Rus Fancy Bear hacker grubu, dünya genelinde binlerce router’ı ele geçirerek internet trafiğini yönlendiriyor. Şifreler ve kimlik bilgileri çalınıyor.
Güvenlik araştırmacıları ve hükümet yetkilileri, Rus hükümeti destekli Fancy Bear (APT 28) hacker grubunun dünya çapında binlerce ev ve küçük işletme router’ını ele geçirdiğini duyurdu. Grup, kurbanların internet trafiğini yönlendirerek şifreleri ve erişim token’larını çalmayı hedefliyor.
Rus istihbarat teşkilatı GRU’nun bir parçası olduğuna inanılan Fancy Bear, daha önce 2016’daki Demokratik Ulusal Komite ihlali ve 2022’de Viasat’a yapılan saldırı gibi önemli siber olaylarla ilişkilendirildi.
Birleşik Krallık hükümetinin siber güvenlik birimi NCSC ve Lumen’in araştırma kolu Black Lotus Labs, grubun MikroTik ve TP-Link marka, güncellenmemiş router’ları hedef aldığını açıkladı. Hackerlar, ele geçirdikleri router’ların ayarlarını değiştirerek kurbanların internet isteklerini kendi altyapılarına yönlendiriyor. Bu sayede, kurbanları sahte web sitelerine yönlendirerek kimlik doğrulama kodlarına ihtiyaç duymadan hesap bilgilerini çalabiliyorlar.
Black Lotus Labs, grubun yaklaşık 120 ülkede en az 18 bin kurbanı etkilediğini belirtti. Kurbanlar arasında hükümet departmanları, kolluk kuvvetleri ve e-posta sağlayıcıları bulunuyor. Microsoft ise 200’den fazla kuruluşu ve 5 bin tüketici cihazını etkileyen saldırılarda Afrika’daki en az üç devlet kurumunun yer aldığını duyurdu.
Lumen, FBI’ın da dahil olduğu bir koalisyonun botnet ağını bozarak çevrimdışı hale getirdiğini bildirdi. ABD Adalet Bakanlığı, mahkeme izniyle ABD topraklarındaki ele geçirilmiş router’ları devre dışı bıraktı. FBI, kanıt toplamak, ayarları sıfırlamak ve hackerların tekrar sızmasını önlemek için komutlar geliştirdi. FBI’ın, hackerlar tarafından kullanılan alan adlarını da kapatması bekleniyor.
