Eleven11bot, Web Kameraları ve Video Kayıt Cihazlarını Tehdit Ediyor. Tahmini 30.000 web kamerası DDoS saldırısı tehditi altında.
Detaylar haberimizde
ABD başta olmak üzere, tahmini 30.000 web kamerası ve video kayıt cihazından oluşan yeni bir botnet keşfedildi. Nokia’nın güvenlik araştırmacıları, “Eleven11bot” olarak adlandırılan bu botnetin şimdiye kadar görülen en büyük hizmet engelleme (DDoS) saldırılarından birini gerçekleştirdiğini duyurdu.
Eleven11bot Nasıl Keşfedildi?
Eleven11bot, ilk olarak Şubat ayının sonunda Nokia’nın Derin Alan Acil Durum Müdahale Ekibi tarafından tespit edildi. Araştırmacılar, çok sayıda coğrafi olarak dağılmış IP adresinden gelen “aşırı yoğunluklu saldırılar” gözlemledi. O zamandan beri botnet, büyük ölçekli DDoS saldırıları düzenlemeye devam ediyor.
DDoS saldırıları, hedeflenen ağın veya internet bağlantısının tüm bant genişliğini tüketerek hizmetleri devre dışı bırakır. Eleven11bot’un gerçekleştirdiği saldırılar, saniyede 6,5 terabit gibi rekor bir veri akışıyla ölçüldü. Önceki rekor, Ocak ayında 5,6 Tbps olarak kaydedilmişti.
Botnet’in Yayılma Alanı ve Etkileri
Nokia güvenlik uzmanı Jérôme Meyer’in açıklamalarına göre, botnet’in oluşturduğu trafiğin büyük bir kısmı şu bölgelerden geliyor:
- ABD: %24,4
- Tayvan: %17,7
- İngiltere: %6,5
Eleven11bot, özellikle internet servis sağlayıcılarını ve oyun barındırma altyapılarını hedef alarak büyük çaplı kesintilere yol açıyor. Bazı saldırılar günlerce sürerken, bazıları hala devam ediyor.
Mirai Tabanlı Yeni Bir Tehdit mi?
Güvenlik firması Greynoise’un raporuna göre Eleven11bot, ünlü Mirai kötü amaçlı yazılım ailesinin bir çeşidi olabilir. 2016’da Mirai, on binlerce IoT cihazını enfekte ederek rekor seviyede DDoS saldırıları gerçekleştirmişti. Greynoise, Eleven11bot’un HiSilicon yongalarında çalışan TVT-NVMS 9000 dijital video kaydedicilerini enfekte ettiğini belirtti.
Çelişkili Raporlar: Gerçek Boyutu Ne Kadar?
Nokia, botnet’in yaklaşık 30.000 cihazdan oluştuğunu belirtirken, Shadowserver Foundation bu sayıyı 86.000’in üzerine çıkardı. Ancak Greynoise ve Censys gibi güvenlik firmaları, gerçek sayının 5.000’den az olabileceğini ileri sürüyor. Güvenlik araştırmacıları, kesin sayı üzerinde anlaşmaya varmak için çalışmalarını sürdürüyor.
Nasıl Korunabilirsiniz?
Mirai tabanlı botnet’ler, cihazları ele geçirmek için genellikle varsayılan kullanıcı adı ve şifreleri kullanarak oturum açmaya çalışır. Güvende kalmak için şu önlemleri alabilirsiniz:
- Cihazları Güvenlik Duvarı Arkasına Alın: IoT cihazlarınızı doğrudan internet üzerinden erişilebilir hale getirmeyin.
- Güçlü Parolalar Kullanın: Tüm cihazlarınıza güçlü ve benzersiz şifreler belirleyin.
- Güncellemeleri İhmal Etmeyin: Güvenlik yamalarını düzenli olarak uygulayın.
- Uzaktan Erişimi Sınırlandırın: Uzaktan yönetim özelliğini yalnızca gerektiğinde etkinleştirin.
Bu devasa botnet’in gelecekte nasıl bir tehdit oluşturacağı belirsizliğini korurken, güvenlik uzmanları yeni saldırı dalgalarına karşı tetikte olmaya devam ediyor.
DDoS Saldırısı Nedir?
Servis dışı bırakma saldırısı (İngilizce: Denial-of-service attack, DoS), internete bağlı bir barındırma hizmetinin hizmetlerini geçici veya süresiz olarak aksatarak, bir makinenin veya ağ kaynaklarının asıl kullanıcılar tarafından ulaşılamamasını hedefleyen bir siber saldırıdır. DoS genellikle hedef makine veya kaynağın, gereksiz talepler ile aşırı yüklenmesi ve bazı ya da bütün meşru taleplere doluluktan kaynaklı engel olunması şeklinde gerçekleştirilir. DoS saldırısını; bir grup insanın, bir dükkân veya işyerindeki kapıları tıkayıp, meşru tarafların mağazaya veya işletmeye girmesine izin vermeyerek normal işlemleri aksatması şeklinde örnekleyebiliriz.[1]
DoS saldırılarının failleri genellikle bankalar veya kredi kartı ödeme sistemleri gibi yüksek profilli web sunucularında barındırılan siteleri veya hizmetleri hedef alır. İntikam, şantaj[2][3][4] ve haktivizm[5] bu saldırıları motive edebilir.
Semptomlar ve Bulgular Nelerdir?
The United States Computer Emergency Readiness Team(US-CERT) DoS saldırılarının semptomlarını şu maddeler olarak tespit etmiştir:[13]
- Alışılmadık derecede yavaş ağ performansı (dosyaları açma veya web sitelerine erişme)
- Belirli bir web sitesinin kullanılamaması.
- Herhangi bir web sitesine erişememe.
- Alınan spam e-postaların sayısındaki belirgin artış (bu tür bir DoS saldırısı bir e-mail bomb olarak düşünülür).
Ek olarak semptomlar şunları içerebilir:
- Kablosuz veya kablolu internet bağlantısının kesilmesi.
- Web’e veya herhangi bir internet servisine uzun süre erişim reddi.
Saldırı yeterince büyük ölçekte yürütülürse, tüm coğrafi bölgedeki internet bağlantısını, yanlış yapılandırılmış veya zayıf ağ altyapı ekipmanları tarafından, saldırganın bilgisi veya amacı olmadan tehlikeye atılabilir.
Saldırıların Yan Etkileri Nelerdir?
Geri saçılım, bilgisayar ağı güvenliğinde sahte hizmet saldırılarının yan etkisidir. Bu tür bir saldırıda, saldırgan kurbana gönderilen IP paketlerine kaynak adresini yanıltır veya taklit eder. Genellikle, kurban makine sahte paketleri ve legal paketleri birbirinden ayırt edemez. Bu nedenle kurban sahte paketleri normalde olduğu gibi yanıtlar. Bu tepki paketleri geri saçılımcı olarak bilinir.[60]
Saldırgan kaynak adresini rastgele taklit ediyorsa, kurbandan gelen yanıt paketleri rastgele hedeflere gönderir. Bu etki bu gibi saldırıların dolaylı kanıtı olarak ağ teleskopları tarafından kullanılabilir.
“Geriye dönük analiz” terimi, DoS saldırılarının ve kurbanların özelliklerini belirlemek için IP adres alanının istatistiksel açıdan önemli bir bölümüne ulaşan geri saçılım paketlerini gözlemlemek anlamına gelir.
Güvende kalın, sistemlerinizi koruyun!
