ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Rusya devlet destekli bilgisayar korsanlarının ev ve küçük ofis yönlendiricilerini hedef aldığını duyurdu. Pazartesi günü yayınlanan ortak bir tavsiyede, Rusya Federal Güvenlik Servisi'ne (FSB) bağlı Center 16 olarak bilinen siber aktörlerin, dünya genelinde kötü yapılandırılmış ve güvenlik açığı bulunan ağ cihazlarını istismar ederek kritik altyapı ağlarına sızdığı belirtildi. Uyarı, Avustralya, Danimarka, Yeni Zelanda ve İngiltere dahil olmak üzere birçok ülkenin siber güvenlik kurumlarıyla ortaklaşa yayınlandı.
FSB Center 16, Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard ve Static Tundra gibi çeşitli isimlerle takip edilen hack gruplarını yönetiyor. Bu gruplar, yıllardır yönlendiricileri ele geçirmek için yarışıyor; bazen diğer grupların kontrol ettiği cihazları ele geçirmek için uzun süreli mücadelelere girişiyor. ABD hükümeti zaman zaman gizli emirler vererek yönlendiricileri temizlerken, Google gibi şirketler de ele geçirilmiş cihazlardan oluşan devasa botnetleri dağıtmak için çalışıyor. Ancak bu çabalar, operatörlerin botnetlerini yenileriyle değiştirmesi nedeniyle 'çomak sokma' oyunundan öteye gitmiyor.
Saldırganların temel yöntemi, Basit Ağ Yönetim Protokolü (SNMP) kullanan, varsayılan veya zayıf kimlik bilgilerini kabul eden cihazları taramak. SNMP, ağ yöneticilerinin yönlendiriciler gibi cihazları yönetmesine ve yapılandırmasına olanak tanır, ancak yanlış yapılandırıldığında ciddi güvenlik riskleri oluşturur. Korsanlar, sahte IP adreslerinden kötü amaçlı trafik göndererek, SNMP ajanını kullanarak yönlendiriciye kötü amaçlı yazılım bulaştırabiliyor. Bu sayede cihazı botnet'in bir parçası haline getirip, diğer hedeflere yönelik saldırılarda kullanabiliyorlar.
Bu saldırıların en endişe verici yönü, ele geçirilen yönlendiricilerin proxy ağları olarak kullanılması. Korsanlar, bu cihazlar üzerinden trafiği yönlendirerek gerçek kimliklerini gizliyor ve hassas kurumlara yönelik saldırılarını maskeleyebiliyor. CISA, bu tür botnetlerin yalnızca ev kullanıcılarını değil, aynı zamanda kamu ve özel sektördeki kritik altyapıları da hedef aldığını vurguluyor. Özellikle enerji, sağlık ve ulaşım gibi sektörler risk altında.
Kullanıcıların alabileceği önlemler arasında yönlendirici yazılımını güncellemek, varsayılan şifreleri değiştirmek ve SNMP'yi devre dışı bırakmak yer alıyor. Eğer SNMP kullanılması gerekiyorsa, yalnızca gerekli IP adreslerine erişim izni vermek ve güçlü topluluk dizeleri kullanmak önemli. Ayrıca, yönlendiricilerin uzaktan yönetim özelliğini kapatmak ve güvenlik duvarı kurallarını sıkılaştırmak da etkili olabilir. CISA, özellikle küçük işletmelerin ve ev kullanıcılarının bu adımları atmasını öneriyor.
Önemli Gelişmeler
Sonuç olarak, Rusya devlet korsanlarının yönlendirici saldırıları, siber güvenlik dünyasında ciddi bir tehdit oluşturmaya devam ediyor. Kullanıcıların basit ama etkili güvenlik önlemleri alması, hem kendi verilerini hem de genel internet güvenliğini korumak için hayati önem taşıyor. Unutmayın, yönlendiriciniz sadece bir internet kapısı değil, aynı zamanda siber saldırganlar için bir araç olabilir.
Kaynak: arstechnica.com