Geçtiğimiz günlerde Cisco Talos araştırmacıları, nesnelerin internetine bağlı cihazları hedef alan ve VPNFilter olarak adlandırılan dev bir botnet ağına dair detaylı bir rapor yayınladı. Söz konusu botnetin tüketici odaklı ağ cihazları ve ağa bağlı depolama aygıtları başta olmak üzere, dünya genelinde 500 binden fazla cihaza sızdığı ifade ediliyor. Bu önemli tehdide dair kullanıcıları bilinçlendirmek adına, siber tehditlerle mücadelede işbirliği amacıyla kurulan Cyber Threat Alliance (Siber Tehdit İttifakı-CTA) üyesi Sophos olarak Sophos Kıdemli Teknoloji Uzmanı Paul Ducklin’in konuya dair detaylı analizini sizlerle paylaşıyoruz.
Cisco Talos araştırmacıları, geçtiğimiz günlerde VPNFilter adı verilen ve nesnelerin internetine bağlı cihazları hedef alan dev bir botnet ağına dair detaylı bir rapor yayınladı. Dünya genelinde 500 binden fazla cihazın VPNFilter taşıdığına dikkat çeken raporda, söz konusu cihazların çoğunu farklı üreticilerden gelen tüketici odaklı ağ yönlendiricilerinin ve ağ tabanlı depolama (NAS) cihazlarının oluşturduğu belirtiliyor.
Nesnelerin interneti (Internet of Things-IoT), genelde belli bir amacı yerine getirmek üzere tasarlanmış, internete bağlanabilme yeteneğine sahip, çoğu zaman küçük ve ucuz olması nedeniyle varlığını bile hissettirmeyen cihazlara verilen genel bir isim. Bu nedenle söz konusu cihazların normal bilgisayarların küçük bir kopyası olduğu gerçeği sıkça göz ardı ediliyor. Siber güvenlik söz konusu olduğunda IoT cihazlarına tasarımda, kurulumda ve kullanımda bir bilgisayar veya akıllı telefon gibi kadar özen gösterilmiyor.
Bu durum, sistemlerdeki açıklardan faydalanarak kullanıcı cihazlarının kontrolünü ele geçiren botnet ağlarının IoT cihazlarına özel bir ilgi göstermesine neden oldu. Botnet ağına dahil edilen bir sistem, kullanıcısının haberi olmaksızın botnet kontrolcüsüyle düzenli iletişim kuran ve emir bekleyen bir zombi cihaz haline dönüşüyor. Bu emirler sistemleri saldırılara açık hale getirecek zararlı yazılımların düzenli olarak indirilmesiden, binlerce sistemi aynı anda tek bir hedefe yönlendirerek ağ kaynaklarının tüketilmesine kadar farklı şekillerde ortaya çıkabiliyor.
Bir Komutla Ağ Cihazınızı Tuğlaya Çevirebiliyor
Tıpkı VPNFilter botnet ağında olduğu gibi, bazılarında da herhangi bir yakalanma riski belirdiğinde zararlı yazılımın kendini imha etmesini sağlayan, hatta bunu yaparken bulaştığı cihazı da çalışamaz hale getiren komutlar bulunuyor. Cisco’nun raporuna göre VPNFilter böyle bir durumda sadece kendini imha etmekle kalmıyor, cihazın flash belleğinin silinip bozulması riskini de gündeme getriyor. Çoğu ev tipi ağ yönlendiricisi açılış için flash belleğe yüklü açılış fonksiyonlarına ihtiyaç duyduğundan, cihazın içini açıp donanımı modifiye etmeden cihazı hayata döndürmek mümkün olmuyor. Cihaz adeta bir tuğlaya, kapı tutacağına dönüşüyor.
VPNFilter içinde otomatik güncelleme bileşenini yanı sıra, şifresiz ağlardaki veri akışını denetlemesini sağlayan bir ‘paket koklayıcı’ eklentisi de bulunuyor. SophosLabs olarak VPNFilteri’ incelediğimizde imha komutunun botu anında devre dışı bıraktığını, ancak flash belleği silmeye yarayan kodun mevcut olmasına rağmen aktifleşmediğini gördük. Tabii bu riskin hiçbir zaman gerçekleşmeyeceği anlamına gelmiyor.
Ne Yapmalı, Nasıl Korunmalı?
Yönlendiriciler ve diğer IoT cihazları, tasarımları gereği sürekli internete bağlı olan cihazlardır. Ev kullanıcılarına hitap eden yönlendiriciler aynı zamanda modem, kablosuz erişim noktası ve firewall görevi de görür. Genellikle kapalı bir tasarıma sahip olan bu cihazlar çoğu zaman dosyalarına erişmenize, yazılımına müdahale etmenize veya elle güncellemenize izin vermez. Bazı internet hizmet sağlayıcıları sizi kendi tercih ettikleri marka ve modele de bağlı kılabilir.
Bu nedenle bir an önce yönlendiricinizin sağlığını kontrol ederek işe başlamanızda fayda var. Bunun için şu adımları takip edebilirsiniz:
• Yönlendiricinizin üreticisine veya internet hizmet sağlayıcınıza başvurarak bir güncelleme olup olmadığını kontrol edin. Bu güncellemeler düzenli olarak yayınlansa bile çoğu zaman otomatik olarak cihaza indirilmez ve uygulanmaz. Erken güncelleyin, sık güncelleyin, saldırganlara fırsat vermeyin.
• İhtiyacınız yoksa yönlendiricinizin uzaktan yönetim özelliklerini kapatın. Çoğu ağ yönlendiricisi ayarlarının internet üzerinden kontrol edilmesine ve değiştirilmesine izin verir. Bu durum, özellikle varsayılan şifrelerin değiştirilmediği durumlarda sizi saldırılara olabildiğince açık hale getirir. İhtiyacınız yoksa bu özelliği kapatın.
• Varsayılan şifrenizi değiştirin, tahmin edilmesi güç şifreler belirleyin. Çoğu yönlendirici varsayılan bir şifreyle gelir ve ilk kullanımda bunu değiştirmeniz için sizi uyarma zahmetinde bulunmaz. Saldırganların elinde her marka ve model için detaylı bir varsayılan şifre listesi vardır ve işe ilk bunları deneyerek başlarlar. Değiştirmeyi ihmal etmeyin.
• Webde gezinirken mümkün olduğunca HTTPS protokolünü tercih edin. Bunu tarayıcınızın adres çubuğunda beliren yeşil kilit simgesinden anlayabilirsiniz. Böylece web sitesiyle iletişiminiz uçtan uca şifrelenecek ve herhangi bir sızmanın önüne geçilecektir.
Yaptığımız incelemeler çoğu ev tipi ağ yönlendiricisinde firmware tazelemenin, VPNFilter’in de temizlenmesini sağladığını gösteriyor. Cihazınız güncel olsa bile son firmware güncellemesini tekrarlamak güvende kalmanız adına faydalı olacaktır.
SophosLabs’ın VPNFilter’a dair detaylı analizini buradan indirmek mümkün.
