Rus Devleti Destekli Hack Grubu Dünya Genelinde Güvenlik Açığı Bulunan Yönlendiricileri Hedef Alıyor Yazılım

Rus Devleti Destekli Hack Grubu Dünya Genelinde Güvenlik Açığı Bulunan Yönlendiricileri Hedef Alıyor

Rus devlet destekli siber birim Center 16, dünya genelinde zayıf SNMP şifreleri kullanan yönlendiricileri tarıyor. 12 ülke ortak uyarı yayımladı.

On iki ülkenin siber güvenlik ajansları, Rusya Federal Güvenlik Servisi (FSB) bünyesindeki Center 16 kod adlı siber birimin, dünya genelinde güvenlik açığı bulunan yönlendiricileri hedef aldığına dair ortak bir uyarı yayımladı. Bu birim, daha önce Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard ve Static Tundra gibi isimlerle de anılmıştı.

Ortak uyarıya göre, Center 16 aktörleri, interneti tarayarak hâlâ varsayılan veya zayıf SNMP (Simple Network Management Protocol) parolaları ve topluluk dizgileri kullanan cihazları tespit ediyor. Özellikle SNMPv1 ve SNMPv2 protokollerini kullanan yönlendiriciler, topluluk dizgilerini düz metin olarak ilettiği için ağ dinleme saldırılarına karşı savunmasız kalıyor.

Saldırganlar, geçerli bir topluluk dizgisi elde ettiklerinde, nesne tanımlayıcıları (OID) kullanarak yönlendiriciye yapılandırma dosyalarını kopyalamasını ve TFTP (Trivial File Transfer Protocol) üzerinden göndermesini emredebiliyor. Bu dosyalar daha sonra tehdit aktörünün kiraladığı bir sanal özel sunucuya veya ele geçirilmiş bir FTP sunucusuna aktarılıyor.

Sonuç ve Değerlendirme

Uyarıda, en çok risk altındaki sektörler arasında iletişim, savunma, enerji, finansal hizmetler, devlet ve sağlık hizmetleri sayılıyor. Bu sektörlerdeki kuruluşların, SNMPv3'e geçerek kimlik doğrulama ve şifreleme özelliklerinden yararlanmaları öneriliyor. Ayrıca, Cisco cihazlarında bilinen güvenlik açıklarının da istismar edildiği belirtiliyor.

2025 yılında Cisco, yedi yıllık bir güvenlik açığının (CVE-2018-0171) Center 16 tarafından istismar edildiğini duyurmuştu. Bu açık, Cisco cihazlarının Smart Install özelliğinde bulunuyor ve yamalanmamış veya kullanım ömrü sona ermiş cihazları etkiliyor. Kullanıcılara, bu açığı kapatmak için yamayı uygulamaları veya Smart Install'ı devre dışı bırakmaları önerildi.

Nasıl Önlem Alınmalı?

Ortak uyarı, bu Rus tehdit aktörünün kullandığı taktik, teknik ve prosedürlerin (TTP), Çin bağlantılı Slat Typhoon grubununkilerle örtüştüğünü de ortaya koyuyor. Uyarıya Avustralya, Kanada, Çek Cumhuriyeti, Danimarka, Estonya, Finlandiya, Fransa, İtalya, Yeni Zelanda, Polonya, İsveç, İngiltere ve ABD'den ajanslar imza attı.

Bu uyarıyla eş zamanlı olarak, İngiltere ve Avrupa Birliği (AB), 2025 sonlarında Polonya'nın enerji altyapısını hedef alan koordineli siber saldırıları resmen FSB Center 16'ya atfetti. İngiltere hükümeti, saldırının başarısız olmasına rağmen 500 bin vatandaşın kış ortasında elektriksiz kalmasına yol açabileceğini belirtti. AB ve İngiltere, bu saldırıların ardından 24 kişi ve kuruluşa yaptırım uyguladı.

Sistem Güvenliği

İngiltere ayrıca, Lumma Stealer adlı kötü amaçlı yazılımın arkasındaki kişilere de yaptırım kararı aldı. Lumma Stealer, çalıntı kimlik bilgilerini kullanarak Rusya'nın siber casusluk operasyonlarına destek sağlıyor. Ulusal Suç Ajansı'na göre, son altı ayda Birleşik Krallık'ta en az 2100 Lumma Stealer mağduru tespit edildi.

Kaynak: infosecurity-magazine.com

Paylaş: