Kaspersky, IoT saldırılarını, bu saldırıların nasıl gerçekleştirildiğini ve nasıl önlenebileceğini keşfetmek için honeypot adı verilen, saldırganların dikkatini çekmek ve faaliyetlerini analiz etmek için kullanılan tuzak cihazlar kurdu. Kaspersky, kurduğu tuzak noktalarında CVE-2024-3721 güvenlik açığının bir botu konuşlandırmak için kullanıldığını tespit etti ve bunun bir Mirai botnet modifikasyonu olduğu ortaya çıktı. Botnet, saldırganın kontrolü altında koordineli kötü amaçlı faaliyetler gerçekleştirmek için kötü amaçlı yazılım bulaşmış cihazlardan oluşan ağlara verilen isim.
Bu kez saldırıların odağında dijital video kaydediciler (DVR) vardı. Bu cihazlar birçok sektörde güvenlik ve gözetimin ayrılmaz bir parçası olarak yer alıyor. DVR’lar kamu güvenliğini artırmak ve kritik altyapıyı güvence altına almak için evleri, perakende mağazalarını, ofisleri, depoları, fabrikaları, havaalanlarını, tren istasyonlarını ve eğitim kurumlarını izlemek için kameralardan gelen görüntüleri kaydetme işini üstleniyor. DVR cihazlarına yönelik saldırılar gizliliği tehlikeye atabilir. Ancak bunun ötesinde, saldırganların daha geniş ağlara sızması, kötü amaçlı yazılım yayması ve Mirai'de görüldüğü gibi DDoS saldırıları başlatmak için botnet oluşturması için giriş noktaları olarak hizmet edebilirler.
Keşfedilen DVR botu, güvenlik araştırmacıları tarafından kötü amaçlı yazılımları analiz etmek için yaygın olarak kullanılan sanal makine (VM) ortamlarını veya emülatörleri tespit etmek ve bunlardan kaçmak için mekanizmalar içeriyor. Bu teknikler botun tespit ve analizden kaçınmasına yardımcı olarak daha gizli çalışmasına ve virüslü cihazlarda aktif kalmasına olanak tanıyor.
Kaspersky GReAT Güvenlik Araştırmacısı Anderson Leite, şunları söylüyor: "Mirai botnetinin kaynak kodu yaklaşık on yıl önce internette paylaşıldı ve o zamandan bu yana, çoğunlukla DDoS ve kaynak ele geçirmeye odaklanan büyük ölçekli botnetler oluşturmak için çeşitli siber suç grupları tarafından uyarlanarak değiştirildi. Linux tabanlı sistemleri hedef alan kötü amaçlı yazılımların yaygın kullanımının yanı sıra, IoT cihazlarında ve sunucularında yama uygulanmamış bilinen güvenlik açıklarından yararlanmak, internette sürekli olarak bulaşacak cihaz arayan önemli sayıda botun ortaya çıkmasına neden olmaktadır. Halka açık kaynakları analiz ederek internette 50 binden fazla açık DVR cihazı tespit ettik. Bu da saldırganların yamalanmamış, savunmasız cihazları hedeflemek için çok sayıda fırsata sahip olduğunu gösteriyor."
IoT cihazlarının güvenlik riskini azaltmak için Kaspersky şunları öneriyor:
Varsayılan kimlik bilgilerini değiştirin ve güçlü, benzersiz parolalar kullanın.
Bilinen güvenlik açıklarını yamamak için DVR ürün yazılımını düzenli olarak güncelleyin.
Gereksizse uzaktan erişimi devre dışı bırakın veya yönetim için güvenli VPN'ler kullanın.
DVR'ları yalıtılmış ağlarda bölümlere ayırın.
Potansiyel tehlikeleri tespit etmek için olağandışı ağ trafiğini izleyin.
