AIRASHI Botnet
Cambium Networks'ün cnPilot yönlendiricilerindeki sıfır günlük bir güvenlik açığı, AIRASHI olarak bilinen bir AISURU botnet varyantını dağıtan siber suçlular için en son araç haline geldi. Haziran 2024'ten beri aktif olan bu kampanya, güçlü Dağıtılmış Hizmet Reddi (DDoS) saldırılarını düzenlemek için bu açığı kullanıyor. Güvenlik araştırmacıları, soruşturmalar devam ederken kötüye kullanımını sınırlamak için güvenlik açığı hakkında ayrıntıları sakladı.
İçindekiler
İstismar Edilen Güvenlik Açıklarının Tarihi
AIRASHI botnet'i tek bir saldırı vektörüyle sınırlı değildir. CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-8515, CVE-2022-3573, CVE-2022-40005, CVE-2022-44149, CVE-2023-287 ve AVTECH IP kameralarında, LILIN DVR'larında ve Shenzhen TVT cihazlarında bulunan diğer kusurlar dahil olmak üzere bir dizi güvenlik açığını silah olarak kullanır. AIRASHI, bu geniş yelpazedeki zayıflıkları kullanarak erişimini ve karmaşıklığını artırmaya devam ediyor.
DDoS Saldırı Yetenekleri: Daha Yakından Bir Bakış
AIRASHI'nin arkasındaki operatörler, botnet'lerinin DDoS yeteneklerinin test sonuçlarını Telegram'da yayınlayarak faaliyetleri konusunda çekingen davranmıyorlar. Tarihsel veriler, saldırı kapasitesinin 1-3 Tbps civarında sabitlendiğini gösteriyor. Coğrafi olarak, tehlikeye atılan cihazların çoğu Brezilya, Rusya, Vietnam ve Endonezya'da bulunuyor. Ancak hedefler, botnet'in zararlı operasyonlarının en fazla kesintiye neden olduğu Çin, Amerika Birleşik Devletleri, Polonya ve Rusya gibi bölgelerde yoğunlaşıyor.
AISURU'nun AIRASHI'ye Evrimi
AIRASHI, daha önce Ağustos 2024'te Steam'e yapılan ve Black Myth: Wukong oyununun piyasaya sürülmesiyle aynı zamana denk gelen yüksek profilli bir DDoS saldırısı sırasında tespit edilen AISURU botnetinden kaynaklanmaktadır. Eylül 2024'te faaliyetlerini geçici olarak durdurduktan sonra, botnet "kitty" kod adlı güncellenmiş özelliklerle yeniden ortaya çıktı ve Kasım ayında AIRASHI olarak daha da yenilendi.
Çift Amaçlı Bir Botnet: AIRASHI-DDoS ve AIRASHI-Proxy
AIRASHI iki farklı biçimde faaliyet göstermektedir:
- AIRASHI-DDoS : Ekim 2024 sonlarında tespit edilen bu varyant, DDoS saldırılarına odaklanıyor ancak yeteneklerini, keyfi komut yürütme ve ters kabuk erişimini de kapsayacak şekilde genişletiyor.
- AIRASHI-Proxy : Aralık 2024'te duyurulan bu varyasyon, proxy işlevselliği ekleyerek DDoS operasyonlarının ötesinde hizmetlerin çeşitlendiğinin sinyalini veriyor.
İletişim ve Şifrelemeyi Geliştirme
AIRASHI, güvenli ve verimli operasyonları garantilemek için HMAC-SHA256 ve CHACHA20 şifreleme algoritmalarından yararlanan yeni bir ağ protokolü kullanır. AIRASHI-DDoS 13 farklı mesaj türünü desteklerken, AIRASHI-Proxy beş mesaj türüyle daha akıcı bir yaklaşım kullanır. Ek olarak, botnet, DNS sorguları aracılığıyla Komuta ve Kontrol (C2) sunucusu ayrıntılarını almak için yöntemlerini dinamik olarak ayarlar.
Botnetler ve IoT Cihazları: Sürekli Bir Siber Tehdit
Bulgular, siber suçluların IoT cihazı güvenlik açıklarını sürekli olarak istismar ettiğini vurguluyor. IoT cihazları hem kötü aktörler için bir giriş noktası hem de sağlam botnet'ler oluşturmanın temeli olarak hizmet ediyor. Bu tehlikeye atılmış cihazları kullanarak, tehdit aktörleri DDoS saldırılarının gücünü artırıyor ve IoT ekosisteminde gelişmiş cihaz güvenliğine yönelik kritik ihtiyacı sergiliyor.
