İnternet altyapısının temel yapı taşlarından biri olan DNS (Alan Adı Sistemi), kullanıcıların web sitelerine erişimini sağlayan kritik bir yönlendirme mekanizması olarak öne çıkıyor. Ancak bu sistemin manipüle edilmesi, kullanıcıların farkında olmadan saldırganların kontrolündeki sunuculara yönlendirilmesine ve hassas verilerinin ele geçirilmesine yol açabiliyor. Son yıllarda özellikle devlet destekli hacker gruplarının bu yöntemi sık sık kullanmaya başladığı biliniyor. ABD’den gelen yeni bir açıklama, bu tehdidin boyutunu bir kez daha gözler önüne serdi. ABD Adalet Bakanlığı, Rusya’nın askeri istihbarat teşkilatı GRU tarafından yürütülen geniş çaplı bir DNS ele geçirme ağının çökertildiğini duyurdu. FBI Boston ofisi liderliğinde gerçekleştirilen operasyonda, dünya genelinde 120’den fazla ülkede 18.000’i aşkın ev ve küçük ofis yönlendiricisinin ele geçirildiği ortaya çıktı. Mahkeme kararıyla yürütülen operasyon çerçevesinde FBI, ABD sınırları içindeki enfekte cihazlara uzaktan müdahale ederek DNS ayarlarını sıfırladı, saldırganların erişimini kesti ve cihazları yeniden normal işleyişine döndürdü.
Haberi okuduğunuz için teşekkürler, bizi takip etmeyi unutmayın!
DNS Kullanılarak Geniş Çaplı Bir Casusluk Altyapısı Kurulmuş
Yetkililere göre söz konusu ağ, GRU’nun 26165 numaralı askeri birimi tarafından yönetiliyordu. APT28, Fancy Bear veya Forest Blizzard gibi isimlerle de bilinen bu grup, özellikle yönlendiricilerdeki bilinen güvenlik açıklarını hedef alarak cihazlara sızmış. Saldırganlar, ele geçirdikleri yönlendiricilerin DNS ayarlarını değiştirerek kullanıcıların internet trafiğini kendi kontrol ettikleri sunucular üzerinden yönlendirmiş.
Bu yöntem, siber güvenlik dünyasında “adversary-in-the-middle” (ortadaki düşman) saldırısı olarak adlandırılıyor. Bu sayede saldırganlar, şifrelenmemiş veri trafiğini izleyerek kullanıcıların parolalarını, OAuth kimlik doğrulama token’larını ve hatta Microsoft Office 365 gibi hizmetlere ait giriş bilgilerini ele geçirebiliyor. Özellikle kritik altyapı, devlet kurumları ve askeri hedeflerin bu yöntemle izlenmesi, operasyonun sıradan bir siber saldırının ötesine geçtiğini gösteriyor.
Microsoft’un hazırladığı rapora göre bu casusluk altyapısından 200’den fazla kurum ve 5.000’den fazla tüketici cihazı doğrudan etkilendi. Hedefler arasında Afrika’da faaliyet gösteren bazı devlet kurumlarının da bulunduğu belirtiliyor. Ayrıca saldırıların; enerji, telekomünikasyon ve kamu altyapısı gibi stratejik sektörleri kapsaması, operasyonun küresel ölçekte bir istihbarat toplama faaliyeti olduğunu ortaya koyuyor.
FBI, bu casusluk ağının çökertilmesi için düzenlenen uluslararası operasyonun 15 ülkenin katılımıyla gerçekleştiğini duyurdu. Ayrıca Microsoft gibi şirketler de operasyona destek verdii. Microsoft’un siber güvenlik ekibi, botnet altyapısının tespit edilmesinde kritik katkılar sağladı.
Tehdit Ortadan Kalkmış Değil
Her ne kadar operasyon kapsamında büyük bir ağ çökertilmiş olsa da yetkililer bu tehdidin tamamen ortadan kalkmadığı konusunda uyarıyor. Microsoft, DNS ele geçirme yönteminin yalnızca veri toplamakla sınırlı kalmayıp, kötü amaçlı yazılım dağıtımı veya hizmet engelleme (DDoS) saldırıları için de kullanılabileceğine dikkat çekiyor.
ABD Adalet Bakanlığı’nın açıklamasında Rusya’nın siber operasyonları “kalıcı bir tehdit” olarak tanımlanırken, bu tür saldırıların gelecekte de devam edebileceği vurgulanıyor
