ESET, sözkonusu faaliyeti ‘Plead’ berbat hedefli yazılımının en faal formda görüldüğü Tayvan’da tespit etti. Datalara nazaran bu yazılımın gerisindeki siber saldırganlar, ele geçirilmiş router aygıtlar yoluyla ‘ortadaki adam’ (MitM – Man in the Middle) akınlarını kullanarak, yasal ASUS Webstorage yazılımını amaç alıyor. Daha evvel Plead yazılımının berbat gayeli BlackTech kümesi tarafından maksatlı taarruzlarda kullanıldığı tespit edilmişti.
Güncelleme sırasında ortaya girebilirler
Tehdide ait araştırmayı şirketin güvenlik uzmanlarından Anton Cherepanov duyurdu. Cherepanov, durumu şöyle açıkladı: “ASUS Webstorage yazılımı bu stil ataklara karşı savunmasızdır. Özetlemek gerekirse, yazılım güncellemesi HTTP kullanılarak istenir ve aktarılır. Sonrasında bir güncelleme indirilir ve bu güncelleme yürütülmeye hazır olduğunda, yazılım onu yürütmeden orjinal olup olmadığını doğrulayamaz. Böylelikle saldırganlar güncelleme süreci sırasında ortaya girebilirlerse, berbat emelli bir güncelleme yapılmasını sağlayabilirler.”
İlk maksat router aygıtları
Konuyla ilgili daha evvel gerçekleştirilen araştırmalara nazaran, Plead makus gayeli yazılımı, savunmasız router aygıtlarını ele geçiriyor ve hatta bunları makûs emelli yazılımın C&C (komuta-kontrol) sunucuları olarak kullanabiliyor.
“Araştırmamız, bu durumdan etkilenen kuruluşların birçoklarının birebir üretici tarafından üretilen router aygıtlara sahip olduğunu ortaya çıkardı. Dahası, bu aygıtların idare panellerine internetten erişilebilmektedir. Böylelikle, router aygıt düzeyinde bir ‘ortadaki adam’ saldırısının en muhtemel senaryo olduğuna kanaat getiriyoruz” diye ekledi Anton Cherepanov.
Cherepanov ayrıyeten şu tavsiyede bulundu: “Yazılım geliştiricilerinin mümkün müsaadesiz girişler için ortamlarını derinlemesine izlemekle kalmayıp, birebir vakitte ‘ortadaki adam’ akınlarına karşı dirençli olacak halde eserlerinde uygun güncelleme sistemlerini uygulamaları epey kıymetlidir.”