- Malanta.ai, Endonezya’da devlet destekli operasyonlara benzeyen 14 yıllık bir siber suç altyapısını ortaya çıkardı
- Ağ, 320.000’den fazla alan adını, ele geçirilen hükümet alt alan adlarını ve binlerce kötü amaçlı yazılım yüklü Android uygulamasını kapsıyor
- Kampanya 50.000’den fazla kumar kimlik bilgisini çaldı, C2 için AWS ve Firebase’i kullandı ve bu durum ulus devlette şüphe uyandırdı
Güvenlik araştırmacıları, Endonezya’da 14 yılı aşkın süredir aralıksız çalışan devasa bir siber suç altyapısını ortaya çıkardı.
Operasyonun uzunluğu, dahil edilen alanlar, kötü amaçlı yazılım Ortalıkta dolaşıyor ve karaborsada satılan veriler o kadar büyüktü ki Malanta.ai adlı araştırmacılar, kampanyanın “basit” siber suçlularınkinden çok bir ulus devlet kampanyasına benzediğini söyledi.
Malanta yakın zamanda yayınlanan bir blogda şöyle dedi: “Basit kumar web siteleri olarak başlayan şey, web, bulut ve mobil platformlarda faaliyet gösteren küresel, iyi finanse edilen, gelişmiş, devlet destekli düzeyde bir saldırı altyapısına dönüştü.”
Hükümet işin içinde mi?
Rapora göre operasyon en az 2011’den beri aktifti. Operatörler, 90.000’den fazlası saldırıya uğramış ve ele geçirilmiş olanlar da dahil olmak üzere 320.000’den fazla alanı kontrol ediyordu. Ayrıca, tümü kullanıcıları yasa dışı kumar platformlarına yönlendirmek için kullanılan 1.400’den fazla tehlikeye atılmış alt alan adını ve 236.000 satın alınmış alt alanı da kontrol ediyorlardı.
Daha da kötüsü, ele geçirilen alt alan adlarından bazıları devlet ve kurumsal sunuculardaydı. Bazı durumlarda tehdit aktörleri, meşru devlet alan adlarındaki TLS bağlantılarını kesmek için NGINX tabanlı ters proxy’ler kullandı ve böylece C2 trafiklerini meşru devlet iletişimleri olarak gizlediler.
Ayrıca, kötü amaçlı yazılım ekosistemi var; araştırmacılar, kamu altyapısı aracılığıyla dağıtılan “binlerce” kötü amaçlı Android uygulaması buldu (Amazon Web Hizmetleri S3 paketleri).
Bu uygulamalar, meşru kumar platformları gibi görünerek, arka planda ele geçirilen cihazlara tam erişim sağlayan kötü amaçlı yazılımlar dağıtarak, düşürücü işlevi gördü. Arka kapılar komutlarını doğrudan başka bir kamu altyapısından alıyordu. GoogleFirebase Bulut Mesajlaşma hizmeti.
Bunun sonucunda kumar platformlarından 50.000’den fazla oturum açma bilgisi çalındı ve sayısız virüs bulaştı. Android cihazlarve karanlık ağda dolaşan ele geçirilen alt alanlar.
“Ya bu ekosistem yalnızca siber suçlardan ibaret değilse?” araştırmacılar spekülasyon yaptı.
Normalde bu altyapının arkasındaki kapsam, ölçek ve mali destek, genellikle devlet destekli tehdit aktörleriyle ilişkilendirilen yeteneklerle çok daha uyumlu hale gelir.
Aracılığıyla Siber güvenlik haberleri
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.