Şüphesiz ki açık kaynak yazılım, her yerde geliştiricilere büyük bir nimet olmuştur. Ticari yazılım dünyasında bir tür tehdit olarak görülen açık kaynak, Linux, Apache ve Firefox gibi popüler platformların gücü sayesinde ana akım bir saygınlık kazandı. Ticari geliştiriciler, esneklikleri, maliyet tasarrufu ve büyük açık kaynak topluluğunun desteği nedeniyle açık kaynak bileşenlerini geniş bir şekilde benimsemişler.
Ancak birçok teknoloji başarısı gibi, açık kaynağın da bir karanlık yüzü vardır. Açık kaynağın temel prensibi, herkesin herhangi bir amaçla ücretsiz olarak kullanabilmesidir . Çoğu durumda tamamen iyi niyetli amaçlarla. Ancak her zaman böyle olmuyor.
Mirai aynak kodu 30 Eylül 2016’da yayımlandı ve hızla IoT’leri hedefleyen kötü amaçlı yazılımların temeli haline geldi. IoT ağları ve cihazları hızla yayıldı 2017 sonuna kadar tahmini olarak 27 milyar cihaz bağlanmıştı. Her şeyi bağlamak ve toplanan verinin gücünü açığa çıkarmak için acele edilirken, güvenlik genellikle göz ardı edilmiş ve IoT cihazları genellikle notorik derecede savunmasız hale gelmişti. Sonuç olarak bunlar sonunda bağlandıkları kurumsal ağlara giriş yapmak isteyen hacker’ların favori hedefi haline gelmişti. Açık kaynak Mirai kodu etrafında oluşturulan kötü amaçlı yazılımlar, otomatik, solucan benzeri yöntemlerle yüzlerce cihazı hızla IoT botnetlerine komuta edebilir ve bunları barındıran kuruluş içinde ve dışında saldırılar başlatmak için kullanabilirler.
NETSCOUT’un Yıllık Tehdit İstihbaratı Raporu’nda, IoT botnet yazarlarının en az beş bilinen değişkeni Mirai’yi kullanmak için kullandığını belirtildi. Örneğin, Satori, Mirai kodunu geliştirmek için uzaktan kod enjeksiyonu açıklarını kullanır. JenX’in yazarları ise koddan bazı özellikleri kaldırdı ve tarama ve istismar için dış araçlara dayanıyorlar.
OMG da Mirai mirası arasına katıldı. OMG, enfekte IoT cihazının bir HTTP ve SOCKS proxy olarak işlev gösteren yeni bir özellik ekler. Bu proxy özelliği, enfekte IoT cihazının orijinal ikiliyi güncellemeye gerek kalmadan yeni güvenlik açıklarını veya ek saldırıları tarayabilmesine olanak tanır. IoT cihazının türüne ve nasıl bağlandığına bağlı olarak, bot yazarı, enfekte IoT cihazına bağlı özel ağlara geçiş yapabilir. Yani, bir organizasyonun kendi IoT cihazları, kendi ağlarına karşı saldırılar başlatmak için kullanılabilirler.
Mayıs 2018’de Netgear yönlendiricileri ve CCTV-DVR cihazlarını hedefleyen Wicked adlı başka bir değişken ortaya çıktı. Mirai’nin en yeni türevi IoTrojan ise Huawei HG532 yönlendiricilerinde uzaktan kod yürütme açığından faydalandı.
Açık kaynak kodlu kötü amaçlı yazılımı kullanmak ve değiştirmek yeni bir şey değil ve yalnızca Mirai ile sınırlı değil. Örneğin, geçen ay VPNFilter IoT kötü amaçlı yazılımı, 54 ülkede yarı milyon yönlendiriciyi enfekte ettikten sonra oyunu bir üst seviyeye taşıdı. VPNFilter, Linksys, MikroTik, NETGEAR, TP-Link ve QNAP ağ cihazlarını etkileyen ve Rus hacker’lara bağlnan Black Energy kötü amaçlı yazılımdan alınan bir yazılım tarafından geliştirldi.
VPNfilter yazılımının amacı sadece kompromize edilmiş IoT cihazı bir DDoS saldırısı başlatmak için kullanmak değildir. VPNFilter kötü amaçlı yazılımı, ilk enfeksiyondan sonra başlangıçta yapılan işlemlerden sonra çok sayıda üçüncü aşama işlemi kullanır. VPNFilter’ın işlevlerinden biri, enfekte cihaza bağlı bir ağda ağ verilerini ‘dinleyerek’ Man-in-the-middle saldırısı yapmaktır ve kimlik bilgilerini, denetimi ve verileri toplar. Veriler daha sonra şifrelenir ve Tor ağı üzerinden çıkarılır. Aynı zamanda sonraki saldırıların kaynağını gizlemek için bir başlangıç noktası olarak görev yapabilir.
IoT cihazları çoğaldıkça, IoT botnetlerinin gelişmesini ve yayılmasını bekleyebiliriz; sadece sıradan hacktivistler tarafından değil iyi organize olmuş ulusal devlet APT grupları tarafından kullanılmak üzere. En azından IoT ağlarının operatörlerinin en temel cihaz açıklarını kapatmak için yamalar ve güncellemeler etrafında politikalar oluşturması ve en iyi uygulamaları izlemesi kritiktir. Bunun ötesinde, IoT botnetlerinin sahip olduğu büyük gücün farkında olan güvenlik profesyonelleri, ağlarının her köşesinde yaygın bir görünürlüğe sahip olmalı ve hem gizlice hem de brute force yapılan saldırıları tespit edebilen ve engelleyebilen çok katmanlı DDoS savunmaları dağıtmalıdır. Ekipler ayrıca IoT botnet fenomenini daha iyi anlamak ve bir saldırının şekil almaya başladığını tanımak için küresel bir tehdit istihbarat kaynağına sahip olmalıdır.
İlaç kimyasının hem hayat kurtaran mucizeleri hem de ölümcül uyuşturucuları ürettiği gibi, açık kaynak hareketi de istenmeyen sonuçlarla gelmemiştir. Kötü niyetli saldırganlar kötü niyetli oldukları kadar zekidir ve ticaretin günlük etkileşimin giderek daha fazla bağımlı olduğu ağları kullanmak için mevcut her türlü aracı kullanacaklardır. IoT botnet tehdidine karşı korunmak için dikkat ve güçlü bir savunma pozisyonu gereklidir.
Kaynak: netscout.com