FBI Rus GRU DNS Ele Geçirme Yönlendirici Ağını Çökertti

FBI ve Adalet Bakanlığı Rus Askeri İstihbarat Yönlendirici Ağını Devre Dışı Bıraktı

ABD Adalet Bakanlığı ve FBI, 7 Nisan 2026'da Rusya'nın GRU olarak da bilinen Ana İstihbarat Müdürlüğü bünyesindeki bir birimin kullandığı ele geçirilmiş yönlendirici ağını aksatmak amacıyla mahkeme onaylı bir operasyonu tamamladıklarını duyurdu. Operasyon, askeri, hükümet ve kritik altyapı sektörlerindeki kişi ve kuruluşlara yönelik DNS ele geçirme saldırıları gerçekleştirmek için sessiz sedasız ele geçirilmiş binlerce küçük ofis ve ev ofisi (SOHO) yönlendiricisini hedef aldı.

Operasyonun ölçeği ve yöntemi, devlet destekli aktörlerin sofistike istihbarat toplama kampanyaları yürütmek için göz ardı edilen tüketici donanımlarını nasıl istismar ettiğine dair net bir pencere sunmaktadır.

DNS Ele Geçirme Saldırısı Nasıl İşledi?

GRU birimi, dünya genelinde ev ve küçük işyerlerinde yaygın olarak kullanılan bir marka olan TP-Link yönlendiricilerindeki bilinen güvenlik açıklarından yararlandı. Cihaza sızıldıktan sonra saldırganlar, cihazın DNS ayarlarını manipüle etti. DNS yani Alan Adı Sistemi, "example.com" gibi bir web sitesi adresini bilgisayarların bağlantı kurmak için kullandığı sayısal IP adresine çeviren sistemdir. Bu sistem özünde internetin adres defteri işlevi görmektedir.

Ele geçirilmiş yönlendiricilerdeki DNS ayarlarını değiştirerek GRU, cihaz sahipleri hiçbir şeyden haberdar olmaksızın trafiği kendi kontrolündeki sunucular üzerinden yönlendirebildi. Bu teknik, Araya Giren Aktör saldırısı olarak bilinmektedir. Kurbanlar meşru web sitelerini ziyaret etmeye veya hesaplarına giriş yapmaya çalıştıklarında talepleri sessizce yeniden yönlendirildi. Bu trafiğin büyük bölümü şifrelenmemiş olduğundan saldırganlar, parolaları, kimlik doğrulama belirteçlerini ve e-posta içeriklerini düz metin hâlinde ele geçirebildi.

Kurbanların mutlaka yanlış bir şey yapması gerekmiyordu. Normal yönlendiricilerini kullanıyor, normal web sitelerini ziyaret ediyorlardı. Saldırı, çoğu kullanıcının ve hatta pek çok BT ekibinin görüş alanının altında, altyapı düzeyinde gerçekleşti.

SOHO Yönlendiricileri Neden Kalıcı Bir Hedef?

Küçük ofis ve ev ofisi yönlendiricileri, çeşitli nedenlerle sofistike tehdit aktörlerinin gözde giriş noktası hâline gelmiştir. Bu cihazlar sayıca fazladır, çoğunlukla kötü bakım görür ve nadiren izlenir. Tüketici yönlendiricilerinde yazılım güncellemeleri seyrek yapılır ve pek çok kullanıcı ilk kurulumdan sonra varsayılan kimlik bilgilerini hiç değiştirmez ya da cihaz ayarlarını gözden geçirmez.

FBI'ın ele geçirilmiş yönlendirici ağlarını temizlemek için müdahale etmesi bu ilk değil. Önceki yıllarda da birden fazla üreticinin donanımını içeren botnet altyapılarına yönelik benzer operasyonlar düzenlendi. Bu saldırı vektörünün sürekliliği yapısal bir sorunu yansıtmaktadır: Yönlendiriciler her ağın sınırında yer almasına karşın, arkalarındaki cihazlara kıyasla çok daha az güvenlik ilgisi görmektedir.

