Hatırlayacağınız üzere, eylül 2016’da dünya çapında çok büyük bir siber saldırı olmuştu. Saldırıyı yapan hackerlar, önce modem-printer-set top box gibi yan cihazların açıklarını kullanarak, bunlara sızmışlar ve Mirai Botnet adı verilen saldırı ağını oluşturmuşlardı. Sonra da bunlarla internet sitelerinin adreslerini bulduğumuz DYN sunucularına şimdiye kadar görülen en büyük bant genişliği yani 1 TB ile saldırmışlardı. Bunun sonucunda Netflix, Twitter, Spotify, CNN, PayPal, Github gibi siteler erişilemez olmuştu [1].
Bugünlerde benzer bir hareketlilik gözüküyor. Siber güvenlik uzmanlarından aldığımız bilgiye göre, son günlerde, Türkiye içinde özellikle geceleri yoğun bir 7547 port taraması var. Kurum başına 10-15 yurtiçi IP’den ve her bir IP’den 5,000 civarı istekte bulunan bu taramanın nedeni, “bir MiraiBot saldırı hazırlığı olabilir” şeklinde yorumlanıyor.
Zaten geçen seneki saldırı sonrasında, saldırıyı gerçekleştirdiğini belirtenler “bu sadece hazırlıktı” türünden bir açıklama yapmışlardı [2]. Yani bir hazırlık içinde oldukları belli. Ayrıca Mirai’nin yeni varyasyonları da çıktı. Bu versiyon doğrudan 7547 nolu portu kullanıyor [3].
Şu anda Sızılacak Cihaz Araştırılıp, Yeni BOTNET mi Oluşturuluyor?
Geçen sene yapılan ve büyüklük rekoru kırılan saldırının Mirai-Botnet adı verilen bir ağdan geldiği ortaya çıkmış ve alışılmışların dışında bir saldırı yapmışlardı. PC ya da Laptop gibi bilgisayarlar yerine IoT (nesnelerin interneti) olarak adlandırılan ve internete çıkan türlü cihazları kullanmışlardı. Bu haliyle saldırı “beklenmedik” bir saldırıydı.
Gerçi 3 sene önce bir araştırmacı popüler modem/router markalarının hemen hepsinin açık içerdiğini ve bir saldırıda kullanılabileceğini ortaya koymuştu [4]. Çünkü bunlar 100-200 $’lık cihazlar oldukları için güvenlik konusuna yakın zamana kadar pek önem verilmedi ve saldırıda kullanılabileceği düşünülmediydi. Ama sonra Mirai saldırdı ve dikkatleri IoT zayıflıklarına çekmiş oldu.
Siber saldırılarda kullanılan Botnetler [5], çok sayıda cihaza sızarak onları kendilerinin komutlarını uygulayacak hale getiriyorlar. Eskiden bunu virüslü e-mailler kullanarak, virüs içeren çeşitli sitelere göndererek yaparlardı. Son zamanlarda, IoT cihazlara da sızmaya başladılar. Çünkü yukarıda da dediğimiz gibi çoğunluğu 100-200 $ bandındaki bu cihazlar için ekstra harcama yapılmıyor ve güvenlik konusu ihmal edilmiş durumda.
Bunun için muhtelif portları test eden “istek”ler gönderiliyor. Böylece, o portların neye cevap verdiği anlaşılıyor. Buna tarama (scan) deniliyor. Hackerlar tarayarak açık cihazları buluyorlar.
Sonra bu cihazların açıkları kullanılarak, içeri sızılıyor ve komut dosyası yerleştiriliyor. Saldırı zamanında da bu cihazla adeta birer robot asker gibi istenen hedefe saldırı gerçekleştiriyorlar. Bu cihazlar, modem, router, akıllı TV’larda kullanılan set top box’lar, güvenlik kameraları gibi çeşitli cihazlar olabiliyor.
