Uzaktaki bir ağda sessizce gerçekleşen ve binlerce sıradan cihazı etkileyen bir siber saldırı, devlet destekli dijital savaşın ne kadar kesintisiz olduğunun ürpertici bir hatırlatıcısı.
Lumen Technologies’in Black Lotus Labs ekibi, kötü şöhretli Rus askeri istihbarat grubu APT28 tarafından organize edilen, küresel çapta tahmini 18.000 ila 40.000 tüketici router’ını ele geçiren sofistike ve geniş çaplı bir operasyonu ortaya çıkardı. Ağırlıklı olarak 120 ülkeye yayılmış MikroTik ve TP-Link cihazları hedefleyen bu router’lar, casusluk operasyonları için gizli bir altyapı olarak yeniden kullanılıyor ve temel olarak hassas şifreler ile kimlik belirteçlerini toplama odaklı çalışıyor.
Bu yeni bir durum değil, ne de APT28’in sürekli değişen isimleri (Pawn Storm, Sednit, Forest Blizzard gibi) yeni. Grubun yirmi yılı aşkın süredir keskinleştirdiği çalışma biçimi, dünya çapındaki hükümetleri ve önde gelen kuruluşları sürekli olarak hedef alıyor. Ancak burada kullanılan yöntemlerin ölçeği ve özgünlüğü, dikkatli bir analiz gerektiriyor.
Casuslukla Bağlantısı Nasıl Kuruluyor?
Ele geçirilen router’lar sadece pasif kanallar değil; APT28’in araç setinin aktif bir parçası haline gelmiş durumdalar. Bu ele geçirilen cihazların küçük bir alt kümesi, grubun dışişleri bakanlıkları, emniyet birimleri ve diğer devlet kurumlarına ait çok daha büyük bir router ağıyla olan bağlantısını gizlemek için proxy olarak kullanılıyor. Bu sayede APT28, hedefledikleri kişileri bir katmanlı gizlilikle izleyebiliyor. Dahası, grup Microsoft 365 alan adları da dahil olmak üzere kritik web sitelerinin DNS ayarlarını manipüle etme, kullanıcı trafiğini gerçek hedefe ulaşmadan önce kötü niyetli sunuculara yönlendirme yeteneğini sergiledi. Bu, tam anlamıyla bir ortadaki adam (man-in-the-middle) durumu, ancak router seviyesinde, tüm yerel ağları etkiliyor.
APT28’in bukalemun gibi evrimleşmesi özellikle endişe verici. Black Lotus Labs, LLM ‘LAMEHUG’ gibi en gelişmiş araçları “kanıtlanmış, uzun süredir devam eden tekniklerle” harmanlama becerilerini vurguluyor. Bu ikilik, gelişmiş sürekli tehditlerin (APT) bir alametifarikasıdır. Eski numaraları tekrar denemekten çekinmiyorlar; halka açık ifşaatlardan sonra bile güncellenmemiş, eski router modellerini istismar etmek, hedeflerine ulaşma konusundaki amansız takıntılarını gösteriyor.
“LLM ‘LAMEHUG’ gibi son teknoloji araçları, kanıtlanmış, uzun süredir devam eden tekniklerle harmanlamasıyla bilinen Forest Blizzard, savunmacıların bir adım önünde kalmak için taktiklerini sürekli olarak geliştiriyor,” diye yazdı Black Lotus araştırmacıları. “Geçmiş ve mevcut operasyonları hem teknolojik sofistikasyonlarını hem de halka açık ifşaatlardan sonra bile klasik saldırı yöntemlerine geri dönme istekliliklerini vurguluyor, bu da bu aktörün dünya çapındaki kuruluşlar için oluşturduğu sürekli riski pekiştiriyor.”
Saldırı vektörü, eski router firmware’indeki bilinen ve güncellenmemiş güvenlik açıklarından faydalanmaya dayanıyor. Erişim sağlandıktan sonra, saldırganlar DNS ayarlarını değiştiriyor ve Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) kullanarak bu değişiklikleri bağlı iş istasyonlarına yayıyor. Sonuç: Bir kullanıcı meşru bir siteyi ziyaret etmeye çalıştığında, bağlantısı görünmez bir şekilde saldırganın altyapısından geçiriliyor, bu da kimlik bilgisi toplama ve potansiyel olarak daha derin ağ penetrasyonuna izin veriyor.
Ele Geçirilmiş Altyapının Pazar Dinamikleri
Pazar perspektifinden bakıldığında, bu durum internetin genellikle ihmal edilen kenarındaki – milyonlarca ev ve küçük ofis router’ındaki – kritik bir güvenlik açığını ortaya koyuyor. Derinlemesine BT güvenliği uzmanlığı olmadan bireyler ve küçük işletmeler tarafından satın alınan bu cihazlar, geniş, dağıtılmış bir saldırı yüzeyi oluşturuyor. APT28 gibi tehdit aktörleri için finansal teşvik açık: Ele geçirilmiş kimlik bilgileri kurumsal ağlara erişimi kilitleyebilir, finansal dolandırıcılığı mümkün kılabilir veya daha fazla casusluğa olanak tanıyarak önemli getiriler sağlayabilir.
Bu kampanya aynı zamanda daha geniş bir eğilimi de vurguluyor: ulus devletler tarafından siber yeteneklerin artan askerileştirilmesi. GRU’nun katılımı, geleneksel savunmaları aşan dijital casusluk araçlarına stratejik, uzun vadeli bir yatırımı temsil ediyor. Ele geçirilen cihazların muazzam sayısı, fırsatçı hacklemenin çok ötesinde, yüksek oranda otomatikleştirilmiş ve koordine edilmiş bir çabayı gösteriyor.
Benim fikrim mi? ‘LAMEHUG’ gibi LLM’ler en son teknoloji gibi görünse de, asıl tehdit gelişmiş araç setlerinin, yama-ihmali gibi zamansız güvenlik açıkleriyle birleşmesinde yatıyor. GRU sadece yüksek teknoloji birim değil; pragmatikler. Onlar, kamuya açıklandıktan on yıl sonra bile yaygın olarak yamalanmamış bir güvenlik açığının hala bir altın madeni olduğunu biliyorlar, özellikle de saldırı zincirini optimize etmek için yapay zekayı kullanabiliyorlarsa. Bu router’ları sağlayan şirketler ve onların müşterileri sorumluluk taşıyor. Bu sadece bir ‘güvenlik sorunu’ değil; hem satıcılar hem de kullanıcılardan acil ve sürekli dikkat gerektiren temel bir altyapı riski.
İnternet bağlantısının temel altyapısına yönelik bu sürekli tehdit, sadece reaktif yamalamadan daha fazlasını gerektiriyor. Router üreticilerinden daha güvenli tasarlanmış cihazlar üretme konusunda proaktif bir yaklaşım ve son kullanıcılardan firmware güncellemelerine öncelik verme, dijital yaşamlarımızın göz ardı edilen köşelerini daha az çekici hedefler haline getirme konusunda bir zorunluluk getiriyor.