Adalet Bakanlığı'nın mahkeme onaylı operasyonu, GRU'nun erişimini kesmek ve kötü amaçlı yapılandırmaları kaldırmak için ele geçirilmiş yönlendiricilerin uzaktan değiştirilmesini kapsadı. Bu tür bir müdahale son derece nadirdir ve yargı onayı gerektirmektedir; bu durum ABD yetkililerinin tehdidi ne denli ciddiye aldığını ortaya koymaktadır.

Bu Sizin İçin Ne Anlama Geliyor?

Evde ya da küçük bir ofiste tüketici yönlendiricisi kullanıyorsanız bu operasyon, donanımınızın bilginiz veya katılımınız olmaksızın bir istihbarat operasyonunun parçası hâline gelebileceğine dair doğrudan bir işarettir. Saldırı, kurbanların kötü amaçlı bir bağlantıya tıklamasını ya da herhangi bir şey indirmesini gerektirmedi. Yalnızca yönlendiricilerinin güvenlik açığı bulunan bir yazılım çalıştırması ve internet trafiklerinin şifrelenmemiş biçimde bu cihazdan geçmesi yeterliydi.

Bu habere yanıt olarak uygulamaya değer somut adımlar bulunmaktadır.

Birincisi, yönlendiriciniz için mevcut yazılım güncellemelerini kontrol edin ve uygulayın. Yönlendirici üreticileri bilinen güvenlik açıklarını düzenli olarak yamalar, ancak bu yamalar yalnızca kurulduğunda işe yarar. Pek çok yönlendirici, ayarlar arayüzü aracılığıyla otomatik güncellemelerin etkinleştirilmesine olanak tanır.

İkincisi, yönlendiricinizin varsayılan oturum açma kimlik bilgilerini değiştirin. Bu tür operasyonlarda ele geçirilen cihazların büyük çoğunluğuna, kamuya açık biçimde belgelenmiş fabrika varsayılan kullanıcı adı ve parolalar kullanılarak erişilmektedir.

Üçüncüsü, internet trafiğinizin yönlendiricinizden ayrılırken nasıl göründüğünü değerlendirin. Şifrelenmemiş trafik; ister HTTP bağlantıları, ister bazı e-posta protokolleri, isterse belirli uygulama iletişimleri olsun, DNS'iniz yönlendiriliyorsa okunabilir hâle gelebilir. DNS-over-HTTPS (DoH) veya DNS-over-TLS (DoT) gibi şifreli DNS protokollerini kullanmak, DNS sorgularınızın ele geçirilmiş bir yönlendirici ya da trafiği yönlendirdiği bir sunucu tarafından ele geçirilememesini veya manipüle edilememesini sağlar.

Dördüncüsü, bir VPN; trafiği yönlendiricinize veya internet servis sağlayıcınıza ulaşmadan önce cihazınız ile güvenilir bir sunucu arasında şifreleyerek ek bir koruma katmanı sunabilir. Bu sayede yönlendiricinizin DNS'i kurcalanmış olsa bile trafiğinizin içeriği, siz ile hedefiniz arasında konumlanan herkese karşı okunamaz hâlde kalır.

Bu önlemlerin hiçbiri karmaşık ya da pahalı değildir; ancak GRU operasyonu, şifrelenmemiş trafiğin ve yamalanmamış donanımın gerçek kişiler için soyut bir risk değil, somut bir tehdit oluşturduğunu açıkça ortaya koymaktadır.

FBI'ın müdahalesi bu özel ağı çökertmiş olsa da tüketici yönlendirici donanımındaki temel güvenlik açıkları varlığını sürdürmektedir. Bilgi sahibi olmak ve temel koruyucu adımları atmak, ortadan kalması pek olası görünmeyen bir saldırı yüzeyine karşı en pratik yanıttır.