Tarama Yapan IP’ler Yurtiçinden
Bugünlerde tarama yapan IP’lerin yurtiçinden olduğu belirtiliyor. Konunun USOM’un bilgisinde olduğunu ve istek gelen IP’leri blokladığını öğrendik. Ama saldırıya karşı “aktif koruma” anlamında ne yaptıklarını bilmiyoruz.
Uzmanlar, USOM’un ulusal çapta duyuru yaparak, bir tarama gerçekleştirmesinin ve firmalarla ve bireylere yardımcı olmasının, yol göstermesinin iyi olacağı düşüncesinde.
Gerçi bu saldırı “istatistik amaçlı” yani “Türkiye’de ne kadar açık IoT cihaz var” bilgisi için yapılmış da olabilir diyenler var ama konuyu haber yapmamızın amacı, bu konuda UYARI yapmak. Çünkü bilginin geldiği yer, ciddi büyüklükteki kurumlar ve bize de UYARI yapmamız için bilgi aktarıldı. Ayrıca istatistik amaçlı da olsa, izinsiz taramanın “suç” teşkil ettiği bilgisi verildi. Bu nedenle bu tür bir taramayı USOM’un 3-6 ay gibi aralıklarla ulusal çapta ve haberli yapması çok iyi bir yaklaşım olurdu.
Diğer yandan eğer bu bir saldırı hazırlığı ise, Türkiye’ye yönelik olabilir ya da global bir saldırı için Mirai Botnet’e Türkiye’deki cihazların eklenme çalışması olabilir. Ya da tarama yapılması, illa Türkiye’ye saldırı yapılacağı anlamına da gelmeyebilir. Türkiye’deki cihazların esir edilmesi (sızılması) zaten botnet kurumunda gerekli olan durum.
Saldırı tarihi ne olabilir diye sorulursa, belki sonbahar, belki de 1 yıl sonra.. Kimbilir?
Düşüncelerini sorduğumuz DGN Teknoloji Yönetim Kurulu Başkanı Dağhan Uzgür şöyle yorum yaptı:
“Yapılan bu tarama işlemleri, Türkiye içinden bir saldırı trafiği üretilmesi amacıyla gerçekleşiyor olabilir. Açık tespit edilen sistemler üzerinden Türkiye’de barınan sistemlere saldırı düzenlenmesi ve daha etkili olarak sistemlerin yavaşlatılması hedefleniyor olabilir. Bilindiği gibi dDOS saldırıları, yurtdışı trafiğini engellemek suretiyle durdurulabilir iken ülke içinden gelecek saldırılarda eğer servis sağlayıcı yeterli kapasiteye sahip değilse problem yaşanabilmektedir. Geçmişte bunun örneklerini gördük”
Uzgür’ün uyarısında önemli olan hususu bir güvenlik cihazı üreticisi firma da doğruladı. Türkiye’deki operatörlerin şu anda yurtdışından gelecek saldırılara karşı önlemi bulunuyor ama yurtiçindeki bir IP’den yurtiçine yapılacak saldırıyı önleyecek şekilde yapılanma yok. Bu konuyu da UYARI olarak hatırlatalım.
Bizim turk-internet.com olarak vatandaş internet kullanıcılarına tavsiyemiz ise çok basit, evinizdeki ve ofisinizdeki internete açık cihazlarınızı incelemeniz, güncellemeniz ve güvenlik uygulamalarını kullanmanız gerekli.
[1] Dünya Çapında Rekor Büyüklükte Bir Ddos Saldırısı Var
[2] Mirai Botnet’i Saldırısıyla Rekora İmza Attı, New World Hackers Bu Sadece Denemeydi Diyor
[3] Mirai’nin Yeni Varyasyonu Epey Korkutucu: 54 Saatlik DDoS Saldırılarına Sebep Olabiliyor
[4] Dikkat; D-Link, TP-Link, ZTE, Zyxel gibi Markaların 12 Milyondan Fazla Ev Router’unda Açık Var
[5] Bot aslında Robot’un kısaltılmış hali. Botnet ise robotlar ağı anlamına geliyor. Yani ele geçirilen bilgisayarlar, robot gibi kendilerinden isteneni yapıyor.




Kaynak : 