Yönlendiriciniz gizlice yabancı istihbarat için mi çalışıyor?

Yakın zamanda ortaya çıkan binlerce ASUS ev yönlendiricisinin hacklenmesi; evinizdeki Wi-Fi erişim noktasının sadece siz (ve muhtemelen komşularınız) tarafından kullanılmakla kalmadığını, aynı zamanda siber suçluların ve hatta hedefe yönelik casusluk saldırıları gerçekleştiren devlet destekli bilgisayar korsanlarının da gözdesi olduğunu gösteriyor. Kötü şöhretli APT31 grubuyla bağlantılı olduğu tahmin edilen bu yeni saldırı halen devam ediyor. Onu özellikle tehlikeli yapan şey, gizli doğası ve ona karşı savunma yapmak için gereken alışılmadık yaklaşımdır. Bu nedenle kötü niyetli aktörlerin neden yönlendiricileri hedef aldığını ve kendinizi bu hacker hilelerinden nasıl koruyacağınızı anlamak çok önemlidir.

Güvenliği ihlal edilmiş yönlendiriciler nasıl istismar edilir?

• Konut proxy’si: Bilgisayar korsanları büyük şirketleri veya devlet kurumlarını hedef aldığında, saldırılar genellikle güvenli ağa erişmeye çalışan olağandışı IP adresleri tarafından tespit edilir. Bir şirket bir ülkede faaliyet gösterirken bir çalışanın aniden başka bir ülkeden şirket ağına giriş yapması oldukça şüphe uyandırıcıdır. Bilinen VPN sunucu adreslerinden yapılan girişler de aynı derecede şüphelidir. Siber suçlular faaliyetlerini maskelemek için amaçladıkları hedefe yakın bir ülkede ve hatta bazen belirli bir şehirde bulunan hacklenmiş yönlendiricileri kullanırlar. Tüm isteklerini yönlendiriciniz aracılığıyla iletirler, yönlendiriciniz de verileri hedef bilgisayara iletir. İzleme sistemlerine göre bu, normal bir çalışanın iş kaynaklarına evden erişmesi gibi görünür ve herhangi bir şüphe uyandıracak bir şey değildir.
• Komut ve kontrol sunucusu: Saldırganlar, hedef bilgisayarların indirmesi için güvenliği ihlal edilmiş cihazda kötü amaçlı yazılım barındırabilir. Ya da tam tersine, ağdan doğrudan yönlendiricinize veri sızdırabilirler.
• Rakipler için bal küpü: Bir yönlendirici, diğer hacker grupları tarafından kullanılan teknikleri incelemek için yem (bal küpü) olarak kullanılabilir.
• Madencilik teçhizatı: Kripto madenciliği için herhangi bir işlemcili cihaz kullanılabilir. Madencilik için bir yönlendirici kullanmak çok verimli değildir, ancak bir siber suçlu elektrik veya ekipman için ödeme yapmadığından, yine de onlar için işe yarar.
• Trafik manipülasyon aracı. Güvenliği ihlal edilmiş bir yönlendirici internet bağlantılarının içeriğini ele geçirebilir ve değiştirebilir. Bu, saldırganların ev ağına bağlı herhangi bir cihazı hedef almasına olanak tanır. Bu tekniğin uygulama alanı, parolaların çalınmasından web sayfalarına reklam enjekte edilmesine kadar, oldukça geniştir.
• DDoS botu: Yönlendiriciler, bebek monitörleri, akıllı hoparlörler ve hatta akıllı su ısıtıcıları dahil olmak üzere tüm ev cihazları bir botnet ağına bağlanabilir ve bu cihazlardan milyonlarca eşzamanlı istek göndererek herhangi bir çevrimiçi hizmete aşırı yükleme yapabilir.

Bu seçenekler çeşitli saldırgan gruplarının ilgisini çekmektedir. Madencilik, reklam enjeksiyonu ve DDoS saldırıları genellikle finansal amaçlı siber suçluların ilgisini çekerken, konut IP adreslerinden başlatılan hedefli saldırılar genellikle fidye yazılımı çeteleri veya gerçek casusluk faaliyetlerinde bulunan gruplar tarafından gerçekleştirilir. Bu, casus romanlarından çıkmış gibi gelebilir, ancak o kadar yaygındır ki, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve FBI, çeşitli zamanlarda bu konuda birçok uyarı yayınlamıştır. Casuslar, doğaları gereği son derece gizli çalışır, bu nedenle yönlendirici sahipleri, cihazlarının amaç dışı kullanıldığını nadiren fark ederler.

Yönlendiriciler nasıl hacklenir?

Bir yönlendiriciyi hacklemenin en yaygın iki yolu, yönetim arabirimine deneme yanılma yoluyla parola kırmak ve donanım yazılımındaki güvenlik açıklarını kötüye kullanmaktır. İlk senaryoda saldırganlar, yönlendiriciyi fabrika ayarları ve varsayılan admin parolasıyla bırakan veya parolayı 123456 gibi hatırlaması ve tahmin etmesi kolay bir parolayla değiştiren sahiplerden yararlanır. Saldırganlar parolayı kırdıktan sonra kontrol paneline tıpkı sahibi gibi giriş yapabilirler.

