İngiltere Ulusal Siber Güvenlik Merkezi, güvenlik açığı bulunan yönlendiricilerin saldırganların şifreleri ve giriş bilgilerini çalmasına olanak tanıyacağı konusunda uyarıda bulundu.
İngiltere Ulusal Siber Güvenlik Merkezi, Rus ordusuna bağlı seçkin bir siber korsan biriminin, Birleşik Krallık’ta yaygın olarak kullanılan yönlendiricilere sızdığı ve bu sayede kullanıcıların internet trafiğini, kendi kontrolündeki kötü amaçlı sunucular üzerinden gizlice başka yönlere saptırdığı tespit edildiğini bildirdi.
NCSC Salı günü yaptığı açıklamada, Rus askeri istihbaratının bir birimi olan Rus devlet siber grubu APT28’in, güvenlik açığı bulunan internet yönlendiricilerini istismar ederek alan adı sistemi (DNS) ele geçirme operasyonları gerçekleştirdiğini ve saldırganlara trafiği ele geçirme ve kişisel web ve e-posta hizmetlerinden şifreleri ve erişim jetonlarını çalma olanağı sağladığını belirtti.
Güvenlik grubu, TP-Link ve MikroTik adlı iki şirketin bu yönteme karşı savunmasız olduğunu belirtti.
NCSC operasyon direktörü Paul Chichester, bu bulguların “yaygın olarak kullanılan ağ cihazlarındaki güvenlik açıklarının” sofistike siber korsanlar tarafından nasıl kullanılabileceğini gösterdiğini söyledi ve şirketleri ve bireyleri kendilerini korumaları konusunda uyardı. NCSC, güvenlik güncellemelerini uygulamak ve düzenli antivirüs taramaları yapmak da dahil olmak üzere riskleri azaltabilecek önlemleri sıraladı.
Bu tür saldırılarda, bilgisayar korsanları, kullanıcıların tanıdık adresleri yazarak web sitelerine erişmelerini sağlayan DNS sürecine müdahale ederek kullanıcıların giriş bilgilerini veya diğer hassas verilerini çalmak üzere tasarlanmış kötü amaçlı web sitelerine gizlice yönlendirilebilir.
NCSC, bu faaliyetin “doğası gereği fırsatçı” olduğunu belirterek, bilgisayar korsanlarının saldırı ilerledikçe istihbarat açısından ilgi çekici hedeflere odaklanmadan önce çok sayıda potansiyel kurbana ulaşmak için geniş bir ağ kurduğunu ifade etti.
APT28, son birkaç yılın en sansasyonel siber saldırılarının bazılarına karışmıştı. NCSC’ye göre, bu grubun “neredeyse kesin olarak” GRU, yani Rus askeri istihbaratı, 26165 Birimi olduğu belirtiliyor. Grup, ABD Demokratik Ulusal Komitesi, Alman Federal Meclisi ve Ukrayna’ya destek veren batılı lojistik kuruluşlarına yönelik siber saldırılarla ilişkilendirilmiştir. Forest Blizzard ve Fancy Bear gibi çeşitli çağrı adlarıyla biliniyor.
TP-Link, daha önce ABD’li uzmanlar tarafından, 2023 ve 2024 yıllarında ortaya çıkarılan ve ABD’ye sızmak amacıyla tasarlanan, “Salt Typhoon” ve “Volt Typhoon” olarak adlandırılan Çin kaynaklı büyük siber operasyonların hedefi olarak tespit edilmişti.
Geçen ay, ABD Federal İletişim Komisyonu, tedarik zincirinde bir güvenlik açığı oluşturdukları gerekçesiyle, yurtdışında üretilen yeni tüketici sınıfı internet yönlendiricilerini yasaklamıştı.
Umay Uçaner Gözüsarı