Amerika Birleşik Devletleri ve sekiz müttefik ülkenin siber güvenlik kurumları, Rus devlet destekli bilgisayar korsanlarının güvenlik açığı bulunan ve yanlış yapılandırılmış yönlendiricileri hedef alarak kritik altyapı ağlarına sızma girişimlerini artırdığına dair ortak bir uyarı yayınladı. NSA, FBI ve CISA'nın yanı sıra Avustralya, İngiltere, Kanada, Yeni Zelanda, Estonya, Finlandiya, Fransa ve İtalya'dan toplam 15 kurumun imzasını taşıyan ortak tavsiye belgesinde, saldırıların Rusya Federal Güvenlik Servisi'nin (FSB) 16. Merkez birimine bağlı olduğu belirtiliyor.
Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard ve Static Tundra gibi takma adlarla izlenen bu hacker grubu, internete bağlı IP adres aralıklarını tarayarak varsayılan veya yaygın SNMP (Basit Ağ Yönetim Protokolü) kimlik doğrulama dizelerini kabul eden yönlendiricileri tespit ediyor. Ardından sahte IP adresleri kullanarak komutlar gönderiyor, cihaz yapılandırma dosyalarını kopyalıyor ve Trivial File Transfer Protocol (TFTP) aracılığıyla bu dosyaları saldırganların kontrolündeki sunuculara aktarıyor.
FBI, Ağustos 2025'te aynı grubun Kasım 2021'den bu yana Cisco IOS ve Cisco IOS XE yazılımlarındaki Smart Install özelliğindeki kritik bir güvenlik açığını (CVE-2018-0171) kullanarak kritik altyapıları hedef aldığına dair ayrı bir uyarı yayınladı. Bu açık, saldırganların cihazlara uzaktan erişmesine ve yapılandırmalarını değiştirmesine olanak tanıyor. Enerji, iletişim, savunma sanayi üssü, sağlık, finansal hizmetler, devlet ve yerel yönetim hizmetleri en riskli sektörler arasında yer alıyor.
İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), '16. Merkez, varsayılan veya zayıf SNMP parolaları ve topluluk dizeleri kullanan cihazları tespit etmek için interneti tarayarak güvenlik açığı bulunan yönlendiricileri avlıyor. Öncelikli olarak SNMP taramalarını kullansa da Cisco cihazlarındaki bilinen güvenlik açıklarını, Cisco Smart Install (SMI) özelliğini ve web portal kusurlarını da istismar ediyor' açıklamasını yaptı.
Sistem Güvenliği
Siber güvenlik kurumları, ağ savunucularının bu saldırılara karşı ağlarını güçlendirmeleri için önlemler de yayınladı. Bunlar arasında SNMPv3'e yükseltme, Cisco Smart Install'ı devre dışı bırakma, güçlü benzersiz parolalar kullanma, uç güvenlik duvarlarında TFTP ve SNMP trafiğini engelleme, yazılım ve donanım yazılımını güncelleme ve kullanım ömrü dolmuş cihazları değiştirme yer alıyor. Bu önlemler, kurumların ağ cihazlarını güvenli hale getirerek saldırganların istismar edebileceği yüzeyi azaltmayı hedefliyor.
Nasıl Önlem Alınmalı?
Bu uyarı, uluslararası bir kolluk operasyonunun FrostArmada adlı ayrı bir kampanyayı bozmasının ardından geldi. APT28'e (Fancy Bear ve Forest Blizzard olarak da izlenen GRU birimi 26165'e bağlı Rus askeri istihbarat grubu) atfedilen FrostArmada, Aralık 2025 itibarıyla 120 ülkede 18.000 yönlendiriciyi enfekte etmişti. Hackerl, ele geçirdikleri MikroTik ve TP-Link SOHO yönlendiricilerinde DNS ayarlarını değiştirerek kimlik doğrulama trafiğini kendi sunucularına yönlendiriyor ve Microsoft 365 giriş bilgileri ile OAuth token'larını çalıyordu.
Kaynak: bleepingcomputer.com