Rus destekli Fancy Bear hacker grubu, dünya genelinde binlerce router’ı ele geçirerek internet trafiğini yönlendirip kullanıcı bilgilerini çalıyor. ABD ve İngiltere yetkilileri devreye girdi.
Güvenlik araştırmacıları ve hükümet yetkilileri, Rus hükümeti destekli ‘Fancy Bear’ veya ‘APT 28’ olarak bilinen hacker grubunun dünya genelinde binlerce ev ve küçük işletme router’ını ele geçirdiğini duyurdu. Bu devam eden siber saldırı kampanyası, kurbanların internet trafiğini yönlendirerek şifrelerini ve oturum belirteçlerini çalmayı hedefliyor.
TechCrunch’ın haberine göre, Rus istihbarat teşkilatı GRU ile bağlantılı olduğu düşünülen bu grubun, daha önce 2016 Demokratik Ulusal Komite ihlali ve 2022 Viasat saldırısı gibi önemli siber olayların failleri arasında yer aldığı biliniyor.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) ve Lumen’in araştırma birimi Black Lotus Labs tarafından yayınlanan detaylar, grubun özellikle yama yapılmamış MikroTik ve TP-Link router’larını hedef aldığını ortaya koydu. Eski yazılımlar kullanan bu cihazlara sızan hackerlar, yıllardır kullanıcıları gözetim altında tutabiliyor.
Ele geçirilen router’ların ayarlarını değiştiren saldırganlar, kurbanların internet isteklerini kendi kontrolündeki altyapıya yönlendiriyor. Bu sayede kullanıcıları sahte web sitelerine çekerek, iki faktörlü kimlik doğrulama kodlarına dahi ihtiyaç duymadan şifreleri ve oturum belirteçlerini çalabiliyorlar.
Black Lotus Labs, Fancy Bear grubunun yaklaşık 120 ülkede en az 18 bin kurbanı etkilediğini belirtti. Hedefler arasında hükümet departmanları, kolluk kuvvetleri ve e-posta sağlayıcıları yer alıyor.
Microsoft ise yaptığı açıklamada, araştırmacılarının 200’den fazla kuruluşu ve 5 bin tüketici cihazını etkileyen bu saldırılardan haberdar olduğunu ve bunların arasında Afrika’daki en az üç devlet kurumunun bulunduğunu bildirdi.
Lumen, FBI’ın da dahil olduğu bir koalisyon ile botnet ağını bozarak çevrimdışı hale getirdiğini duyurdu. ABD Adalet Bakanlığı, mahkeme izniyle ABD topraklarındaki ele geçirilmiş router’ları devre dışı bıraktığını açıkladı.
Bakanlık, FBI’ın kanıt toplamak, ayarları sıfırlamak ve hackerların yeniden erişimini engellemek amacıyla ele geçirilen cihazlara yönelik komutlar geliştirdiğini belirtti. FBI’ın ayrıca hackerlar tarafından kullanılan çeşitli alan adlarını da kapatması bekleniyor.