İkinci senaryoda, saldırganlar üreticisini ve modelini belirlemek için yönlendiriciyi uzaktan araştırır, ardından cihazın kontrolünü ele geçirmek için bilinen güvenlik açıklarını tek tek dener.

Tipik olarak, başarılı bir saldırıdan sonra, istedikleri işlevleri yerine getirmek için yönlendiriciye gizli kötü amaçlı yazılım yüklerler. İnternetiniz yavaşladığında, yönlendiricinizin CPU’su fazla mesai yaptığında veya hatta yönlendirici aşırı ısınmaya başladığında bir şeylerin yanlış gittiğini fark edebilirsiniz. Fabrika ayarlarına dönme veya ürün yazılımı güncellemesi genellikle tehdidi ortadan kaldırır. Ancak ASUS yönlendiricilere yönelik son saldırılar farklı bir hikayeydi.

ASUS saldırılarını farklı kılan nedir ve nasıl fark edilir?

Bu saldırıyla ilgili en önemli şey, basit bir ürün yazılımı güncellemesiyle düzeltilemeyecek olmasıdır. Saldırganlar, düzenli yeniden başlatmalar ve ürün yazılımı güncellemeleri boyunca devam eden yönetici erişimine sahip gizli bir arka kapı kurarlar.

Saldırıyı başlatmak için saldırgan yukarıda açıklanan her iki tekniği de kullanır. Yönetici parolasını deneme yanılma ile zorlamak başarısız olursa, saldırganlar kimlik doğrulamayı tamamen atlamak için iki güvenlik açığından yararlanır.

Bu noktadan sonra saldırı daha karmaşık hale gelir. Saldırganlar, yönlendiricinin yerleşik SSH uzaktan yönetim özelliğini etkinleştirmek için başka bir güvenlik açığı kullanır. Daha sonra ayarlara, cihaza bağlanmalarını ve cihazı kontrol etmelerini sağlayacak olan kendi kriptografik anahtarlarını eklerler.

Çok az ev kullanıcısı SSH kullanarak yönlendiricilerini yönetir veya yönetici anahtarlarının listelendiği ayarlar bölümünü kontrol eder, bu nedenle bu erişim tekniği yıllarca fark edilmeyebilir.

Bu saldırıda istismar edilen üç güvenlik açığı da o zamandan beri satıcı tarafından yamalanmıştır. Ancak, yönlendiriciniz daha önce ele geçirilmişse, aygıt yazılımını güncellemek arka kapıyı kaldırmayacaktır. Yönlendiricinizin ayarlarını açmanız ve 53282 numaralı portu dinleyen bir SSH sunucusunun etkin olup olmadığını kontrol etmeniz gerekir. Eğer öyleyse, SSH sunucusunu devre dışı bırakın ve şu karakterlerle başlayan yönetici SSH anahtarını silin

AAAAB3NzaC1yc2EA

Tüm bunları nasıl yapacağınızdan emin değilseniz, daha köklü bir çözüm var: Fabrika ayarlarına geri dönme.

Sadece ASUS değil

ASUS saldırısını keşfeden araştırmacılar, bunun video gözetim sistemleri, NAS kutuları ve ofis VPN sunucuları da dahil olmak üzere yaklaşık 60 tür ev ve ofis cihazını vuran daha geniş bir saldırı kampanyasının parçası olduğuna inanıyor. Etkilenen cihazlar arasında D-Link DIR-850L S, Cisco RV042, Araknis Networks AN-300-RT-4L2W, Linksys LRT224 ve bazı QNAP cihazları bulunmaktadır. Bunlara yönelik saldırılar biraz farklı şekilde ortaya çıksa da aynı genel özellikleri paylaşmaktadır; güvenlik açıklarından yararlanma, kontrolü ele geçirmek için yerleşik cihaz işlevlerini kullanma ve gizliliği koruma. Araştırmacıların değerlendirmelerine göre, ele geçirilen cihazlar trafiği yeniden yönlendirmek ve rakip tehdit aktörleri tarafından kullanılan saldırı tekniklerini izlemek için kullanılıyor. Bu saldırılar “iyi kaynaklara sahip ve son derece yetenekli” bir bilgisayar korsanlığı grubuna atfedilmekte. Bununla birlikte, benzer teknikler dünyanın dört bir yanındaki hedefli saldırı grupları tarafından benimsenmiş. Bu nedenle, orta büyüklükteki herhangi bir ülkenin ev tipi yönlendiricileri artık onlar için cazip bir hedef haline gelmiş durumda.

Önemli noktalar ve ipuçları

ASUS ev yönlendiricilerine yönelik saldırı, hedefli izinsiz girişlerin klasik belirtilerini göstermektedir: Sızma, kötü amaçlı yazılım kullanmadan ele geçirme ve güvenlik açığı yamalandıktan ve ürün yazılımı güncellendikten sonra bile açık kalan kalıcı erişim kanallarının oluşturulması. Peki, bir ev kullanıcısı bu tür saldırganlara karşı korunmak için ne yapabilir?

