2000’e yakın sunucuyu tehdit altında bırakan botnet, şifreli paraların peşinde. Geçtiğimiz yılın sonlarında izi bulunan ve o zamandan beri güvenlik uzmanları tarafından takip edilen ve ‘Bondnet’ adı verilen botnetin yapılış amacı Monero, Bytecoin ve ZCash gibi şifreli paraları ele geçirmek. Bu yüzden akıllı cihaz tüketicileri yerine sunucuları takip ediyor.
Önce erişim sağlayıp sonra sistemle ilgili bilgileri ele geçirmek için dosya yükleyerek işe başlayan botnet, cihaz Çin sınırları dışındaysa kripto para birimi bulucuyu yükleyerek; Çin’de bulunuyorsa da korsan sunucuyla görevini tamamlıyor.
Botnetin barındırdığı tüm araçlar şifreli para takibinde değil: Bir kısmı tarayıcı hizmeti görüp IP takibi yaparak kıymetli bilgisayar avına çıkarken; başka bir bölümü de dosya sunucusu olarak yazılım peşinde.
İlgili haber >> Programlanabilir para bankaların sonunu getiriyor
Bilinen kötücül yazılım havuzunda bulamayacağınız botnet, çeşitli kod gizleme kombinasyonları ve girişi zor olan temel kodlama yöntemleri sayesinde güvenlik çözümleri tarafından bulunamıyor.
Uzmanların aynı temel kodlara rastlaması, define bulucu yazılımı da aynı kişinin yalnız olarak çalıştığını düşündürüyor. Korsana dair fikir yürütülen bir diğer şeyse Çin’de yaşaması: Sebebiyse, Bondnet’in kurbanlarını Çin’den seçmesi ve araçları içindeki kopyala-yapıştır kodları Çinli web siteden alması.
İlgili haber >> Mirai botneti artık kiralanabiliyor
2000’den fazla bot barındıran botnete her gün 200 tanesi eklense de bir o kadarı listeden çıkıyor. Uzmanlar bunu tehlikeli botu fark eden sunucuların kaldırmasıyla açıklıyor. Ya sunucu üzerindeki araçları yönetirken ya da daha büyük olasılıkla para işlerken dikkatleri üzerine çeken botnetin kurbanları geri çekilmekle kalmayıp sonrasında karşı harekete geçiyor. Buradan da botneti kaldırmanın güvenlik için yeterli olmadığını anlıyoruz.
Windows sunucularını hedef alan botnet, eski zafiyetler ve açıklar yoluyla ya da zayıf kullanıcı şifreleriyle ilerliyor. Help Net Security raporuna göre aralarında önde gelen şirket, kamu kurumları ve üniversitelerin de bulunduğu yaklaşık 15000 cihazın gizliliği ihlal edildi. Bunlardan çoğu Windows 2008 kullanıyordu. Uzmanlarsa kurumları bu tehlikeye karşı elektrik faturası artışından ibaret görmemeleri konusunda uyarıyor: Çünkü Bondnet, basit bir modifikasyonla bulaştığı sunucu üzerinde tam kontrol sağlayabilir. Hassas bilgiler içeren kurumların özellikle bu yönden dikkatli olması gerekiyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
[wysija_form id=”2″]