Rus hükümetine bağlı bir grup hacker, dünya genelindeki binlerce ev ve küçük işletme yönlendiricisini ele geçirerek, kurbanların internet trafiğini yönlendirme kampanyası yürütüyor. Bu sayede şifrelerini ve erişim belirteçlerini çalmayı amaçlıyor. Güvenlik araştırmacıları ve devlet yetkilileri, durumu Salı günü bildirdi.
Uzun süredir faaliyet gösteren Fancy Bear (APT 28) isimli Rus hacker grubunun son taktiği bu oldu. Grubun 2016’daki Demokratik Ulusal Komite hack’i ve 2022’de Viasat uydu sağlayıcısına yönelik yıkıcı siber saldırı gibi yüksek profilli hack’lerle tanındığı biliniyor. Fancy Bear’ın, Rusya’nın istihbarat ajansı GRU’nun bir parçası olduğuna inanılıyor.
Hackerlar, MicroTik ve TP-Link tarafından üretilen güncellenmemiş yönlendiricileri hedef alarak daha önce açıklanan güvenlik açıklarını kullandı. Bu bilgiyi, Birleşik Krallık hükümetinin siber güvenlik birimi NCSC ve Lumen’in araştırma kolu Black Lotus Labs, kampanyanın yeni detaylarını Salı günü duyurdu.
Araştırmacılara göre, hackerlar hedef aldıkları yönlendiricilerin yazılımlarını uzaktan ele geçirerek, kullanıcıların bilgisini gizlice izleme olanağına sahip oldu. Birçok kurban, güncel olmayan yazılımlar kullanmaları sebebiyle uzaktan saldırılara karşı savunmasız hale geldi.
NCSC, bu operasyonların “muhtemelen fırsatçı bir yapıya” sahip olduğunu ve hackerların, çok sayıda potansiyel kurbana ulaşmak için geniş bir ağ kurduğunu belirtti. Saldiri ilerledikçe ise istihbarat açısından ilgi duyulan hedeflere daraldığını vurguladı.
Araştırmalara ve hükümetin uyarılarına göre, Rus hackerlar yönlendiricileri ele geçirerek cihazın ayarlarını değiştirdi. Bu sayede, kurbanların internet istekleri hackerların kontrolündeki altyapıya yönlendirildi. Bu durum, hackerların kurbanları sahte web sitelerine yönlendirmesine ve iki faktörlü kimlik doğrulama kodlarına ihtiyaç duymadan kurbanların çevrimiçi hesaplarına girmesine imkan tanıdı.
Black Lotus Labs, Fancy Bear grubunun Kuzey Afrika, Orta Amerika ve Güneydoğu Asya’daki 120 ülkede, en az 18,000 kurbanı ele geçirdiğini duyurdu. Bu kurbanlar arasında hükümet daireleri, kolluk kuvvetleri ve e-posta sağlayıcıları bulunuyor.
Microsoft da bu kampanyayla ilgili detayları Salı günü açıkladı ve blog gönderisinde, araştırmacılarının bu siber saldırılardan etkilenen 200’den fazla kuruluş ve 5,000’den fazla tüketici cihazı tespit ettiğini söyledi. En az üç hükümet kuruluşunun Afrika’da yer aldığı belirtildi.
FBI’ın, hackerların kullandığı birkaç alan adasının kapatılacağını duyurması bekleniyor. Lumen, FBI’nın da dahil olduğu bir koalisyonun botnet’i kesip devre dışı bıraktığını bildirdi.
FBI sözcüsü, yayın öncesinde yorum taleplerine yanıt vermedi.
