Rus Devleti Hackerları Dünya Çapında Güvenlik Açığı Olan Yönlendiricileri Hedef Alıyor: Ortak Uyarı Yazılım

Rus Devleti Hackerları Dünya Çapında Güvenlik Açığı Olan Yönlendiricileri Hedef Alıyor: Ortak Uyarı

12 ülke, Rus FSB Center 16'nın zayıf SNMP şifreleriyle dünya çapında yönlendiricileri hedef aldığını duyurdu. Enerji, sağlık ve iletişim sektörleri ri

12 ülkenin siber güvenlik ajansları, Rus devlet destekli bir siber birimin dünya çapında güvenlik açığı bulunan yönlendiricileri hedef aldığına dair ortak bir uyarı yayınladı. Uyarı, Rus Federal Güvenlik Servisi (FSB) bünyesindeki Center 16 biriminin, internette hala varsayılan veya zayıf SNMP (Basit Ağ Yönetim Protokolü) parolaları kullanan cihazları tarayarak güvenlik açığı olan yönlendiricileri avladığını ortaya koydu. Center 16, Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard ve Static Tundra gibi isimlerle de biliniyor.

Saldırılardan en çok etkilenen sektörler arasında iletişim, savunma, enerji, finansal hizmetler, devlet ve sağlık hizmetleri yer alıyor. Ajanslar, bu sektörlerdeki kuruluşları acil önlem almaya çağırıyor. Özellikle SNMPv3 kullanımı öneriliyor çünkü bu protokol, yönetim trafiğini müdahale ve kurcalamaya karşı koruyan yerleşik kimlik doğrulama ve şifreleme özellikleri sunuyor. SNMPv1 ve SNMPv2, düz metin olarak iletilen topluluk dizelerine (community strings) dayandığı için ağ dinleme saldırılarına karşı savunmasız.

Saldırganlar, geçerli bir topluluk dizesi elde edip SNMP erişimi sağladıklarında, Nesne Tanımlayıcıları (OID'ler) kullanarak yönlendiriciye yapılandırmasını kopyalamasını ve Trivial Dosya Aktarım Protokolü (TFTP) üzerinden göndermesini emredebiliyor. Bu sızdırılan dosyalar daha sonra tehdit aktörü tarafından kiralanan bir sanal özel sunucuya (VPS) veya ele geçirilmiş bir dosya aktarım protokolü sunucusuna gönderiliyor. Zayıf SNMP şifrelerini taramanın yanı sıra, Rus tehdit aktörünün Cisco cihazlarındaki yaygın güvenlik açıklarını ve maruziyetleri (CVE) de zaman zaman istismar ettiği biliniyor.

2025 yılında Cisco, Center 16/Static Tundra'nın, yamalanmamış ve genellikle kullanım ömrü sona ermiş Cisco cihazlarının Smart Install özelliğindeki yedi yıllık bir güvenlik açığını (CVE-2018-0171) istismar ettiğini uyardı. Müşterilere CVE-2018-0171 için yama uygulamaları veya yama mümkün değilse Smart Install'ı devre dışı bırakmaları çağrısı yapıldı. Yama ilk olarak 2018'de yayınlanmıştı. Ortak güvenlik uyarısı, bu Rus tehdit aktörünün kullandığı taktik, teknik ve prosedürlerin (TTP'ler), Çin bağlantılı Slat Typhoon gibi diğer gruplarla örtüştüğünü belirtiyor.

Nasıl Önlem Alınmalı?

Uyarı, Avustralya, Kanada, Çek Cumhuriyeti, Danimarka, Estonya, Finlandiya, Fransa, İtalya, Yeni Zelanda, Polonya, İsveç, Birleşik Krallık ve ABD'den ajanslar tarafından ortaklaşa hazırlandı. Ortak uyarının yayınlanmasıyla eş zamanlı olarak, 2025 sonlarında Polonya'nın enerji altyapısını hedef alan koordineli siber saldırıların resmen FSB Center 16'ya atfedildiği açıklandı. Birleşik Krallık hükümeti, 'Bu pervasız saldırı başarısız oldu ancak kışın ortasında 500 bin vatandaşın elektriksiz kalmasına neden olabilirdi. Bu, Rus devletinin Avrupa'da kaos yaratmaya yönelik sorumsuz girişimlerinin bir başka örneği' ifadelerini kullandı.

AB ve Birleşik Krallık, Rus istihbarat servisleriyle bağlantılı vekil ağlarındaki siber suçlular da dahil olmak üzere yıkıcı siber ve hibrit operasyonların arkasındaki 24 kişi ve kuruluşa yönelik ortak bir yaptırım paketi açıkladı. Birleşik Krallık ayrıca Lumma Stealer'ın arkasındaki kişilere de yaptırım uyguluyor. Birleşik Krallık hükümeti, Rusya'nın Lumma Stealer'ın çaldığı kimlik bilgilerini, Kremlin'in hedeflerini desteklemek için dünya çapındaki hedeflere karşı siber casusluk operasyonları yürütmek için kullandığını belirtti. Ulusal Suç Ajansı'na göre, son altı ay içinde Birleşik Krallık'ta en az 2100 Lumma Stealer mağduru oldu.

Kaynak: infosecurity-magazine.com

Paylaş: