Giriş
Son dönemde, uluslararası kolluk kuvvetleri tarafından gerçekleştirilen bir operasyon, dünya genelinde binlerce ev yönlendiricisini ele geçirerek dolandırıcılık faaliyetlerinde kullanılan SocksEscort isimli bir proxy servisini ortadan kaldırdı. Bu olay, siber güvenliğin önemini bir kez daha gözler önüne serdi.
Saldırı Nasıl Çalışıyor?
SocksEscort, ev ve küçük işletme internet yönlendiricilerini kötü amaçlı yazılım ile enfekte ederek, bu cihazlar üzerinden internet trafiğini yönlendirmeyi başardı. ABD Adalet Bakanlığı’nın açıklamalarına göre, AVrecon isimli bir kötü amaçlı yazılım kullanarak, kullanıcıların internet trafiğini gizlice kontrol etmelerini sağladı. SocksEscort, bu erişimi kullanıcılarına satıyordu.
- SocksEscort, 2020 yazından bu yana 163 ülkede yaklaşık 369,000 farklı IP adresine erişim sundu.
- Şubat 2026 itibarıyla, hizmetin yaklaşık 8,000 enfekte yönlendirici listelediği bildirildi.
- Bu enfekte cihazların 2,500’ü Amerika Birleşik Devletleri’nde bulundu.
Etkilenen Sistemler
SocksEscort’un hedef aldığı cihazlar arasında, Cisco, D-Link, Hikvision, Mikrotik, Netgear, TP-Link ve Zyxel’den üretilen yaklaşık 1,200 cihaz modeli yer alıyor. Enfeksiyon, uzaktan kod çalıştırma (RCE) ve komut enjeksiyonu gibi kritik güvenlik açıkları aracılığıyla gerçekleştirildi.
- Kullanılan kötü yazılım, cihazların güncellemelerini devre dışı bırakıyor ve böylece cihazın kalıcı olarak enfekte olmasına sebep oluyordu.
- Europol, bu cihazların çeşitli suç faaliyetlerini desteklemek için kullanıldığını belirtti.
Çözüm ve Korunma
SocksEscort’a karşı gerçekleştirilen “Operation Lightning” olarak adlandırılan operasyon, birçok Avrupa ülkesi ve ABD’nin işbirliği ile gerçekleştirildi. Bu operasyon sonucunda:
- 34 alan adı ve 23 sunucu kapatıldı.
- 3.5 milyon dolar değerinde kripto para donduruldu.
AVrecon malware’i, C dilinde yazılmış olup, MIPS ve ARM cihazlarını hedef almaktadır. Cihaz sahiplerinin, aşağıdaki adımları izlemeleri büyük önem taşımaktadır:
- Cihaz güncellemelerini kontrol ederek en son yazılıma sahip olduklarından emin olun.
- Güvenlik ayarlarınızı gözden geçirin ve varsayılan şifreleri değiştirin.
- Açık olan portları kapatın ve sadece gerekli olanları aktif bırakın.
Aksiyon
Okuyucuların; yönlendiricileri, modemleri ve ev aletlerini güncel tutmaları, şifrelerini güçlendirmeleri, güvenlik ayarlarını dikkatlice incelemeleri ve gerekli durumlarda sistemlerini kapatmaları önerilmektedir. Herhangi bir şüpheli faaliyet tespit edildiyse, derhal ilgili güvenlik birimlerine başvurulmalıdır.
