Giriş
2024 yılında siber güvenlik araştırmacıları, Çin kökenli 'UAT-7810' olarak adlandırılan bir siber suç grubunun LONGLEASH adlı yeni bir zararlı yazılımı geliştirdiğini tespit etti. Bu malware, Operational Relay Box (ORB) olarak adlandırılan gizli bir komuta ve kontrol (C2) ağı oluşturmak amacıyla, internete açık olan ve yaması yapılmamış Ruckus marka yönlendiricileri hedef almaktadır. ORB ağları, saldırganlara kurban sistemlerinde uzun süreli erişim sağlayan ve veri sızdırma, fidye saldırıları veya diğer zararlı faaliyetler için kullanılabilen gizli sunuculardan oluşur.
Saldırının Arka Planı ve Hedefleri
UAT-7810 Grubu ve Faaliyetleri
UAT-7810 grubu, son yıllarda özellikle APAC (Asya-Pasifik) bölgesinde aktif olan ve devlet destekli olduğu iddia edilen bir siber suç örgütüdür. Grubun bilinen hedefleri arasında:
- Kritik altyapı sistemleri (enerji, su, ulaşım)
- Askeri ve savunma kuruluşları
- Telekomünikasyon şirketleri
- Finansal kurumlar
LONGLEASH malware'ının geliştirilmesi, grubun ORB ağlarını genişletme stratejisinin bir parçasıdır. Bu ağlar, saldırganlara kalıcı erişim sağlayarak uzun vadeli casusluk ve veri toplama faaliyetlerine olanak tanır.
Ruckus Yönlendiricilerin Hedef Seçilme Nedenleri
Ruckus yönlendiriciler, özellikle işletmeler ve kamu kurumları tarafından yaygın olarak kullanılan cihazlardır. Bu cihazların hedef alınmasının başlıca nedenleri:
- Yaygınlık: Ruckus cihazları, dünya genelinde milyonlarca kurumda kullanılmaktadır.
- Güvenlik Açıkları: Birçok kurum, cihazların firmware'lerini düzenli olarak güncellememektedir. Bu durum, CVE-2023-25717 gibi bilinen güvenlik açıklarının kullanılmasına olanak tanır.
- İnternet Açık Olması: ORB ağlarına erişim sağlamak için cihazların internete açık olması gerekmektedir. Ruckus cihazları, varsayılan ayarları nedeniyle sıklıkla bu şekilde yapılandırılmaktadır.
- Yönetim Arayüzüne Erişim: Cihazların yönetim arayüzlerine (genellikle TCP 80/443 portları üzerinden) erişim sağlamak, saldırganlara cihazın tam kontrolünü elde etme olanağı verir.
LONGLEASH Zararlı Yazılımının Teknik Detayları
İnfiltrasyon Yöntemi
LONGLEASH malware'ının bulaşma süreci aşağıdaki adımlardan oluşur:
- Keşif: Saldırganlar, internete açık Ruckus yönlendiricileri tespit etmek için port tarama (nmap, masscan) ve açık hizmet tespiti (Shodan, Censys) araçlarını kullanır.
- Kimlik Doğrulama: Varsayılan veya zayıf şifrelerle (örneğin, 'admin/admin') cihazın yönetim arayüzüne erişilir.
- Exploit Kullanımı: Cihazın firmware'indeki güvenlik açıklarından (örneğin, CVE-2023-25717) faydalanılarak uzaktan kod yürütme (RCE) gerçekleştirilir.
- Yerleşme: LONGLEASH malware'ı, cihaza kalıcı olarak yerleşir ve sistemde gizlenmek için çeşitli teknikler kullanır (örneğin, cron job'lar, sistem servisleri).
- ORB Ağına Bağlanma: Cihaz, saldırganların kontrolündeki bir ORB sunucusuna bağlanarak, diğer enfekte cihazlarla iletişim kurar.
