Türkiye'deki siber güvenlik uzmanları, ev ve küçük ofis ağlarında kullanılan yaygın router modellerinin Rusya merkezli bir hacker grubu tarafından hedef alındığına dair ciddi bir uyarıda bulundu. 2024 başından bu yana devam eden saldırılarda, APT28 olarak bilinen grubun, TP-Link ve MikroTik marka router'ların güvenlik açıklarından faydalanarak ağ trafiğini kendi kontrolündeki sunuculara yönlendirdiği tespit edildi. Bu sayede kullanıcıların Outlook gibi popüler e-posta ve web hizmetlerine ait oturum bilgilerini ve kimlik doğrulama jetonlarını çalmayı amaçlıyorlar.
Güvenlik merkezinin yayınladığı bilgilere göre, hackerlar sanal özel sunucuları kötü amaçlı DNS çözümleyicileri olarak yapılandırıyor. Ardından, ele geçirilen router'ların DHCP DNS ayarlarını değiştirerek, bu sunuculara yönlendiriyor. Bu durum, ağa bağlı bilgisayar, telefon ve diğer cihazların otomatik olarak saldırganların kontrolündeki altyapıya bağlanmasına neden oluyor.
APT28, özellikle hedeflediği hizmetlere ait giriş sayfaları gibi alan adları için yapılan sorguları, saldırganların kontrolündeki IP adreslerine yönlendiriyor. Böylece, kullanıcıların giriş bilgilerini ve kimlik doğrulama jetonlarını ele geçirmeye çalışıyor. Saldırıların odağında yer alan alan adları arasında autodiscover-s.outlook.com, imap-mail.outlook.com, outlook.live.com, outlook.office.com, ve outlook.office365.com gibi popüler Microsoft servisleri bulunuyor.
TP-Link WR841N modeli, saldırılarda kullanılan yaygın cihazlardan biri olarak öne çıkıyor. Hackerların, bu modeldeki bir güvenlik açığını kullanarak router'ın kimlik bilgilerini elde ettiği ve ardından DHCP DNS ayarlarını değiştirerek kendi kötü amaçlı IP adreslerini birincil DNS olarak ayarladığı belirtiliyor. Bu durum, ağdaki tüm cihazların trafiğinin hackerların kontrolüne geçmesine yol açıyor.
Saldırılardan etkilenen diğer TP-Link modelleri arasında Archer C5, C7, WDR3500, WDR3600, WDR4300, WR1043ND, MR3420, MR6400 LTE ve WR740N, WR840N, WR841N, WR842N, WR845N, WR941ND gibi çeşitli versiyonlar yer alıyor. Ayrıca, MikroTik router'lar da aynı saldırı altyapısı tarafından hedef alınıyor.
Uzmanlar, bu tür saldırılara karşı korunmak için kullanıcıların router'larının yazılımını güncel tutmaları, yönetim arayüzlerini internete açık bırakmamaları ve hesaplarında çok faktörlü kimlik doğrulama gibi ek güvenlik önlemlerini etkinleştirmeleri gerektiğini vurguluyor.
