ESET, sözkonusu faaliyeti ‘Plead’ makûs maksatlı yazılımının en etkin biçimde görüldüğü Tayvan’da tespit etti. Datalara nazaran bu yazılımın gerisindeki siber saldırganlar, ele geçirilmiş router aygıtlar yoluyla ‘ortadaki adam’ (MitM – Man in the Middle) akınlarını kullanarak, yasal ASUS Webstorage yazılımını amaç alıyor. Daha evvel Plead yazılımının makus maksatlı BlackTech kümesi tarafından maksatlı taarruzlarda kullanıldığı tespit edilmişti.
Güncelleme sırasında ortaya girebilirler
Tehdide ait araştırmayı şirketin güvenlik uzmanlarından Anton Cherepanov duyurdu. Cherepanov, durumu şöyle açıkladı: “ASUS Webstorage yazılımı bu üslup akınlara karşı savunmasızdır. Özetlemek gerekirse, yazılım güncellemesi HTTP kullanılarak istenir ve aktarılır. Sonrasında bir güncelleme indirilir ve bu güncelleme yürütülmeye hazır olduğunda, yazılım onu yürütmeden özgün olup olmadığını doğrulayamaz. Böylelikle saldırganlar güncelleme süreci sırasında ortaya girebilirlerse, makûs gayeli bir güncelleme yapılmasını sağlayabilirler.”
İlk amaç router aygıtları
Konuyla ilgili daha evvel gerçekleştirilen araştırmalara nazaran, Plead makus emelli yazılımı, savunmasız router aygıtlarını ele geçiriyor ve hatta bunları makus emelli yazılımın C&C (komuta-kontrol) sunucuları olarak kullanabiliyor.
“Araştırmamız, bu durumdan etkilenen kuruluşların birçoklarının birebir üretici tarafından üretilen router aygıtlara sahip olduğunu ortaya çıkardı. Dahası, bu aygıtların idare panellerine internetten erişilebilmektedir. Böylelikle, router aygıt düzeyinde bir ‘ortadaki adam’ saldırısının en muhtemel senaryo olduğuna kanaat getiriyoruz” diye ekledi Anton Cherepanov.
Cherepanov ayrıyeten şu tavsiyede bulundu: “Yazılım geliştiricilerinin mümkün müsaadesiz girişler için ortamlarını derinlemesine izlemekle kalmayıp, birebir vakitte ‘ortadaki adam’ akınlarına karşı dirençli olacak formda eserlerinde uygun güncelleme düzeneklerini uygulamaları hayli değerlidir.”
