Rus bilgisayar korsanları geçen yazdan bu yana dünya çapında binlerce ev ve küçük işletme yönlendiricisinin güvenliğini ihlal etti. Rusya'nın istihbarat servisleri tarafından düzenlenen siber saldırının temel amacı kimlik bilgilerini çalmak ve iletişimlere müdahale etmek. FBI, bilgisayar korsanlarına karşı koymak için bir yayından kaldırma operasyonu başlattı.
Ağustos 2025'ten beri çetenin korsanları Fantezi AyıAPT 28 veya Forest Blizzard olarak da bilinenler, dünya çapındaki yönlendiricilere yönelik saldırılarını artırıyor. Black Lotus Laboratuvarlarındaki araştırmacılara göre küçük grup çoğunlukla yönlendiricilere saldırıyor MikroTik ve TP-Link Uzun süredir güncellenmeyen eski. Hedeflerine ulaşmak için bilgisayar korsanları eski yönlendiricilerin işleyişindeki güvenlik açıklarından yararlanır. FBI'a göre, “kullanım ömrünü tamamlamış” yönlendiricilere yönelik siber saldırılar dünya çapında artıyor.
Ayrıca okuyun: Asus'ta uyarı: Bir botnet 14.000 yönlendiriciyi hackledi
Dünya çapında binlerce yönlendirici saldırıya uğradı
Microsoft, 01net'e gönderdiği basın açıklamasında 200'den fazla kuruluş ve 5.000'den fazla tüketici cihazı Rus siber suçluların kontrolüne geçti. Black Lotus ise 120 farklı ülkeye yayılmış 18.000 kurbandan bahsediyor. Dolayısıyla bu geniş çaplı bir operasyondur. Tarafından soruldu TechCrunchBirleşik Krallık Ulusal Siber Güvenlik Merkezi bir operasyondan bahsediyor “Muhtemelen ilk başta fırsatçıydı” güvenlik servisleri tarafından ilginç görülen bir avuç spesifik hedefe yavaş yavaş yeniden odaklanıldı bilgi Moskova'dan. Bu nedenle bireyler kendilerini yabancı devletleri hedef alan bir casusluk kampanyasının içinde bulabilirler. Devlet kurumları, kolluk kuvvetleri ve e-posta sağlayıcıları ana hedefler arasında yer alıyor. Microsoft ayrıca tespit edilen kurbanlar arasında BT, telekomünikasyon ve enerjiyi de öne çıkarıyor.
Yönlendiricilerin gizliliğini ihlal etmek, bilgisayar korsanlarının kendilerini kullanıcı ile bağlandıkları hizmetler arasına yerleştirmelerine olanak tanır. Yönlendiricinin güvenliği ihlal edildiğinde bilgisayar korsanları temel bir parametreyi değiştirir: Alan Adı Sistemi (DNS), bir sitenin adını ağ adresine çeviren görünmez dizin. Bu yapıldıktan sonra, Rus bilgisayar korsanları kurbanları, şifrelerini ve kimlik doğrulama jetonlarını çalmak için tasarlanmış sahte sitelere yönlendirebilir; bu geçici kodlar, çift kimlik doğrulama tarafından kullanılır.
“Bu yaklaşım, aktörün kurumsal ağlardan doğrudan ödün vermek zorunda kalmadan daha büyük, daha güvenli ortamlarda görünürlük kazanmasına olanak tanıyor”Microsoft'u bir blog yazısında şöyle açıklıyor: “Bu, Forest Blizzard'ın DNS ele geçirme işlemini büyük ölçekte kullandığı ilk kez gözlemleniyor”.
Bu, her türlü istismara açık bir kapıdır. Genellikle siber saldırılara karşı nihai savunma olarak sunulan çift kimlik doğrulama, bu nedenle DNS'de değişiklik yapılarak aşılabilir. Bilgisayar korsanlarının yerleştirdiği sahte sayfalar, orijinal sitelere çok benziyor. Aslında mağdur hiçbir şeyin farkına varmıyor. Black Lotus araştırmacıları ayrıca “neredeyse görünmez bir saldırı”dan da söz ediyor. “Kullanıcı etkileşimi yok”.
Ayrıca okuyun: Bir botnet'in akıllı telefonunuzu, PC'nizi, TV'nizi veya İnternet kutunuzu hacklediğini nasıl anlarsınız?
FBI tarafından sonlandırılan bir operasyon
Siber saldırıların hızlanmasından birkaç ay sonra Amerikalı yetkililer büyük bir karşı saldırı başlattı. 7 Nisan'da FBI güvenliği ihlal edilmiş yönlendiricileri etkisiz hale getirdi Rus bilgisayar korsanlarının kötü niyetli altyapısının kontrolünü ele geçirerek Amerikan topraklarında. “Maskeli Balo Operasyonu” adı verilen karşı saldırıda çetenin elinde bulunan çok sayıda mülk ele geçirildi. Amerika Birleşik Devletleri Adalet Bakanlığı'na göre araştırmacılar, yararlı verileri kurtarmak ve sağlıklı bir yapılandırmayı yeniden sağlamak için tasarlanmış bir dizi talimat geliştirdi. Bu talimatlar virüslü yönlendiricilere gönderilerek onları Fancy Bear'dan kurtardı. Talimatlar ayrıca bilgisayar korsanlarının daha sonra yönlendiricilerin kontrolünü yeniden ele geçirmesini de önlemelidir. ABD Adalet Bakanlığı bir açıklama yapıyor “Ciddi ve kalıcı bir tehdit” ve bir “Saldırganlığın devam etmesi”.
FBI, bir yönlendiricinin bir botnet tarafından saldırıya uğradığına dair çeşitli işaretler olduğunu açıklıyor. Yönlendiriciniz anormal şekilde ısınırsa, bağlantı kararsız hale gelirse ve anormal trafik algılanırsa güvenliği ihlal edilmiş olabilir. Şüphe duyduğunuzda FBI, yönlendiricinizin donanım yazılımını güncellemenizi (mümkünse), şifrenizi değiştirmenizi ve ardından cihazı yeniden başlatmanızı önerir. Hiçbir güncelleme sunulmuyorsa, zamanı geldiyeni bir yönlendiriciye yatırım yapın. Black Lotus araştırmacıları ayrıca kaldırılmasını da tavsiye ediyor “kişisel ve iş ağlarına yönelik kullanım ömrünün sonuna gelmiş tüm ekipmanlar”. Soru soran Amerikalı yetkililer için de aynı hikaye “artık yönlendiricinin güvenliğini sağlamak, donanım yazılımını güncellemek ve gerekirse değiştirmek tüm yönlendirici sahiplerine kalmış”.
👉🏻 Teknoloji haberlerini gerçek zamanlı takip edin: 01net'i Google'daki kaynaklarınıza ekleyin ve WhatsApp kanalımıza abone olun.
Bir yanıt yazın