VPN & Şifreleme

Rus Hackerlar Ev Yönlendiricilerinin DNS Ayarlarını Ele Geçiriyor

8 Nisan 20264 dk okuma

Rus Askeri Hackerlar Ev ve Ofis Yönlendiricilerini Hedef Alıyor

Siber güvenlik araştırmacılarının yeni raporlarına göre, Rus ordusuna bağlı sofistike bir DNS ele geçirme kampanyası 5.000'den fazla tüketici cihazını ve 200'den fazla kuruluşu tehlikeye attı. Forest Blizzard (APT28 veya Strontium olarak da takip edilen) adıyla bilinen ve saldırıların arkasında yer alan tehdit aktörünün Rus askeri istihbaratıyla bağlantısı bulunuyor ve grup yıllardır yüksek profilli saldırılarda aktif olarak faaliyet gösteriyor.

Saldırı yöntemi basit ama son derece etkili. Grup, bireysel bilgisayarları veya telefonları doğrudan hedef almak yerine ev ve küçük ofis yönlendiricilerindeki DNS ayarlarını değiştiriyor. Bir yönlendirici ele geçirildiğinde, ona bağlı her cihaz; dizüstü bilgisayarlar, telefonlar, akıllı TV'ler ve iş bilgisayarları potansiyel birer hedef haline geliyor.

DNS Ele Geçirme Aslında Nasıl Çalışır?

DNS yani Alan Adı Sistemi, zaman zaman internetin telefon rehberi olarak tanımlanır. Tarayıcınıza bir web sitesi adresi yazdığınızda, cihazınız bağlanmak için gereken sayısal IP adresini bulmak amacıyla bir DNS sunucusunu sorgular. Normal koşullarda bu sorgu, genellikle internet servis sağlayıcınız tarafından sağlanan güvenilir bir DNS sunucusuna gider.

Saldırganlar bir yönlendiricinin DNS yapılandırmasını değiştirdiğinde, bu sorguları kontrol ettikleri sunuculara yönlendirirler. Buradan, hangi siteleri ziyaret etmeye çalıştığınızı tam olarak görebilir ve bazı durumlarda gerçek trafiği de ele geçirebilirler. Araştırmacılar, bu yöntemin Forest Blizzard'ın ele geçirilen yönlendiricilere bağlı cihazlardan e-postalar ve oturum açma bilgileri dahil olmak üzere düz metin verileri yakalamasına olanak tanıdığını tespit etti.

Bu durum özellikle endişe verici; zira pek çok kullanıcı, yalnızca HTTPS web siteleri veya şifreli e-posta hizmetleri kullandıkları için iletişimlerinin korunduğunu varsayıyor. Ancak DNS, yönlendirici düzeyinde ele geçirildiğinde saldırganlar trafik akışlarını görebilir ve belirli koşullar altında bu korumayı ortadan kaldırabilir.

Forest Blizzard Kimdir?

APT28 ve Strontium takma adlarıyla da bilinen Forest Blizzard, yaygın biçimde Rusya'nın GRU askeri istihbarat teşkilatına atfedilmektedir. Grubun Avrupa ve Kuzey Amerika genelinde hükümet kurumlarına, savunma yüklenicilerine, siyasi kuruluşlara ve kritik altyapıya yönelik saldırılarla bağlantısı bulunuyor.

Bu kampanya, taktiklerde tüketici sınıfı altyapıya yönelik bir kayışı temsil ediyor. Ev ve küçük ofis yönlendiricileri güvenlik açısından sıklıkla göz ardı ediliyor. Bu cihazlar nadiren ürün yazılımı güncellemesi alıyor, çoğunlukla varsayılan kimlik bilgileriyle çalışıyor ve genellikle BT güvenlik ekipleri tarafından izlenmiyor. Bu durum, iletişimleri geniş ölçekte ele geçirmeye çalışan bir grup için onları cazip giriş noktaları haline getiriyor.

Yönlendiricileri ele geçirmek, saldırganlara kalıcı erişim sağlama imkânı da tanıyor. Bireysel bir cihazdan kötü amaçlı yazılım kaldırılsa bile, ele geçirilmiş bir yönlendirici temizlenip yeniden yapılandırılana kadar trafiği yönlendirmeye devam ediyor.

Bu Sizin İçin Ne Anlama Geliyor?

Standart bir ev veya küçük ofis yönlendiricisi kullanıyorsanız, bir devlet çalışanı olmasanız ya da olası bir casusluk hedefi sayılmasanız bile bu kampanya sizi doğrudan ilgilendiriyor. Saldırının boyutu, 5.000'den fazla tüketici cihazı, hedeflemenin cerrahi değil geniş kapsamlı olduğunu gösteriyor.

Bu habere yanıt olarak atılmaya değer birkaç pratik adım var.

Yönlendiricinizin DNS ayarlarını kontrol edin. Yönlendiricinizin yönetici paneline (genellikle 192.168.1.1 veya 192.168.0.1 adresinden erişilir) giriş yapın ve listelenen DNS sunucularının tanıdık ve güvenilir olduğunu doğrulayın. Tanımadığınız IP adresleri görüyor ve bunları siz ayarlamadıysanız, bu bir tehlike işaretidir.

