Giriş
Uluslararası bir işletmeler ve güvenlik otoriteleri iş birliğiyle gerçekleştirilen bir operasyon, FrostArmada olarak bilinen APT28 saldırı kampanyasını etkisiz hale getirdi. Bu saldırılar, MikroTik ve TP-Link yönlendiricilerinden yerel trafiği ele geçirerek Microsoft hesap bilgilerini çalmayı amaçlıyordu.
Saldırı Nasıl Çalışıyor?
APT28, ayrıca Fancy Bear, Sofacy ve Strontium gibi adlarla da bilinen bir Rus tehdit grubudur. FrostArmada saldırıları sırasında, saldırganlar öncelikle küçük ofis/ev ofis (SOHO) yönlendiricilerini etkisiz hale getirip DNS ayarlarını kendi kontrolündeki sanal özel sunuculara (VPS) yönlendirmiştir. Bu, saldırganların hedef alınan alanlardaki kimlik doğrulama trafiğini keserek Microsoft giriş bilgilerini ve OAuth token’larını çalmasını sağlamıştır.
Etkilenen Sistemler
FrostArmada saldırıları, dünya genelinde 120 ülkede 18,000 cihazı etkilemiştir. Saldırıların hedefleri arasında aşağıdaki sistemler bulunmaktadır:
- Hükümet ajansları
- Hukuk uygulayıcıları
- IT ve hosting sağlayıcıları
- Kendi sunucularını yöneten organizasyonlar
Microsoft, saldırıya uğrayan bu kampanya ile bağlantılı olarak Black Lotus Labs ve Lumen ile iş birliği yaparak kötü amaçlı etkinlikleri haritaladı ve kurbanları belirledi. FBI, ABD Adalet Bakanlığı ve Polonya hükümeti desteğiyle, saldırganların altyapısı devre dışı bırakıldı.
DNS Yönlendirme ve Saldırı Mekanizması
Saldırganlar, internet üzerinden erişilebilen yönlendiricileri, özellikle MikroTik ve TP-Link’i hedef almıştır. İlk olarak, cihazlar saldırganların altyapısıyla iletişim kurarak DNS yapılandırma değişiklikleri almış, bu değişiklikler DHCP yoluyla iç cihazlara otomatik olarak iletilmiştir. Kurbanlar kimlik doğrulama ile ilgili alan taleplerinde bulunduklarında, tehdit aktörleri sahte IP adresleri ile yanıt vermiş ve kurbanları bir adversary-in-the-middle (AitM) proxy’sine yönlendirmiştir.
Kurbanlar, bu sahtekarlığı yalnızca geçersiz bir TLS sertifikası uyarısıyla fark edebilmiş, ancak bu uyarı hızlıca göz ardı edilebilmiştir. Dolayısıyla, tehdit aktörleri kurbanların şifrelenmemiş internet iletişimine erişim sağlayabilmiştir.
Çözüm ve Korunma
Saldırıların etkili olduğu bazı yolları engellemek için kullanıcıların alabileceği önlemler şunlardır:
- Güncellemeleri yapın: Tüm yazılımları en güncel versiyonlarına güncelleyin.
- Port kapatma: Kullanılmayan portları kapatın ve yalnızca gerekli olanları açık bırakın.
- Sertifika pinning uygulayın: Kurumsal cihazlarda MDM çözümleri ile sertifika pinning uygulamak, saldırganların trafiği ele geçirmesini engeller.
- Tehdit yüzeyini minimize edin: Patching yapın, kamuya açık web ortamında görünürlüğü azaltın ve artık kullanılmayan ekipmanları kaldırın.
Microsoft ve NCSC, DNS yönlendirme saldırılarını tespit etmek ve önlemek için IoC’lar ve koruma önerileri sunmaktadır. Okuyucuların bu önerileri dikkate alarak önlemler alması önemlidir.
