GRU DNS Ele Geçirme Ağı: Küresel İstihbarat İçin Yeni Tehdit ve Operasyon Sonuçları
DNS, internet kullanıcılarının web sitelerine ulaşmasını sağlayan temel yönlendirme mekanizması olarak ön plana çıkıyor. Ancak bazı aktörler bu sistemi manipüle ederek kullanıcıları kendilerinin kontrol ettiği sunuculara yönlendirebiliyor ve böylece hassas verileri ele geçirebiliyor. Özellikle devlet destekli hacker gruplarının bu yöntemi sıkça kullandığı biliniyor. ABD’den gelen yeni bilgiler, tehditlerin boyutunu bir kez daha gözler önüne seriyor.
ABD Adalet Bakanlığı, GRU adıyla bilinen Rusya’nın askeri istihbarat teşkilatının devasa bir DNS ele geçirme ağını çökerttiklerini duyurdu. FBI’ın Boston ofisi koordinesinde yürütülen operasyon sonucunda dünya çapında 18.000’i aşkın ev ve küçük ofis yönlendiricisi ele geçirildi ve 120’den fazla ülkede enfekte cihazlar belirlendi. Enfekte cihazlara uzaktan erişim sağlayan operasyon, DNS ayarlarını sıfırlayarak saldırganların erişimini sonlandırdı ve cihazların normal işleyişine dönmesini sağladı.
Yetkililer, ağın GRU’nun 26165 numaralı askeri birimi tarafından yönetildiğini ve FAŞE olarak da adlandırılan APT28, Fancy Bear ile Forest Blizzard gibi kod adlarıyla bilinen bu grubun yönlendirme cihazlarındaki bilinen güvenlik açıklarını kullanarak sisteme sızdığını belirtti. Sızılan cihazların DNS ayarları değiştirildi ve kullanıcı trafiği saldırganların denetlediği sunucular üzerinden akmaya başladı. Bu teknik, siber güvenlik dünyasında “adversary-in-the-middle” olarak tanınan bir saldırı türüdür ve şifrelenmemiş trafik üzerinden parolalar, OAuth token’ları ve hatta bazı hizmet giriş bilgilerinin ele geçirilmesine yol açabilir.
Ahilik doğrudan hedefler arasında enerji, telekomünikasyon ve kamu altyapıları gibi kritik sektörlerin yer aldığı bu operasyonda zarar büyüktür. Microsoft’un raporuna göre bu casusluk altyapısından 200’den fazla kurum ve 5.000’den fazla tüketici cihazı doğrudan etkilendi. Hedefler arasında Afrika’da faaliyet gösteren bazı devlet kurumlarının bulunduğu da vurgulanıyor. Ayrıca operasyonlar, uluslararası ölçekte 15 ülkenin katılımıyla gerçekleşti ve Microsoft da destek veren şirketler arasında yer aldı. Microsoft’un güvenlik ekibi, botnet altyapısının tespitinde kritik katkılar sağladı.
Tehdit tamamen kaybolmuş değil: Operasyonun başarısına rağmen yetkililer, bu tür tehditlerin tamamen sona ermediğini belirtiyor. DNS ele geçirme yöntemi yalnızca veri toplama amacıyla sınırlı kalmayıp, kötü amaçlı yazılım dağıtımı veya hizmet engelleme (DDoS) olaylarına da zemin hazırlayabilir. ABD Adalet Bakanlığı açıklamasında Rusya’nın siber operasyonlarının “kalıcı bir tehdit” olarak nitelendirildiğini ve gelecekte de benzer saldırıların devam edebileceğini ifade ediyor.
