C2 botnet altyapısı: kapsamı ve etkileri
Komuta ve kontrol (C2) altyapılarının ortadan kaldırılması, kolluk kuvvetlerinin IoT botnet'lerine karşı mücadelesine bir darbe daha vurmakla kalmıyor, aynı zamanda saldırganlar, ağ operatörleri ve en kötü anda kesintiye uğramamaya bağımlı hizmetler arasındaki güç dengesini de en azından geçici olarak değiştiriyor. Bu önemli çünkü sorun bir panel kapatıldığında sona ermiyor; çoğu zaman sadece evre değiştiriyor.
Komuta ve kontrol altyapısına karşı uluslararası operasyon
Amerika Birleşik Devletleri, Almanya ve Kanada'dan yetkililer müdahale ederek, büyük ölçekli saldırıları koordine etmek için Nesnelerin İnterneti (IoT) cihazlarını ele geçiren Aisuru, KimWolf, JackSkid ve Mossad botnet'lerinin kullandığı komuta ve kontrol (C2) altyapısını devre dışı bıraktı.
Operasyon, yalnızca izole sanal sunucularla sınırlı kalmadı. Alan adlarına, yönetim panellerine ve operatörlerin veri göndermesine olanak tanıyan teknik zincirin diğer noktalarına kadar uzandı. milyonlarca cihaza verilen siparişler Ele geçirildi. Bu üsten, Savunma Bakanlığı Bilgi Ağı (DoDIN) ile bağlantılı IP adresleri de dahil olmak üzere küresel hedeflere karşı yüz binlerce dağıtılmış hizmet reddi (DDoS) saldırısı başlatıldığı iddia ediliyor. Başka bir deyişle, bu sadece sorunlu bir ağ değil, hassas altyapı üzerinde gerçek bir baskı uygulayabilen operasyonel bir platformdu.
Mahkeme belgelerinde yazılanlar
ABD Adalet Bakanlığı'na göre, mahkeme kayıtları bu ağlara bağlı üç milyondan fazla cihazın (IP kameralar, video kayıt cihazları ve Wi-Fi yönlendiriciler dahil) ele geçirildiğini ve her bir botnet tarafından verilen saldırı emirlerinin sayısını şu şekilde belirtiyor: Aisuru, 200.000'den fazla; KimWolf, 25.000'den fazla; JackSkid, 90.000'den fazla; ve Mossad, 1.000'den fazla. Adalet Bakanlığı bunu kamuoyuna açıkladı..
Bu sayı, olayları daha iyi anlamamıza yardımcı oluyor, ancak tüm ele geçirilmiş cihazların eşit derecede değerli olduğu şeklinde yorumlanmaması önemli. Büyük ama istikrarsız bir botnet, kalıcılığı, iyi düğüm rotasyonu ve ne zaman saldıracağını bilen operatörleri olan daha küçük bir botnet ile aynı şey değildir. Bazen sorun sadece ilgili cihaz sayısı değil, o ağın belirli dönemlerde ne kadar kullanılabilir olduğudur.
Bildirilen trafik artışlarının önemi
Aralık ayında Aisuru, saniyede 31,4 Tbps ve 200 milyon istekle zirveye ulaştı; daha önce 29,7 Tbps'lik bir rekor kırmıştı ve Kasım ayında yaklaşık 500.000 IP adresinden 15,72 Tbps'ye ulaşan başka bir dalgayla bağlantılıydı. Bunlar çarpıcı rakamlar, evet, ancak önemli olan teknik başlık değil. Bunlar gerçekten de ciddi hizmet aksaması olmadan bir saldırıyı absorbe etmek veya savuşturmak için gerekli savunma eşiğini gösteriyor.
Bu ani artışlar meydana geldiğinde, tartışma "Tehlikeli mi?" sorusundan "Kim buna dayanabilir, ne kadar süreyle ve ne pahasına?" sorusuna kayar. Orta ölçekli operatörler veya daha az dağıtık mimariye sahip hizmetler için cevap her zaman kolay değildir. Böyle bir saldırının her şeyi çökertmediği, ancak hizmeti kesintili, öngörülemez veya bakımı çok pahalı hale getirdiği ortamlar vardır. Ve bu, operasyonel olarak, saldırgan için zaten kısmi bir zaferdir.
Bir botnet bu ölçekte faaliyet gösterdiğinde, tehdit tek seferlik bir olay olmaktan çıkar. Sistemik bir risk haline gelir: ağ tıkanıklığı, uzun süreli performans düşüşü, maliyetli önlemler ve teknik ekiplerin altta yatan güvenlik açığını ele almak yerine sorunları çözmekle meşgul olması.
Çalışma yönteminin teknik yorumu
Bu botnet'ler, IoT ortamlarında iyi bilinen bir kombinasyonu istismar etti: açık arayüzlere sahip cihazlar, varsayılan veya yamalanmamış kimlik bilgileri ve internetten erişilebilen yönetim yazılımları. Komuta ve kontrol (C2) altyapısı, ağın "beyni" olarak işlev görür: operatörden komutlar alır ve bunları, ele geçirilen her cihazda bulunan ajanlara dağıtılan eylemlere dönüştürür.
