Güney Amerika ve Kuzey Afrika Ülkelerinde Yeni Mirai Saldırı Girişimleri Tespit Edildi

Birkaç gün önce, (Trend Micro tarafından ELF_MIRAI ailesi olarak saptanan) Mirai olarak bilinen ünlü Internet of Things (IoT) botnet’inin, Arjantin’i hedefleyen yeni bir saldırıda bulunduğu, 2323 ve 23 numaralı portlardaki trafikteki çoğalmanın ardından kırmızı bayraklarda artış olmasıyla tespit edildi.  Saldırı, Güney Amerika ve Kuzey Afrika’nın diğer bölgelerine de yayılmış görünüyor. Kolombiya, Ekvator, Panama, Mısır, Tunus’ta ve Arjantin’de Mirai’den kaynaklı bir aktivite artışı tespit ettik.

Bu yeni dalga ile ilgili olarak altı ülkeden veri topladık. 29 Kasım 02:00 UTC’den 29 Kasım’a 08: 00 UTC’ye kadar, yaklaşık 9,000 benzersiz IP adresinden gelen 371.640 saldırı girişimi tespit edildi. Kolombiya, Ekvator, Arjantin, Mısır ve Tunus, benzer modeller sergileyen ikinci saldırı girişimleri dalgası için ana hedef olarak ortaya çıktı. Panama istisna olarak saldırıları daha geç yaşadı ve bu saldırılar diğer ülkelere göre daha düşük sayıda gerçekleşti. Aşağıdaki grafik, birinci dalga (Arjantin) ve ikinci dalga (Kolombiya ve Panama) saldırılarının sıklığını karşılaştırmaktadır:

Şekil 1 ve 2: Birinci ve ikinci dalgalar için zaman çizelgesi ve saldırı frekansı (Tüm zamanlar UTC’de)

Grafiklerden de görülebileceği gibi, farklı saldırı girişimleri var. 22 Kasım’dan itibaren, UTC saat 16.00 civarında, Arjantin’i hedef alan ilk dalga görülebilir. Kampanya, 25 Kasım saat 1: 00 UTC civarında 1,000 saldırı denemesinin altına düşene kadar yavaşlamaya başladı. Saldırı girişimlerinin ikinci dalgası 29 Kasım saat 04: 00 UTC’de başladı. Bununla birlikte, Arjantin saldırılarının aksine, ikinci dalga çok daha eşit şekilde dağıtıldı, Kolombiya bu girişimlerin başında geldi. Saldırı girişimleri ilk önce 29 Kasım civarında zirveye ulaştı ve sonrasında yavaş yavaş azalmaya başladı. Saldırılar, Kolombiya’da en yüksek kaydedilen tek saatlik saldırı girişimleri (UTC 80.825, saat 07: 00’de) 1 Aralık 08:00 – 09:00 UTC’de tekrar yükseldi.

Ayrıca, saldırganların tekil IP adreslerini de izleyebildik. İlk saldırı girişimi dalgası için IP’ler Arjantin kaynaklıydı, bu da hedefin ve saldırganın çoğunlukla aynı bölgede bulunduğunu gösteriyor. İkinci dalgada da benzer bir model ortaya çıktı: Saldırganlar, ikinci dalganın odak noktası olan beş ana ülke arasında benzer şekilde dağıtıldı; Panama’da ise daha düşük gerçekleşti.

Şekil 3 ve 4: Benzersiz saldırı girişimleri Birinci ve ikinci dalgalar için IP sayısı (UTC’de tüm saatler)

Saldırı girişimlerinin sayısı Arjantin’e kıyasla daha az olmasına rağmen, saldırılar daha kapsamlıydı, Kolombiya’daki saldırı girişimi sayıları özellikle dikkat çekiciydi. Daha önce bahsedilen saldırıların artışına ek olarak, 29 Kasım 05:00 UTC’de bir saat içerisinde sayı 56.748’e kadar yükseldi. Buna karşılık, ilk girişim dalgası 22 Kasım 23: 00 UTC’de 24.716 ile zirveye ulaştı.

Hedeflere gelince, IP kameralar, dijital video kaydediciler (DVR’ler), ağ video kaydedicileri (NVR’ler) ve modemler de dahil olmak üzere çeşitli cihazlar bulmayı başardık. ZyXEL ve Dahua gibi çeşitli markalar da dahil olmak üzere bahsedilen tüm cihazların, saldırgan kimlik bilgileri kısmi listede görülebilir. Kolombiya’da bulduğumuz öne çıkan bazı kimlik bilgileri şunlardır:

Log-in Name Password Device
admin CenturyL1nk ZyXEL PK5001Z
admin QwestM0dem ZyXEL PK5001Z
root vizxv Dahua IPC-HFW4300S
root xc3511 Xiong Mai Technology IP cam, DVR, NVR
Wproot cat1029 Tenvis TH692 Outdoor P2P HD Waterproof IP Camera

Daha önceki dalgada olduğu gibi, saldırganlar ZyXEL modemlerini giriş noktası olarak kullanmayı deniyorlar ve Arjantin’i hedefleyen daha önceki saldırılarda görülmeyen diğer cihazlara da, özellikle de Tenvis TH692 Outdoor P2P HD Su Geçirmeyen IP Kameraya erişmeye çalışıyorlar. 1 Kasım’dan 1 Aralık’a kadar toplanan tüm kimlik belgelerini kontrol ettik, ancak 28 Kasım’dan önce “Wproot” (Tenvis TH692 Açık P2P HD Su Geçirmeyen IP Kameranın varsayılan hesabı) ile ilgili hiçbir ize rastlamadık. İzleme verilerimize göre, “Wproot” 29 Kasım saat 03: 00 UTC’de ilk kez ortaya çıktı.

Hala bu ülkelere gerçekleşen saldırıların sebebini ve iki dalganın birbirine bağlı olup olmadığını incelemeye devam ediyoruz. Bu saldırıları sürekli olarak izliyoruz ve güncel bilgilerden sizleri haberdar edeceğiz.

Bir cevap yazın

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.