AryStinger Botnet’in Tehditi
Son zamanlarda, daha önce belgelenmemiş bir kötü amaçlı yazılım botnet’i olan AryStinger, 4.000’den fazla eski yönlendiriciyi tehlikeye atarak bunları kötü niyetli trafiğe yönelik proxy’lere dönüştürmüştür. Bu durum, siber güvenlik açısından ciddi riskler taşımaktadır.
Saldırı Nasıl Çalışıyor?
AryStinger, enfekte olmuş cihazları uzaktan kontrol edilebilen “executor” olarak kullanarak çeşitli kötü niyetli faaliyetler gerçekleştirmektedir. Araştırmacılara göre, saldırgan büyük tarama görevlerini küçük parçalara ayırarak bunları farklı executor’lar arasında dağıtarak paralel olarak yürütmeyi başarabilir. Bu dağıtılmış tasarım, saldırganın “footprinting” işlemlerini verimli bir şekilde tamamlamasını sağlar, bu da sonraki sızma operasyonlarının başarısını artırır.
Etkilenen Sistemler
AryStinger, CVE-2013-3307, CVE-2016-5681 ve CVE-2025-11837 gibi eski güvenlik açıklarından yararlanmaktadır ve özellikle şu model yönlendiricileri hedef almaktadır:
- D-Link DIR-850L
- D-Link DIR-818LW
Bu yönlendirici modelleri, 2023 yılında Lumen iletişim hizmetleri sağlayıcısı tarafından durdurulan AVrecon botnet’i tarafından da daha önce hedef alınmıştır.
Kötü Amaçlı Etkiler ve İzleme
AryStinger‘in enfekte ettiği yönlendiriciler, kötü niyetli operasyonları gerçekleştirmek için bir üs olarak kullanılmanın yanı sıra DNS ayarlarını da değiştirebilmektedir. Bu durum, kullanıcıların tarayıcılarını yönlendirmek ve tüm gelen ve giden ağ trafiğini gizlice izlemek için kullanılabilmektedir. Araştırmacılar, AryStinger’ın iki varyantını keşfetmiştir:
- C tabanlı versiyon: Eski yönlendiricilere yönelik
- Go tabanlı versiyon: NAS sistemlerine odaklanan, ancak daha sınırlı bir erişime sahip
Tehditten Korunma ve Öneriler
Araştırmalar, AryStinger’ın dağıtılmış DNS tarama altyapısının, büyük miktarda DNS sorgusu oluşturmak için yeniden kullanılabileceği potansiyeli taşımaktadır. Özellikle, NAS versiyonunun kod yürütme yetenekleri, Shell komutları ve Go, Java ve Python kaynak kodu desteği ile gelişmiş bir altyapıya sahiptir. Ancak, kaynak kodunun kullanılması bazı sınırlamalara yol açabilir.
Sonuç olarak, aşağıdaki önlemler alınmalıdır:
- Eski (EoL) yönlendiricileri aktif olarak desteklenen yeni modellerle değiştirmek
- Son güncelleme yüklemelerini yapmak
- Varsayılan yönetici hesap şifrelerini değiştirmek
- Uzaktan yönetim panellerini devre dışı bırakmak
Bu önlemleri alarak, AryStinger ve benzeri tehditlere karşı korunma seviyenizi artırabilirsiniz.
