Almanya merkezli istihbarat teşkilatı Bundesamt für Verfassungsschutz (BfV), ABD merkezli Federal Soruşturma Bürosu (FBI) ve Ulusal Güvenlik Ajansı (NSA) öncülüğünde uluslararası bir siber güvenlik uyarısı yayımlandı. Kanada, Çekya, Danimarka, Estonya, Finlandiya, İtalya, Letonya, Litvanya, Norveç, Polonya, Portekiz, Romanya, Slovakya ve Ukrayna güvenlik kurumlarının da katıldığı ortak uyarıda, Rusya askeri istihbaratına (GRU) bağlı APT28 grubunun küresel çapta internet yönlendiricilerini (router) hedef aldığı bildirildi.
Saldırının teknik detayları ve hedeflenen kurumlar
Fancy Bear ve Forest Blizzard isimleriyle de bilinen 85. Ana Özel Servis Merkezi (85. GTSSS) bünyesindeki siber aktörler, CVE-2023-50224 güvenlik açığını kullanarak TP-Link yönlendiricilerini ele geçiriyor. Ele geçirilen cihazların DHCP ve DNS ayarları değiştirilerek kullanıcıların internet trafiği saldırganların kontrolündeki sunuculara yönlendiriliyor. Bu yöntemle ABD merkezli teknoloji şirketi Microsoft’un Outlook Web Access gibi platformlarındaki iletişim arasına girilerek şifreler, kimlik doğrulama belirteçleri ve e-posta içerikleri çalınıyor. Grubun asıl hedefinin ise askeri birimler, hükümet kurumları ve kritik altyapı (KRITIS) sistemlerine ait hassas bilgiler olduğu belirtiliyor.
Almanya ve dünyadaki etkileri
APT28 grubu dünya genelinde zafiyet barındıran binlerce TP-Link cihazına sızarken, Almanya’da yaklaşık 30 yönlendiricinin bu durumdan etkilendiği tespit edildi. BfV, 13 Mart tarihinden itibaren saldırıya uğrayan cihazların operatörlerini belirleyerek yerel anayasayı koruma kurumlarıyla birlikte uyarılarda bulundu. Kurumun yaptığı forensik incelemeler sonucunda cihazların APT28 tarafından ele geçirildiği doğrulanırken, savunmasız birçok TP-Link yönlendiricisi yenileriyle değiştirildi.
Güvenlik önlemleri ve tavsiyeler
Güvenlik kurumları, siber saldırılara karşı korunma imkânı yaratmak için yöneticilere ve bireysel kullanıcılara yönelik çözüm önerileri paylaştı. Yayımlanan metinde şu tavsiyelere yer verildi:
- Desteği sona ermiş cihazların yeni modellerle değiştirilmesi gerektiği vurgulandı.
- Kullanıcıların cihazlarındaki donanım yazılımını (firmware) en güncel sürüme yükseltmesi istendi.
- Varsayılan kullanıcı adlarının ve şifrelerinin mutlaka değiştirilmesi önerildi.
- Yönlendiricilerin internet üzerinden uzaktan yönetim arayüzlerinin devre dışı bırakılması gerektiği belirtildi.
- Kurumların, çalışanlarına uzaktan çalışma süreçlerinde VPN kullanımını zorunlu kılması ve ağ erişim politikalarını gözden geçirmesi tavsiye edildi.
Siber korsan grubunun geçmiş faaliyetleri
Devlet destekli Rus hacker grubu APT28, geçmiş yıllarda da kritik kurumlara yönelik siber eylemler gerçekleştirmişti. Grubun faaliyetleri arasında 2015 yılında Almanya Federal Meclisine (Bundestag), 2023 yılı başında SPD parti genel merkezine ve Ağustos 2024’te Alman Hava Seyrüsefer Hizmetlerine (Deutsche Flugsicherung) yönelik saldırılar bulunuyor. BfV’nin bu grubun siber sahadaki hareket alanını daraltmak için operasyonlarını sürdüreceği açıklanırken; yayımlanan rapora ABD merkezli Microsoft Threat Intelligence birimi ile Black Lotus Labs ve MIT Lincoln Laboratory gibi kuruluşların da teknik destek sağladığı belirtildi.