Malware'ın Özellikleri
LONGLEASH malware'ının teknik özellikleri aşağıdaki gibidir:
| Özellik | Açıklama |
|---|---|
| İletişim Protokolü | HTTP/HTTPS üzerinden gizli kanallar kullanır. Veri aktarımı sırasında SSL/TLS şifrelemesi uygular. |
| Kalıcılık Mekanizması | Cihazın /etc/crontab dosyasına veya sistem servislerine (systemd, init.d) eklenir. |
| Veri Toplama | Enfekte cihazın ağ trafiğini izler, kullanıcı kimlik bilgilerini (örneğin, HTTP Basic Auth) ve diğer hassas verileri toplar. |
| Güncelleme Mekanizması | Saldırganlar, malware'ı uzaktan güncelleyebilir ve yeni komutlar gönderebilir. |
| Kaçınma Teknikleri | Sandbox ve antivirüs sistemlerinden kaçınmak için polimorfik kod ve anti-forensik teknikler kullanır. |
ORB Ağı Yapısı
ORB ağı, aşağıdaki bileşenlerden oluşur:
- Kontrol Sunucuları: Saldırganların komut gönderip veri aldığı merkezi sunucular.
- Relay Sunucular: Enfekte cihazlardan gelen trafiği yönlendiren ara sunucular.
- Proxy Sunucular: Kurbanların gerçek IP adreslerini gizleyen proxy'ler.
- Veri Depolama: Toplanan verilerin saklandığı gizli sunucular.
Saldırıdan Korunma ve Tespit Stratejileri
Önleyici Tedbirler
Aşağıdaki adımlar, LONGLEASH malware'ının ve benzer saldırıların önlenmesine yardımcı olacaktır:
- Cihaz Güvenliği:
- Firmware Güncellemeleri: Ruckus ve diğer ağ cihazlarının firmware'lerini düzenli olarak güncelleyin. Üretici tarafından yayınlanan güvenlik yamalarını uygulayın.
- Varsayılan Şifreleri Değiştirin: Cihazların varsayılan yönetici şifrelerini güçlü ve benzersiz şifrelerle değiştirin.
- Yönetim Arayüzüne Erişimi Sınırlandırın: Cihazın yönetim arayüzüne erişimi sadece güvenilir IP adresleri veya VPN üzerinden sınırlandırın.
- Güvenlik Duvarı Kuralları: İnternet trafiğini sadece gerekli portlara (örneğin, 80, 443) açın ve diğer portları kapatın.
- Ağ İzleme ve Tespit:
- IDS/IPS Sistemleri: Ağ trafiğini izleyerek anormal aktiviteleri (örneğin, beklenmedik HTTP/HTTPS bağlantılarını) tespit edin. Örnek araçlar: Snort, Suricata, Zeek.
- Log Analizi: Cihazların loglarını düzenli olarak inceleyin. Aşağıdaki komutlar yardımcı olabilir:
# Ruckus cihazlarında log inceleme (SSH üzerinden) cat /var/log/messages | grep -i "failed login" cat /var/log/secure | grep -i "authentication failure" # Ağ trafiği analizi (Wireshark kullanarak) wireshark -k -i eth0 -Y "http.request.method == POST and tcp.dstport == 443" - Sandbox Analizi: Şüpheli dosyaları izole edilmiş bir ortamda analiz edin. Örnek araçlar: Cuckoo Sandbox, Joe Sandbox.
- Eğitim ve Farkındalık:
- Çalışan Eğitimi: Personeli, phishing saldırıları ve zayıf şifre kullanımı konusunda bilinçlendirin.
- Sosyal Mühendislik Testleri: Düzenli olarak pentesting ve sosyal mühendislik testleri gerçekleştirin.
Uyarı: Ruckus cihazlarının yönetim arayüzüne erişim sağlayan portlar (genellikle 80 ve 443) açık bırakılmamalıdır. Bu portlar, saldırganların cihaza erişimini kolaylaştırır. Mümkünse, bu portlara sadece VPN üzerinden erişim sağlayın.
Tespit ve Müdahale Adımları
Eğer bir cihazın LONGLEASH malware'ı tarafından enfekte edildiğinden şüpheleniyorsanız, aşağıdaki adımları izleyin:
- Cihazı İzole Edin: Enfekte cihazı ağdan ayırın ve diğer sistemlerle bağlantısını kesin.