Bu kağıt üzerinde basit görünüyor, ancak pratikte asıl sorun genellikle dağınıklığın kalıcı olmasıdır. Unutulmuş bir yönlendirici, yıllar önce kurulmuş bir kamera, "hala çalışıyor" diye kimsenin güncellemediği bir kayıt cihazı. Bu ağlar işte burada süreklilik buluyor. Her düğümde kusursuz bir gelişmişliğe ihtiyaç duymuyorlar; rutin, ihmal veya envanter eksikliğinden kaynaklanan çok sayıda zayıf noktayla yetiniyorlar.
Dahası, açıklamalarda bahsedilen "siber suç hizmeti" modeli olan erişim pazarı, zararı daha da artırıyor. Yazılımın geliştiricisi dışındaki operatörler... kötü amaçlı yazılım Bu ağlara erişim kiralayarak şantaj veya yoğun saldırı kampanyaları başlatabilirler. Bu durum, ortamı önemli ölçüde değiştiriyor: Artık botnet'i yoğun bir şekilde istismar etmek isteyen tek bir gruba bağımlı değilsiniz, çünkü ağ bir hizmet haline geliyor ve dolaşıma giriyor. Onlar için daha karlı, diğer herkes için ise tahmin edilmesi daha zor.
Polis müdahalesinin operasyonel etkileri ve sınırları
The eliminasyon C2 sunucularına ve etki alanlarına müdahale etmek koordinasyonu bozar, yeni komutların verilmesini azaltır ve aktif saldırıları kontrol altına almak için bir tampon görevi görür. Bu çok değerli, gerçekten çok değerli. Ancak bunu fazla yorumlamamak önemlidir: kontrol katmanına müdahale etmek, enfekte olmuş cihazları otomatik olarak temizlemez veya enfeksiyona izin veren uygulamaları düzeltmez.
Bu tür operasyonları yorumlarken yapılan en yaygın hatalardan biri şudur: Merkezi komuta merkezinin çöktüğü için ekosistemin artık temiz olduğu varsayılır. Ancak durum böyle değildir. Sahipler aygıt yazılımını güncellemez, kimlik bilgilerini değiştirmez veya cihazlarının açıkta olduğunun farkında bile olmazlarsa, altta yatan sorun devam eder. Ve bu C2 komuta merkezi olmayan bir botnet, daha sonra farklı bir isim altında, farklı bir cihaz ağıyla yeniden ortaya çıkabilir.
İşlemde yer alan sektördeki şirketlerden biri olan Akamai, bu ağların kritik altyapı üzerindeki operasyonel etkisini vurguladı: temel hizmetleri çökertebilir, kullanıcı deneyimini bozabilir ve bulut tabanlı güvenlik çözümlerini aşırı yükleyebilirler. Bu nokta dikkat çekicidir çünkü her şey sadece daha fazla çevre savunması satın alarak çözülemez. Güvenlik önlemlerinin yardımcı olduğu durumlar vardır, ancak ortam kırılgan, kötü bölümlendirilmiş veya birkaç darboğaza bağlıysa, gerçek iyileştirme alanı sınırlı kalır.
Ne zaman müdahale etmek mantıklı olur ve sonrasında neler bekleyebilirsiniz?
Merkezi koordinasyonu bozduklarında, devam eden saldırıları azalttıklarında ve bu kontrole güvenen aktörler için operasyon maliyetlerini artırdıklarında adli ve teknik müdahaleler mantıklıdır. Özellikle botnet zaten sürekli hasara neden oluyorsa veya birden fazla suçlu müşteriye hizmet edecek kadar olgun bir altyapıya sahipse faydalıdırlar.
Onları kendi kendine yeterli bir çözüm olarak ele almak tavsiye edilmez. Bir kuruluş yalnızca "yetkililer zaten harekete geçti" fikrine odaklanırsa, aslında kontrol ettiği kısımlar söz konusu olduğunda geç kalmış demektir: envanter, ağ segmentasyonu, kimlik bilgisi yönetimi, uzaktan erişim ve gerçekçi yamalama. Çünkü tüm ekipmanlar aynı hızda güncellenemez ve tüm eski cihazlar temiz bir savunmayı desteklemez. Bazen doğru hamle "her zamanki gibi iş yapmaya devam etmek" değil, etkilenen sistemleri izole etmek, değiştirmek veya tamamen devre dışı bırakmaktır.
Satıcılar ve kuruluşlar için buradaki faydalı kriterler soyut değildir. IoT'yi geçici olarak yönetiyorlarsa, odak noktası riskleri azaltmak ve kimlik bilgilerini doğrulamak olabilir. IoT'ye sürekli olarak güveniyorlarsa (video gözetimi, ağ geçitleri, dağıtılmış sensörler, uç ağ iletişimi), minimum kontroller artık yeterli değildir: bazı risklerin tekrarlandığını kabul etmeleri ve sadece önleme değil, yanıtlar tasarlamaları gerekir. Ancak gereksiz olan, bu ekipmanı önemsiz çevre birimleri olarak ele almaya devam etmektir. Bu uygulama, bir botnet yaygınlaştığında genellikle maliyetli olur.
Bu operasyon, Aisuru, KimWolf, JackSkid ve Mossad'ın kampanya başlatma kapasitesini anlık olarak azaltıyor. İyi. Ancak operasyonel ders başka yerde yatıyor: Kötü yönetilen cihazlar var olduğu sürece botnet'ler ortadan kaybolmaz; sadece altyapılarını değiştirir, operatörlerini değiştirir veya farklı bir komuta yüzeyiyle geri dönerler. Bu da bizi anlık saldırıya daha az, sonrasında gelen disipline daha çok odaklanmaya zorluyor.
