ABD Ulusal Güvenlik Ajansı (NSA) tarafından yayınlanan ortak bir uyarıya göre, Rus devlet destekli bilgisayar korsanları, dünya genelindeki kritik altyapı sektörlerini hedef almak için güvenlik açığı bulunan ağ cihazlarını istismar ediyor. Özellikle Rusya Federal Güvenlik Servisi’nin (FSB) 16. Bölümüne bağlı olduğu belirtilen bu tehdit aktörleri, yanlış yapılandırılmış ve güncellenmemiş Cisco Smart Install cihazlarını kullanarak çeşitli endüstrilerdeki hedeflere sızıyor. NSA, bu grubu Berzerk Bear veya Dragonfly olarak takip ediyor.
Cisco ağ cihazları, kritik sistemlere derin erişim sağladıkları için son yıllarda devlet bağlantılı ve siber suç aktörlerinin sıkça hedefi haline geldi. Saldırılar, daha önce özellikle kullanım ömrü sona ermiş cihazlardaki güvenlik açıklarını hedef almıştı. Bunlar arasında CVE-2018-0171 olarak izlenen Cisco IOS ve IOS XE yazılımlarındaki hizmet reddi açığı ve CVE-2008-4128 olarak izlenen siteler arası istek sahteciliği (CSRF) açığı bulunuyor. FBI’ın 2025 tarihli bir uyarısına göre, Rusya destekli bu aktör, Basit Ağ Yönetim Protokolü’nü (SNMP) ve yamalanmamış eski cihazları hedef alarak ABD’deki binlerce cihazın yapılandırma dosyalarını topladı.
ABD’li yetkililer geçtiğimiz yıl kullanıcıları varsayılan şifreleri değiştirmeye, cihazları açık internetten kaldırmaya ve uzaktan erişimi güvence altına almaya çağırmıştı. Bu uyarılar, Berzerk Bear grubunun hedef aldığı zafiyetlerin büyük ölçüde temel güvenlik önlemlerinin alınmamasından kaynaklandığını gösteriyor. Özellikle endüstriyel kontrol sistemleri ve enerji şebekeleri gibi kritik altyapılarda kullanılan ağ cihazları, bu tür saldırılara karşı ekstra koruma gerektiriyor.
Sonuç ve Değerlendirme
İngiltere ve Avrupa Birliği yetkilileri Pazartesi günü bu tehdit faaliyetiyle bağlantılı olarak 24 kişi ve kuruluşa yaptırım uygulandığını duyurdu. Yetkililer, Rus istihbarat görevlilerinin siber suçluları bir dizi tehdit faaliyetine katılmak üzere işe aldığını belirtti. Bu yaptırımlar, Batılı ülkelerin Rusya’nın siber saldırılarına karşı mücadelede uluslararası işbirliğini artırdığının bir göstergesi.
Önemli Gelişmeler
İngiltere ve AB yetkilileri, bilgisayar korsanlarını Polonya’nın enerji şebekesine yönelik bir saldırıyla ilişkilendirdi. Saldırı başarısız olsa da yetkililer, başarılı olması halinde 500 bin kişinin elektriksiz kalabileceğini belirtti. Bu olay, kritik altyapılara yönelik siber saldırıların potansiyel yıkıcı etkisini gözler önüne seriyor. Enerji şebekeleri, su sistemleri ve ulaşım ağları gibi altyapılar, bu tür saldırılara karşı en savunmasız noktalar arasında yer alıyor.
Teknik Analiz
Geçtiğimiz ay FBI, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve uluslararası ortak kurumların katıldığı bir uyarıda, İngiltere’deki kritik altyapıyı hedef alan büyük saldırıların çoğunun devlet destekli bilgisayar korsanlarıyla bağlantılı olduğu belirtilmişti. Bu durum, siber tehditlerin giderek daha karmaşık ve devlet destekli hale geldiğini ortaya koyuyor. Kuruluşların, ağ cihazlarını düzenli olarak güncellemesi, güçlü kimlik doğrulama mekanizmaları kullanması ve ağ trafiğini sürekli izlemesi kritik önem taşıyor.
Kaynak: cybersecuritydive.com