılarla ilgili şikayetler sonucu oluşturuldu. Tam anlamıyla, somut bir veri olmasa da, avrupa’daki bankaların bazılarına bu yeni DDoS saldırısı yönteminin uygulandığı düşünülüyor. Impreva sadece işin rapor aşamasında, bir diğer taraftan Rusya’ya İsrail tarafından gerçekleştirilen bir DDoS saldırısı mevcut. Bu saldırıların Mirai prensibiyle yapıldığı düşünülse de; yeni bulgulara göre bu bankalar Mirai’nin yeni varyasyonuyla karşı karşıya kaldılar. Saldırı ise yaklaşık 5 saat sürdü.

Kaynak : 