Giriş: Siber Güvenlikte Yeni Tehditler
Son yıllarda, yüksek performans gerektiren dijital ortamlarda siber güvenlik tehditlerinin artması, teknoloji dünyasında dikkat çekici bir konu haline geldi. Özellikle küçük ofis ve ev ofisi (SOHO) yönlendiricileri üzerindeki saldırılar, işletmelerin ve bireylerin veri güvenliğini büyük ölçüde tehlikeye atmaktadır. İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), Rusya’nın APT28 siber saldırı grubunun, bu tür yönlendiricileri kullanarak yapılan saldırılarla DNS ayarlarını manipüle ettiğini ve kullanıcı verilerini hedef aldığını açıkladı. Bu durum, siber güvenlik önlemlerinin daha da güçlendirilmesi gerektiğini gösteriyor.
Araştırmanın Detayları
APT28, siber saldırılarını gerçekleştirmek için sanal özel sunucular (VPN) kullanarak kötü niyetli DNS çözümleyicileri oluşturuyor. Bu yönlendiricileri ele geçirerek, kullanıcıların otomatik olarak saldırganın altyapısına yönlendirilmesine neden oluyor. Kullanıcıların, laptopları veya akıllı telefonları ile bağlandıkları ağda, yönlendiricilerin DHCP DNS ayarları değiştirilerek veri akışı tehlikeye atılıyor. Bu yöntemle saldırganlar, şifreleri ve kimlik doğrulama jetonlarını yakalamayı hedefliyor.
Hedef Alınan Donanım: TP-Link Yönlendiricileri
NCSC, özellikle TP-Link WR841N model yönlendiricinin bu saldırılarda kullanıldığını belirtiyor. CVE-2023-50224 olarak adlandırılan bir güvenlik açığı sayesinde, saldırganların yönlendirici şifrelerine erişim sağladığı ve DHCP DNS ayarlarını kötü niyetli IP’lerle değiştirdiği tespit edilmiştir. TP-Link’e ait birçok farklı model, aralarında Archer C5, C7 ve diğerleri olmak üzere, saldırılara maruz kalmış durumda ve bu durum sunucu sistemleri güvenliğini tehdit ediyor.
Saldırıların Yayılımı
APT28’in taktiği, geniş bir ağ kurarak veri merkezlerini hedef almak. Ele geçirilen MikroTik yönlendiriciler üzerinden yapılacak olan DNS sorguları, saldırganın kontrolündeki sunuculara yönlendirilerek, daha verimli bir şekilde bilgilerin toplanmasını sağlıyor. Ayrıca, Ukrayna’daki bazı MikroTik yönlendiricilerin hedef alındığı belirtiliyor, bu da bu tür donanımların askeri ve istihbarat açısından ne kadar önemli olduğunu ortaya koyuyor.
Öneriler: Siber Güvenliğin Güçlendirilmesi
NCSC, bu tür saldırılara karşı önerilerde bulunuyor. Öncellikle, yönlendirici yazılımlarının güncel tutulması, yönetim arayüzlerinin internete kapatılması ve olası kimlik bilgisi hırsızlıklarına karşı iki faktörlü kimlik doğrulamanın etkinleştirilmesi gerektiği vurgulanıyor. Yüksek performanslı sunucu sistemlerinin ve donanımların güvenliğinin sağlanması, veri merkezlerinin tümünde hayati önem taşımaktadır.
Kaynak: Tom’s Hardware verileriyle derlenmiştir.
