Rus askeri bilgisayar korsanları, 23 eyaletteki ev tipi yönlendiricileri (router) hedef aldı. İşte yapmanız gerekenler

Rus askeri bilgisayar korsanları, 23 eyaletteki ev tipi yönlendiricileri (router) hedef aldı. İşte yapmanız gerekenler

Rus askeri istihbarat teşkilatına bağlı bir birim, yıllar boyunca sıradan ev tipi yönlendiricileri gizlice casusluk araçlarına dönüştürdü. 2016'daki DNC (Demokratik Ulusal Komite) siber saldırısının ve NATO hedeflerine yönelik bir dizi saldırının arkasındaki grup olan APT28 (veya diğer adıyla GRU), yamalanmamış aygıt yazılımlarından ve değiştirilmemiş varsayılan parolalardan yararlanarak ABD'nin 23 eyaletinde binlerce cihazı ele geçirdi; internet trafiğini Rusya kontrolündeki sunuculara yönlendirdi ve bu süreçte kullanıcı kimlik bilgilerini ele geçirdi. Federal ajanlar, bir mahkeme kararı doğrultusunda Nisan ayında bu operasyonu durdurdu. Ancak uzaktan yapamadıkları bir şey vardı: sistemdeki temel güvenlik açıklarını gidermek. Bu işlem, sizin tarafınızdan atılacak beş adımı gerektiriyor.

Saldırı, SOHO (küçük ofis/ev ofis) yönlendiricilerini hedef aldı ve Rus askeri istihbarat teşkilatı GRU bünyesindeki bir birim tarafından gerçekleştirildi. Devlet kurumları; en son aygıt yazılımı sürümüne güncelleme yapmak ve varsayılan giriş bilgilerini değiştirmek gibi temel yönlendirici güvenlik önlemlerini uygulamaları konusunda halkı uyarıyor. Birleşik Krallık Ulusal Siber Güvenlik Merkezi, bilgisayar korsanlarının özellikle hedef aldığı bir dizi TP-Link yönlendirici modelini listeledi.

Bu haber oldukça endişe verici görünse de, saldırının özellikle kurumsal düzeydeki yönlendiricileri hedef aldığını ve bu nedenle evinizdeki Wi-Fi yönlendiricisinin muhtemelen risk altında olmadığını unutmamak gerekir. Yine de, etkilenen yönlendiricilerden bazıları standart ev tipi cihazlar olarak da kullanılabildiğinden, kendi modelinizin saldırıda hedef alınıp alınmadığını kontrol etmekte fayda var.

Siber güvenlik şirketi Forescout'un araştırma bölümü başkan yardımcısı Daniel Dos Santos, CNET'e verdiği demeçte, "Günümüzde yönlendiricilerin istismar edilmesine yönelik büyük bir eğilim var ve bu durum hem bireysel kullanıcılara yönelik hem de kurumsal yönlendiriciler için geçerli," dedi.

Bu nasıl bir saldırı?

NSA tarafından yayınlanan bir basın bülteninde, saldırının "askeri, hükümet ve kritik altyapı" unsurları hakkında bilgi toplamak amacıyla geniş bir yönlendirici yelpazesini ayrım gözetmeksizin hedef aldığı belirtiliyor.

FBI'a göre bu saldırı, APT28, Fancy Bear, Forest Blizzard ve diğer isimlerle bilinen Rus GRU bünyesindeki tehdit aktörleriyle ilişkilendiriliyor ve en azından 2024 yılından beri devam ediyor. Bu, SOHO yönlendiricilerindeki (router) varsayılan ağ yapılandırmalarının değiştirilmesiyle DNS isteklerinin ele geçirildiği ve saldırganların kullanıcının trafiğini şifrelenmemiş halde görmesine olanak tanıyan bir "Alan Adı Sistemi (DNS) ele geçirme" (hijacking) operasyonu olarak bilinmektedir.

Saldırıya ilişkin bir Microsoft Tehdit İstihbaratı raporunda, "Forest Blizzard gibi ulus devlet destekli aktörler için DNS ele geçirme işlemi; geniş ölçekte, kalıcı ve pasif bir görünürlük ile keşif faaliyeti yürütme imkanı sağlar," ifadesi yer alıyor.

Microsoft, GRU tarafından gerçekleştirilen bu saldırıdan etkilenen 200'den fazla kuruluş ve 5.000'den fazla bireysel kullanıcı cihazı tespit etti.

Hangi yönlendiriciler etkilendi?

FBI'ın duyurusunda özellikle bir yönlendirici modeline; yani ilk kez 2007'de piyasaya sürülen bir Wi-Fi 4 modeli olan TP-Link TL-WR841N'e dikkat çekiliyor. Birleşik Krallık Ulusal Siber Güvenlik Merkezi, hedef alınan 23 TP-Link modelini listeliyor ancak bu listenin muhtemelen tüm etkilenen modelleri kapsamadığını belirtiyor. Etkilenen cihazların listesi şöyledir:

• TP-Link LTE Wireless N Router MR6400

• TP-Link Wireless Dual Band Gigabit Router Archer C5

• TP-Link Wireless Dual Band Gigabit Router Archer C7

• TP-Link Wireless Dual Band Gigabit Router WDR3600

• TP-Link Wireless Dual Band Gigabit Router WDR4300

• TP-Link Wireless Dual Band Router WDR3500

• TP-Link Wireless Lite N Router WR740N

• TP-Link Wireless Lite N Router WR740N/WR741ND

• TP-Link Wireless Lite N Router WR749N

• TP-Link Wireless N 3G/4G Router MR3420

• TP-Link Wireless N Access Point WA801ND

• TP-Link Wireless N Access Point WA901ND

• TP-Link Wireless N Gigabit Router WR1043ND

• TP-Link Wireless N Gigabit Router WR1045ND

• TP-Link Wireless N Router WR840N

• TP-Link Wireless N Router WR841HP

• TP-Link Wireless N Router WR841N

• TP-Link Wireless N Router WR841N/WR841ND

• TP-Link Wireless N Router WR842N

• TP-Link Wireless N Router WR842ND

• TP-Link Wireless N Router WR845N

• TP-Link Wireless N Router WR941ND

• TP-Link Wireless N Router WR945N

Bir TP-Link Systems sözcüsü yaptığı açıklamada, etkilenen modellerin tamamının birkaç yıl önce "Hizmet ve Ürün Ömrü Sonu" (End of Service and Life) statüsüne ulaştığını belirtti.

Sözcü, "Bu ürünler standart bakım yaşam döngümüzün dışında kalsa da, TP-Link teknik olarak mümkün olan durumlarda belirli eski modeller için güvenlik güncellemeleri geliştirmiştir," dedi.

TP-Link, bu eski yönlendiricilere (router) sahip kullanıcıları, mümkünse daha yeni bir cihaza geçmeye teşvik ediyor. Yakın zamandaki saldırıyı ele alan güvenlik duyurusu sayfasında, mevcut güvenlik yamalarının bir listesini bulabilirsiniz.

Yönlendiricinizi (router) nasıl güvende tutarsınız?

NSA, kuruluşları ev ağlarını güvence altına almaya yönelik en iyi uygulamalar listesine yönlendirdi. Etkilenen cihazlardan birini kullanıyorsanız yapabileceğiniz en önemli şey, yönlendiricinizi mümkün olan en kısa sürede yükseltmektir. Cihazınız muhtemelen yıllardır aygıt yazılımı (firmware) güncellemesi almamıştır; bu da ağınızın kapısını kilitsiz bırakmak gibidir.

Forescout Güvenlik İstihbaratı Başkan Yardımcısı Rik Ferguson, "Bunu yapmaya ne kadar uzun süre devam ederseniz, risk o kadar artar," diyor. "Yönlendirici, herhangi bir ağ içinde çok ayrıcalıklı bir konumda bulunur. Tüm iletişiminiz ve tüm ağ trafiğiniz bu cihaz üzerinden geçmek zorundadır."

Hâlâ güvenlik güncellemeleri alan daha yeni bir cihaz kullanmanın yanı sıra, ağınızı daha güvenli hale getirmek için atabileceğiniz birkaç adım daha vardır:

• Aygıt yazılımınızı düzenli olarak güncelleyin: Birçok ağ cihazı, ayarlar kısmından otomatik aygıt yazılımı güncellemelerini etkinleştirmenize olanak tanır. Eğer bu bir seçenekse, bunu yapmanızı şiddetle tavsiye ederim. Değilse, yönlendiricinizin web arayüzüne giriş yaparak veya uygulamasını kullanarak güncellemeleri bulabilirsiniz.

• Yönlendiricinizi yeniden başlatın: NSA'nın kılavuzu, yönlendiricinizi, akıllı telefonunuzu ve bilgisayarlarınızı haftada en az bir kez yeniden başlatmanızı öneriyor. Kurum, "Düzenli yeniden başlatmalar, sisteme sızmış zararlı yazılımların (implantların) temizlenmesine ve güvenliğin sağlanmasına yardımcı olur," diyor.

• Varsayılan kullanıcı adlarını ve parolaları değiştirin: Bilgisayar korsanlarının erişim sağlamasının en yaygın yollarından biri, üretici tarafından belirlenen varsayılan giriş bilgilerini denemektir. Ferguson, "Bunun temelinde koca bir yeraltı ekonomisi yatıyor," diyor. "Temelde, ya kendi saldırılarıyla ya da diğer kaynaklardan toplayıp satın alarak giriş bilgilerini ele geçiriyorlar." Bu kullanıcı adı ve parola kombinasyonu, yine de yaklaşık altı ayda bir değiştirilmesi gereken Wi-Fi giriş bilgilerinizden farklıdır. Parolanız ne kadar uzun ve rastgele karakterlerden oluşursa o kadar iyidir.

• Uzaktan yönetimi devre dışı bırakın: Çoğu sıradan kullanıcının Wi-Fi yönlendiricisini uzaktan yönetmesine gerek yoktur; üstelik bu, tehdit aktörlerinin sizin bilginiz dışında yönlendirici ayarlarınızı değiştirebilmesinin başlıca yollarından biridir. Bu seçeneği genellikle yönlendiricinizin yönetici ayarlarında bulabilirsiniz.

• VPN kullanın: FBI'ın saldırıyla ilgili duyurusu, özellikle uzaktan çalışan personeli olan kuruluşların hassas verilere erişirken VPN kullanmalarını tavsiye ediyor. Bu hizmetler, trafiğinizi uzak bir sunucudan geçerken şifreleyerek onu bilgisayar korsanlarına karşı güvende tutar.

Kaynak: CNeT