Teknolojix Haber
YAZILIM

Kurumsal e-Postaları bekleyen tehlike !

Qihoo 360 adlı çin merkezli güvenlik şirketi , gizli bir hacker ekibinin Aralık 2019’un başından beridir, Dünya’nın en büyük ADSL modem ve router üreticilerinden olan DrayTek firmasının, şirket ağları içinde FTP ve e-posta trafiğini izlediğini açıkladı. Yayınlanan raporda şirket, araştırmacılarının DrayTek Vigor’daki VPN ağ geçitlerinde bir güvenlik açığından yararlanan iki farklı tehdit aktörü tespit ettiğini söyledi.

Şirketin tespitlerine göre iki farklı grup mevcut. İlk hacker grubunun diğerine nazaran daha karmaşık olduğu belirlenmiş. Qihoo’ya göre hackerların, geçen yıl 4 Aralık’ta DrayTek cihazlarına oldukça karmaşık bir saldırı yaptığı radarlar tarafından tespit edilmiş. Qihoo, aynı grubun yönlendiricinin kullanıcı adı ve oturum açma alanındaki kötü amaçlı kodu gizlemek için DrayTek cihazlarının RSA şifreli oturum açma mekanizmasındaki bir güvenlik açığını kötüye kullandığını açıkladı.

 

hacker

 

Uzmanlar, hackerların 21 numaralı bağlantı noktası (FTP – dosya aktarımı), 25 numaralı bağlantı noktası (SMTP – e-posta), 110 numaralı bağlantı noktası (POP3 – e-posta) ve 143 numaralı bağlantı noktası (IMAP – e-posta) üzerinden gelen trafiği kaydeden bir komut dosyası kullandığını bildirdi. Qihoo araştırmacıları, bilgisayar korsanlarının neden FTP ve e-posta trafiği topladığını tahmin edemediklerini, ancak yapılan görüşmelerde, bir güvenlik araştırmacısı bunun klasik bir keşif operasyonu gibi göründüğüne dikkat çektikten sonra durumun açığa çıktığını söyledi.

 

hacker

 

Ek olarak, başka bir kaynaktan, grubun saldırı kampanyasının fark edilmediğinin ve diğer siber güvenlik firmaları tarafından gözlem altında tutulduğunun da anlaşıldığı bildirildi. Ancak grubun herhangi bir sunucu altyapısını veya kötü amaçlı yazılım örneğini bilinen başka bir bilgisayar korsanlığı grubuyla paylaşmadığı söylendi; bu nedenle şimdilik yeni bir grup gibi göründüğü paylaşıldı.

İkinci bir hacker grubu daha tespit edildi !

 

hacker

 

DrayTek cihazları Qihoo’nun ‘Saldırı Grubu B’ adını verdiği ikinci bir grup tarafından da kötüye kullanıldı. Bu grup farklı bir zamanda ortaya çıktı, ancak bilgisayar korsanları bunu kendileri keşfetmedi. Qihoo’ya göre, bilgisayar korsanları bu ikinci saldırıyı, belirli yönlendiricilerde arka kapı hesapları oluşturmak için “rtick” işlemindeki bir hatadan yararlanarak gerçekleştirdi. Bu hesaplarla ne yaptıkları ise hala tam olarak bilinmiyor. Şirket, konuyla ilgili araştırmalarını sürdürmeye ve yeni bilgiler yayınlamaya devam ediyor.

Related posts

Gaming Dünyasının merkezine bir bakış – Unreal Engine Nedir?

Özge Kandemir

Akıllı telefon kullanıcıları dikkat!

Fatih Akgün

Whatsapp ve Facebook’a soruşturma Rekabet Kurulundan

Yorum Yap