Yönlendiricinizin ürün yazılımını güncelleyin. Yönlendirici üreticileri, güvenlik açıklarını gideren ürün yazılımı güncellemelerini periyodik olarak yayınlar. Pek çok yönlendiricide yönetici panelinden doğrudan güncelleme kontrolü yapma seçeneği bulunur. Yönlendiriciniz birkaç yıllık ve üretici artık destek vermiyorsa, değiştirmeyi düşünün.

Yönlendiricinizin varsayılan yönetici parolasını değiştirin. Varsayılan kimlik bilgileri geniş çapta yayımlanmıştır ve saldırganların ilk denedikleri şeyler arasındadır. Yönlendiricinizin yönetici arayüzü için güçlü ve benzersiz bir parola, giriş engelini önemli ölçüde yükseltir.

DNS sızıntısı korumalı bir VPN kullanın. VPN, DNS sorguları dahil olmak üzere trafiğinizi yerel ağınızın dışındaki sunuculara şifreli bir tünel üzerinden yönlendirir. Yönlendiricinizin DNS'i kurcalanmış olsa bile, uygun DNS sızıntısı korumasına sahip bir VPN, sorgularınızın bir saldırganın sunucuları yerine VPN sağlayıcısının sunucuları tarafından çözümlenmesini sağlar. Bu, ele geçirilmiş bir yönlendiriciyi güvenli kılmaz; ancak saldırganın gözlemleyip ele geçirebileceği verileri önemli ölçüde sınırlar.

Bağımsız olarak şifreli DNS kullanmayı değerlendirin. HTTPS üzerinden DNS (DoH) veya TLS üzerinden DNS (DoT) destekleyen hizmetler, VPN olmadan bile DNS sorgularınızı şifreleyerek ele geçirilmelerini veya yeniden yönlendirilmelerini zorlaştırır.

Forest Blizzard kampanyası, ağ güvenliğinin yönlendiriciden başladığını bir kez daha hatırlatıyor. Evinizi veya ofisinizi internete bağlayan cihazlar, masanızdaki bilgisayarlar ve telefonlarla aynı ilgiyi hak ediyor. Bu cihazları güncel tutmak, doğru yapılandırmak ve izlemek isteğe bağlı değil; her şeyin üzerine inşa edildiği temeldir. Yönlendirici ayarlarınızı yakın zamanda gözden geçirmediyseniz, şimdi başlamak için iyi bir zaman.

// SSS

DNS ele geçirme kampanyasının arkasında kim var?

Saldırılar, Rusya'nın GRU askeri istihbarat teşkilatına yaygın biçimde atfedilen ve APT28 veya Strontium olarak da bilinen Forest Blizzard ile bağlantılıdır. Grup, hükümet kurumlarını, savunma yüklenicilerini ve siyasi kuruluşları hedef alan yüksek profilli saldırılarda yıllardır aktif olarak faaliyet göstermektedir.

Kaç cihaz ve kuruluş tehlikeye girdi?

Siber güvenlik araştırmacılarına göre kampanya, 5.000'den fazla tüketici cihazını ve 200'den fazla kuruluşu tehlikeye attı.

Yönlendirici düzeyinde DNS ele geçirme nasıl çalışır?

Saldırganlar, bir yönlendiricinin DNS ayarlarını değiştirerek sorguları kontrol ettikleri sunuculara yönlendirir; bu sayede bağlı cihazların hangi siteleri ziyaret ettiğini görebilir ve trafiği potansiyel olarak ele geçirebilirler. Ele geçirilen yönlendiriciye bağlı her cihaz potansiyel bir hedef haline gelir.

Ev ve küçük ofis yönlendiricileri neden bu tür saldırılara karşı özellikle savunmasız?

Ev ve küçük ofis yönlendiricileri nadiren ürün yazılımı güncellemesi alır, çoğunlukla varsayılan kimlik bilgileriyle çalışır ve genellikle BT güvenlik ekipleri tarafından izlenmez; bu da onları cazip hedefler haline getirir. Bu etkenler, saldırganların bu cihazları yönetilen kurumsal ekipmanlara kıyasla çok daha kolay ele geçirmesine olanak tanır.

HTTPS veya şifreli e-posta kullanmak bu saldırıya karşı koruma sağlar mı?

Mutlaka değil; zira DNS yönlendirici düzeyinde ele geçirildiğinde saldırganlar trafik akışlarına görünürlük kazanabilir ve belirli koşullar altında bu korumayı ortadan kaldırabilir. Araştırmacılar, Forest Blizzard'ın etkilenen cihazlardan e-postalar ve oturum açma bilgileri dahil olmak üzere düz metin verileri yakalayabildiğini tespit etti.

Rus Askeri Hackerlar Ev ve Ofis Yönlendiricilerini Hedef Alıyor

DNS Ele Geçirme Aslında Nasıl Çalışır?

Forest Blizzard Kimdir?

Bu Sizin İçin Ne Anlama Geliyor?

// SSS

// İlgili