Rus askeri istihbarat biriminin, ev ve küçük ofislerde kullanılan modemleri yaygın siber saldırılarla ele geçirdiği ve kullanıcıları farkında olmadan şifre ve kimlik bilgilerini toplayan sitelere yönlendirdiği bildirildi. Araştırmacılar, bu operasyonların casusluk faaliyetlerinde kullanıldığını belirtiyor.
Yapılan incelemelere göre, 120 ülkede bulunan ve çoğunluğu MikroTik ve TP-Link markalarına ait olan tahminen 18.000 ila 40.000 adet modem, Rusya askeri istihbarat teşkilatı GRU'nun bir parçası olan ve uzun yıllardır faaliyet gösteren APT28 adlı gelişmiş tehdit grubunun altyapısına dahil edilmiş. Bu grup, dünya genelinde hükümetleri hedef alan birçok yüksek profilli siber saldırının arkasında yer alıyor. APT28, ayrıca Pawn Storm, Sofacy Group, Sednit, Tsar Team, Forest Blizzard ve STRONTIUM gibi isimlerle de takip ediliyor.
Teknik Yeterlilik ve Eskimeyen Yöntemler
Saldırganlar, ele geçirdikleri modemlerin küçük bir kısmını, hedefledikleri dışişleri bakanlıkları, emniyet birimleri ve devlet kurumlarına ait daha büyük miktardaki diğer modemlere bağlanmak için vekil sunucu olarak kullandı. Ardından, modemlerin kontrolünü ele geçirerek belirli web sitelerinin DNS çözümlemelerini değiştirdiler. Bu siteler arasında Microsoft'un 365 hizmetine ait alan adları da bulunuyordu.
Araştırmacılar, "'LAMEHUG' gibi büyük dil modelleriyle (LLM) gelişmiş araçları, kanıtlanmış ve uzun süredir kullanılan tekniklerle harmanlamasıyla bilinen Forest Blizzard, savunmacıların bir adım önünde olmak için taktiklerini sürekli olarak geliştiriyor. Önceki ve mevcut kampanyaları, hem teknolojik yeterliliklerini hem de kamuoyunda bilindikten sonra bile klasik saldırı yöntemlerine başvurma isteklerini vurguluyor ve bu aktörün dünya genelindeki kuruluşlar için oluşturduğu sürekli riski ortaya koyuyor" şeklinde açıklamalarda bulundu.
Modemleri ele geçirme yönteminde, saldırganlar güvenlik açıklarına karşı yamalanmamış eski model modemleri hedef aldı. Ardından, seçili alan adlarının DNS ayarlarını değiştirdiler ve Dinamik Ana Bilgisayar Yapılandırma Protokolü'nü (DHCP) kullanarak bu ayarları modemlere bağlı iş istasyonlarına yaydılar. Bağlı cihazlar, seçilen alan adlarını ziyaret ettiklerinde, bağlantıları asıl hedeflerine ulaşmadan önce zararlı sunucular üzerinden yönlendirildi.
Bu tür saldırılarda kullanılan ve "ortadaki düşman" (adversary-in-the-middle) olarak adlandırılan sunucular, kendi kendine imzalanmış sertifikalar kullanıyordu. Kullanıcılar, güvensiz TLS sertifikalarıyla ilgili tarayıcı uyarılarını dikkate almayıp geçtiklerinde, bu sunucular üzerinden geçen tüm trafiği yakalıyorlardı. Bu trafikte, kullanıcıların farkında olmadan çok faktörlü kimlik doğrulama adımlarını tamamlamasının ardından alınan OAuth tokenları ve diğer kimlik bilgileri bulunuyordu.
Operasyon, Mayıs 2025'te sınırlı sayıda cihazda başladı. Ardından, Ağustos ayında İngiltere Ulusal Siber Güvenlik Merkezi, bir tehdit grubunun "Microsoft Office hesap kimlik bilgilerini ve tokenlarını ele geçirmek için kullandığı bir zararlı yazılım kampanyasını" belgeleyen bir uyarı yayınladı. Bir gün sonra, tehdit grubu modem ele geçirme faaliyetlerini hızla artırdı ve sonraki aylarda da bu aktiviteyi sürdürdü.
12 Aralık'ta başlayan dört haftalık bir dönemde, araştırmacılar 290.000'den fazla farklı IP adresinin, zararlı APT28 DNS çözümleyicisine en az bir DNS isteği gönderdiğini gözlemledi. Bu durum, "bir yetenek açıklandığında, aktörün kimlik doğrulama materyallerini toplamaya devam etmek için hemen başka bir yönteme başvurduğunu" gösteriyor.
Araştırmacılar, APT28'in geçmişte de modemlere saldırdığına dikkat çekiyor. 2018'de VPNFilter adlı zararlı yazılımla enfekte olmuş 500.000 modemin keşfedildiği, 2024'te ise ABD Adalet Bakanlığı'nın bu grubu aynı faaliyeti yaparken yakaladığı belirtiliyor.
Kullanıcıların, modemlerinin bu operasyon kapsamında ele geçirilip geçirilmediğini anlamanın en kolay yolu, mevcut DNS ayarlarını kontrol ederek tanınmayan sunucular listelenip listelenmediğini gözden geçirmektir. Ayrıca, DNS sunucu ayarlarındaki tanınmayan değişiklikler için olay günlükleri de kontrol edilmelidir. Kullanıcıların, güvenlik güncellemeleri alan yeni modemlerle eski veya desteklenmeyen modemlerini değiştirmeleri şiddetle tavsiye edilir. Ayrıca, güvensiz TLS sertifikaları uyarılarını veren tarayıcı bildirimlerine asla tıklanmamalıdır.
