Rusya’nın Siber Tehditleri ve Kritik Altyapıya Yönelik Saldırılar
FBI, ABD’nin kritik altyapı sektöründeki kuruluşlara yönelik siber saldırılarla ilgili önemli uyarılarda bulundu. Yapılan açıklamalara göre, Rusya‘nın Federal Güvenlik Servisi (FSB) ile bağlantılı hacker grupları, 7 yıl önce keşfedilen bir zafiyeti istismar ederek, Cisco cihazlarına yönelik saldırılar gerçekleştiriyor. Bu zafiyetin adı ise CVE-2018-0171.
CVE-2018-0171 Zafiyeti Nedir?
CVE-2018-0171, Cisco’nun IOS ve IOS XE yazılımları içinde yer alan, Smart Install özelliğindeki kritik bir güvenlik açığıdır. Bu zafiyet sayesinde, kimlik doğrulaması yapılmamış kötü niyetli kişiler, güncellenmemiş cihazları uzaktan yeniden başlatabilir. Bu durum, hizmet reddi (DoS) koşullarına yol açabilir ya da saldırganların hedef cihaz üzerinde keyfi kod çalıştırmasına olanak tanıyabilir.
FBI’ın açıklamasına göre, son bir yıl içinde siber saldırganlar, ABD’deki çeşitli kritik altyapı sektörlerine ait binlerce ağ cihazı için konfigürasyon dosyalarını topladı. Bu zayıf cihazlardan bazıları, saldırganlar tarafından yetkisiz erişim sağlamak amacıyla konfigürasyon dosyalarının değiştirilmesi gibi faaliyetlere maruz kalmıştır.
Saldırganların Amaçları ve Hedefleri
Saldırganlar, ele geçirdikleri yetkisiz erişimlerle, hedef ağlarında keşif (reconnaissance) faaliyetleri gerçekleştirdi. Bu süreç, endüstriyel kontrol sistemleriyle (ICS) sıkça ilişkilendirilen protokollere ve uygulamalara gösterdikleri ilgiyi ortaya koydu. Bu durum, saldırganların yalnızca belirli sektörleri değil, aynı zamanda devlet, yerel, bölgesel ve kabile (SLTT) hükümetleri ile havacılık kuruluşlarına da siber saldırılar gerçekleştirdiklerini gösteriyor.
Cisco’nun Kullanıcıları Uyarısı
Cisco, CVE-2018-0171 zafiyetine yönelik ilk saldırıları Kasım 2021‘de tespit etti. Şirket, yöneticilere cihazlarını güvence altına almaları yönünde acil çağrıda bulundu. Cisco’nun siber güvenlik bölümü Cisco Talos, CISCO cihazları üzerinde bu zafiyeti istismar eden Rus tehdit grubunun, Statik Tundra olarak adlandırıldığını belirtti. Söz konusu grup, Kuzey Amerika, Asya, Afrika ve Avrupa’daki telekomünikasyon, yüksek öğrenim ve üretim kuruluşlarına ait güncellenmemiş cihazları hedef alarak saldırılarına devam etmektedir.
Saldırganların, ele geçirdikleri cihazlarda süreklilik sağlamak için özel SNMP araçları kullandığı tespit edilmiştir. Bu araçlar, saldırganların tespit edilmeden cihazlarda uzun süre kalmasına fırsat tanımaktadır. Ayrıca, 2015 yılında FireEye tarafından tespit edilen SYNful Knock yazılım implantı da kullanılmaktadır.
Kritik Altyapının Güvende Olması İçin Ne Yapılmalı?
FBI ve Cisco, tüm kuruluşların bu tür zafiyetlere karşı proaktif bir yaklaşım sergilemeleri gerektiğine dikkat çekiyor. Cihazların güncellenmesi, zafiyetlerin kapatılması ve güvenlik önlemlerinin artırılması, siber saldırılara karşı en etkili savunmayı oluşturacaktır. Düzgün bir yamanın yapılmaması durumunda, kötü niyetli aktörlerin cihazları kötüye kullanmaya devam etmesi kaçınılmaz olacaktır.
Gelecek Tehditleri ve Önlemleri
Önümüzdeki dönemlerde benzer saldırıların artması bekleniyor. Yerel ve devlet destekli grupların, siber altyapıları hedef alması, kullanıcıların dikkatli olması gerektiği anlamına geliyor. Bu nedenle, güvenlik güncellemeleri ve yamaları zamanında uygulamak, siber güvenliğin temel taşlarından birini oluşturmaktadır.
Ayrıca, kuruluşların güvenlik sürekliğini sağlamak adına, ağ izleme ve güvenlik yazılımlarını kullanmaları gerekmektedir. Kullanıcıların, ağ cihazlarına dair güvenlik ayarlarını düzenli olarak gözden geçirmeleri ve gelişen tehditlere karşı hazırlıklı olmaları, güvenliği artıracak adımlar arasında yer almaktadır.
Hackerların evrim geçiren taktikleri ve yöntemleri göz önüne alındığında, sadece bir zafiyetin kapatılması yeterli olmayacaktır. Eğitim, farkındalık ve sürekli denetim, siber güvenliğin sağlanmasında kritik rol oynamaktadır.