- Logları Toplayın: Cihazın loglarını ve ağ trafiğini toplayın. Bu veriler, saldırının kaynağını ve kapsamını belirlemek için kullanılacaktır.
# Ruckus cihazından logları dışa aktarma scp admin@ruckus-router:/var/log/messages ./ruckus_logs.txt scp admin@ruckus-router:/var/log/secure ./ruckus_secure_logs.txt - Firmware'i Sıfırlayın: Cihazın firmware'ini sıfırlayın ve en son güvenlik yamasını uygulayın. Üretici tarafından sağlanan sıfırlama talimatlarını izleyin.
# Ruckus cihazında firmware sıfırlama (varsayılan ayarlar) ruckus> enable ruckus# reset factory - Yönetici Şifresini Değiştirin: Cihazın varsayılan yönetici şifresini güçlü ve benzersiz bir şifreyle değiştirin.
- Ağdaki Diğer Cihazları Kontrol Edin: Enfekte cihazla aynı ağda olan diğer cihazları da inceleyin. Olası lateral hareketi tespit etmek için ağ taraması gerçekleştirin.
# Nmap ile ağ taraması nmap -sS -p 80,443,22,3389 192.168.1.0/24 - Olayı Raporlayın: Siber saldırıyı ilgili otoritelere (örneğin, BTK, CERT) raporlayın. Bu, saldırının daha geniş bir şekilde tespit edilmesine yardımcı olacaktır.
İleri Düzey Analiz ve Araçlar
Malware Analizi
LONGLEASH malware'ının derinlemesine analizi için aşağıdaki araçlar ve teknikler kullanılabilir:
- Statik Analiz:
# ELF dosyası analizinde kullanılan araçlar file longleash_malware strings longleash_malware | grep -i "http" objdump -d longleash_malware | less - Dinamik Analiz:
# Sandbox ortamında malware çalıştırma cuckoo submit longleash_malware - Network Analizi:
# Wireshark ile malware'ın ağ trafiğini inceleme wireshark -r malware_traffic.pcap -Y "http"
ORB Ağına Yönelik Taktikler
ORB ağlarını tespit etmek ve engellemek için aşağıdaki stratejiler uygulanabilir:
- DNS Taraması: ORB sunucularının IP adreslerini tespit etmek için DNS sorguları gerçekleştirin. Örnek komut:
nslookup orb-control-server.example - IP Kara Listeleme: ORB sunucularının IP adreslerini IP kara listelerine ekleyin. Örnek araçlar: FireHOL, Abuse.ch.
- Siber Tehdit İstihbaratı: ORB ağları hakkında bilgi edinmek için CTI (Cyber Threat Intelligence) platformlarından faydalanın. Örnek platformlar: MISP, AlienVault OTX.
Sonuç ve Öneriler
LONGLEASH malware'ının ve ORB ağlarının tehdidi, özellikle kritik altyapı ve kurumsal ağlar için ciddi bir risk oluşturmaktadır. Bu saldırılardan korunmak için:
- Düzenli güvenlik güncellemeleri ve yama yönetimi uygulayın.
- Ağ cihazlarının güvenliğini sağlamak için varsayılan ayarları değiştirin ve güçlü kimlik doğrulama mekanizmaları kullanın.
- Gelişmiş tehdit tespit sistemleri (EDR, XDR) kullanarak ağ trafiğini sürekli olarak izleyin.
- Çalışanları siber güvenlik konusunda eğitin ve sosyal mühendislik saldırılarına karşı bilinçlendirin.
Bu adımlar, LONGLEASH gibi gelişmiş malware'ların neden olduğu tehditlere karşı kurumların direncini artıracaktır. Unutmayın ki, siber güvenlik sürekli bir süreçtir ve tehditler sürekli olarak evrim geçirmektedir. Bu nedenle, güvenlik stratejilerinizi düzenli olarak gözden geçirin ve güncel kalın.



