Çevrimiçi Güvenlik Uzmanları Uyarıyor: Milyonlarca Cihaz Malware ile Enfekte Olabilir

Uzun bir süredir tehdit altında olan geniş bir yelpazedeki Sanal Özel Ağ (VPN) ve diğer ağ cihazları, geniş ağlara sızmaya çalışan tehdit aktörleri tarafından saldırı altında, uzmanlar uyarıyor. Tehdit izleme platformu The Shadowserver Foundation, Palo Alto Networks, Ivanti, SonicWall ve diğerlerinin oluşturduğu VPN’leri ve benzer cihazların şifrelerini tahmin etmeye çalışmak için yaklaşık 2,8 milyon farklı IP adresini kullanan kimsenin devam eden saldırısına dikkat çekti.

Zorla Giriş Saldırıları
Bu saldırıyı gerçekleştirmek için tehdit aktörleri, zayıf şifrelerden dolayı muhtemelen malware ile enfekte edilmiş veya kendilerine sızılmış olan MikroTik, Huawei, Cisco, Boa ve ZTE yönlendiricileri ve diğer internete bağlı cihazları kullanıyorlar. The Shadowserver Foundation’a konuşan BleepingComputer, saldırının son zamanlarda şiddetlendiğini belirtti. Bu 2,8 milyondan çoğu (1,1 milyonu) Brezilya’da bulunuyor ve geri kalan kısmı Türkiye, Rusya, Arjantin, Fas ve Meksika arasında bölünmüş durumda. Bu tip saldırılar, tehdit aktörlerinin büyük bir kullanıcı adı/şifre kombinasyonlarını göndererek bir cihaza girmeye çalıştığı tipik bir zorla giriş saldırısıdır. Zorla giriş saldırıları genellikle zayıf şifrelerle korunan cihazlara (büyük/küçük harf kombinasyonu, rakamlar ve özel simgeler içermeyenler) karşı başarılı olmaktadır. Tüm süreç otomatiktir ve daha büyük bir ölçekte mümkün kılar. Otomasyon kısmı, malware aracılığıyla mümkün kılınmaktadır. Genellikle, saldırıda kullanılan cihazlar bir botnetin parçası veya bir konut proxysi hizmetidir. Konut proxysi, internet servis sağlayıcıları (ISS’ler) tarafından gerçek cihazlara atanan IP adresleridir. Bu, kullanıcının bir veri merkezi yerine yasal bir konuttan geziniyormuş gibi görünmesini sağlar ve bu nedenle siber suçlular için büyük bir hedef oluşturur.