Giriş
Rusya merkezli siber saldırılar, kritik altyapı sistemlerini hedef alarak büyük bir tehdit oluşturmaktadır. Son alınan uyarılar, bu saldırıların belirli zafiyetler üzerinden gerçekleştirildiğini ortaya koymuştur.
Saldırı Nasıl Çalışıyor?
Amerika Birleşik Devletleri ve sekiz diğer ülkenin siber güvenlik ajansları, devlet destekli Rus hackerların zayıf ve kötü yapılandırılmış yönlendiricileri hedefleyerek kritik altyapı ağlarına sızdığını bildirmiştir. Bu saldırılar, Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard ve Static Tundra olarak bilinen hacker grubu tarafından gerçekleştirilmekte olup, CVE-2018-0171 kodlu Cisco IOS ve Cisco IOS XE yazılımlarındaki zafiyeti istismar ederek gerçekleştirilmektedir.
Bu grup, internetten IP adres aralıklarını tarayarak varsayılan veya yaygın SNMP kimlik doğrulama dizelerini kabul eden yönlendiricileri tespit etmektedir. Daha sonra sahte IP adresleri kullanarak cihaz yapılandırma dosyalarını kopyalamak için komutlar gönderir ve bu dosyaları Trivial File Transfer Protocol (TFTP) aracılığıyla saldırgan kontrolündeki sunuculara aktarır.
Etkilenen Sistemler
Bu saldırılardan en fazla etkilenen sektörler şunlardır:
- Enerji
- İletişim
- Savunma sanayi
- Sağlık hizmetleri
- Mali hizmetler
- Devlet ve yerel hükümet hizmetleri
UK Ulusal Siber Güvenlik Merkezi, saldırganın SNMP taramaları kullanarak zayıf yönlendiricileri bulduğunu ve çeşitli güvenlik açıklarını istismar ettiğini bildirmiştir.
Çözüm ve Korunma
Siber güvenlik uzmanları, bu saldırılara karşı önlem almak için aşağıdaki önlemleri önermektedir:
- SNMPv3’e geçiş yapın.
- Cisco Smart Install’ı devre dışı bırakın.
- Güçlü, benzersiz şifreler kullanın.
- Kenardaki güvenlik duvarlarında TFTP ve SNMP trafiğini engelleyin.
- Yazılımları ve firmware’leri güncelleyin.
- Ömrünü tamamlamış cihazları değiştirin.
Ayrıca, FBI’in bölgesel operasyonları sırasında zararlı DNS ayarlarını ortadan kaldırarak sahte yönlendiricilerin kontrolünü sağlamak için çalışmalara destek verildiği bilinmektedir.
Sonuç
Kritik altyapınızın güvenliğini sağlamak için hemen harekete geçin. Cihazlarınızı güncelleyin, varsayılan şifreleri değiştirin ve yukarıda belirtilen önlemleri uygulayarak sistemlerinizi koruma altına alın. Unutmayın, siber güvenlik sürekli bir süreçtir; bu nedenle güvenlik açıklarını düzenli olarak kontrol etmeyi ihmal etmeyin.