• Yönlendirici seçiminiz önemlidir. Sağlayıcınızın size kiraladığı standart yönlendiriciyle yetinmeyin ve her zaman en ucuz seçeneği tercih etmeyin. Elektronik mağazalarındaki seçeneklere göz atın ve son bir veya iki yıl içinde piyasaya sürülen bir model seçin, böylece gelecek yıllarda ürün yazılımı güncellemelerini almayı garantileyebilirsiniz. Güvenliği ciddiye alan bir üretici seçmeye çalışın. Ortada mükemmel seçenekler olmadığı için bu zor bir iştir. Genellikle ürün yazılımı güncellemelerinin sıklığını ve üreticinin belirttiği destek süresini bir kılavuz olarak kullanabilirsiniz. Router Security gibi sitelerde en son yönlendirici güvenliği haberlerini bulabilirsiniz, ancak orada “iyi hikayeler” bulmayı beklemeyin; burası daha çok “anti-kahramanları” bulmak için kullanışlıdır.
• Cihazınızın aygıt yazılımını düzenli olarak güncelleyin. Yönlendiriciniz otomatik güncelleme özelliği sunuyorsa, en iyisi bunu etkinleştirmektir, böylece manuel güncellemeler veya geride kalma konusunda endişelenmenize gerek kalmaz. Yine de yılda birkaç kez yönlendiricinizin durumunu, ayarlarını ve ürün yazılımı sürümünü kontrol etmek iyi bir fikirdir. 12-18 ay içinde bir ürün yazılımı güncellemesi almadıysanız, yönlendiricinizi daha yeni bir modelle değiştirmeyi düşünmenin zamanı gelmiş olabilir.
• Yönlendiricinizdeki tüm gereksiz hizmetleri devre dışı bırakın. Tüm ayarları gözden geçirin ve kullanmadığınız özellikleri veya ekstraları kapatın.
• Tüm yönetim kanalları (SSH, HTTPS, Telnet ve diğer her şey) aracılığıyla yönlendiricinize internetten (WAN) yönetici erişimini devre dışı bırakın.
• Mobil yönlendirici yönetim uygulamalarını devre dışı bırakın. Her ne kadar kullanışlı olsa da, bu uygulamalar bir dizi yeni riski de beraberinde getirmektedir. Zira akıllı telefonunuz ve yönlendiricinize ek olarak, muhtemelen özel bir bulut hizmeti de söz konusu olacaktır. Bu nedenle, bu yönetim yöntemini devre dışı bırakmak ve kullanmaktan kaçınmak en iyisidir.
• Hem yönlendirici yönetimi hem de Wi-Fi erişimi için varsayılan parolaları değiştirin. Bu parolalar aynı olmamalıdır. Her biri uzun olmalı ve belirgin kelimeler veya sayılardan oluşmamalıdır. Yönlendiriciniz izin veriyorsa, admin kullanıcı adını benzersiz bir adla değiştirin.
• Ev ağınız için kapsamlı koruma kullanın. Örneğin Kaspersky Premium, savunmasız cihazlar ve zayıf parola gibi yaygın sorunları izleyen bir akıllı ev koruma modülü ile birlikte gelir. Akıllı ev monitörünüz ağınızda zayıf noktalar veya daha önce tanımlamadığınız yeni bir cihaz tespit ederse, sizi uyaracak ve ağınızın güvenliğini sağlamak için önerilerde bulunacaktır.
• Yönlendiricinizin yapılandırmasının her sayfasını kontrol edin. Aşağıdaki şüpheli işaretleri arayın: (1) Ev ağınızdaki veya internetteki bilinmeyen cihazlara port yönlendirme, (2) Oluşturmadığınız yeni kullanıcı hesapları ve (3) Bilinmeyen SSH anahtarları veya diğer oturum açma kimlik bilgileri. Buna benzer bir şey bulursanız, kullanıcı adı veya port adresi gibi keşfettiğiniz şüpheli bilgilerle birlikte yönlendirici modelinizi çevrimiçi olarak arayın. Yönlendiricinizin belgelenmiş bir sistem özelliği olarak keşfettiğiniz sorunla ilgili herhangi bir ibare bulamazsanız, bu verileri kaldırın.
• Telegram kanalımıza abone olun ve tüm siber güvenlik haberlerinden haberdar olun.

Akıllı ev cihazlarınızı seçme, kurma ve koruma konusunda daha fazla ipucu ve evinizdeki elektronik cihazları hedef alan diğer hacker tehditleri hakkında bilgi almak için aşağıdaki yazılarımıza göz atabilirsiniz:

• Akıllı evinizi nasıl planlarsınız ve halihazırda sahip olduğunuz cihazlardan en iyi şekilde nasıl yararlanırsınız?
• Akıllı evinizin güvenliğini nasıl sağlarsınız: Derinlemesine bir kılavuz
• O kadar da akıllı olmayan ev
• Akıllı kilit kullanmamanız için üç neden
• Yönlendirici (Router) kötü amaçlı yazılımlarının gizli tehditleri