Rus Hackerlar Fancy Bear Binlerce Router’ı Ele Geçirdi İnternet Trafiğini Çalıyor

Güvenlik araştırmacıları ve hükümet yetkilileri, Rus hükümeti destekli Fancy Bear (APT 28) hacker grubunun dünya çapında binlerce ev ve küçük işletme router’ını ele geçirdiğini duyurdu. Siber saldırı kampanyası, kurbanların internet trafiğini yönlendirerek şifrelerini ve erişim token’larını çalmayı hedefliyor.

GRU’nun bir parçası olduğuna inanılan grup, daha önce 2016 Demokratik Ulusal Komite ihlali ve 2022 Viasat saldırısı gibi olaylarla biliniyor.

Routerlar Nasıl Hedef Alındı

Birleşik Krallık siber güvenlik birimi NCSC ve Lumen’in araştırma kolu Black Lotus Labs’ın detaylarına göre, hackerlar MikroTik ve TP-Link marka, güncellenmemiş yönlendiricileri hedef aldı. Eski yazılımlar kullanan bu cihazlara sızan grup, uzaktan saldırılarla uzun süre gözetleme yaptı.

Ele geçirilen router’ların ayarları değiştirilerek kurbanların internet trafiği, hackerların yönettiği altyapıya yönlendirildi. Bu sayede kurbanlar sahte web sitelerine yönlendirilerek iki faktörlü kimlik doğrulama kodlarına bile ihtiyaç duymadan hesap bilgileri çalındı.

120 Ülkede On Binlerce Kurban

Black Lotus Labs, Fancy Bear grubunun yaklaşık 120 ülkede en az 18 bin kurbanı etkilediğini bildirdi. Kurbanlar arasında hükümet departmanları, kolluk kuvvetleri ve e-posta sağlayıcıları bulunuyor.

Microsoft ise 200’den fazla kuruluşu ve 5 bin tüketici cihazını etkileyen saldırılardan en az üç Afrika devlet kurumunun da nasibini aldığını açıkladı.

ABD Adalet Bakanlığı ve FBI Müdahale Etti

Lumen, FBI’ın da dahil olduğu bir koalisyonla botnet ağını bozarak çevrimdışı hale getirdiğini belirtti. ABD Adalet Bakanlığı, mahkeme izniyle ABD’deki ele geçirilmiş yönlendiricileri devre dışı bıraktığını duyurdu.

Bakanlık, FBI’ın kanıt toplama, ayarları sıfırlama ve hackerların tekrar sızmasını önleme amacıyla komutlar geliştirdiğini açıkladı. FBI’ın ayrıca hackerların kullandığı çeşitli alan adlarını da kapattığı bildirildi.

• #APT 28
• #Fancy Bear