Rusya'nın Siber Saldırıları: Eski Yönlendiricilerle Microsoft Office Token'ları Çalındı

Rusya Destekli Siber Saldırganlar Microsoft Office Token'larını Topladı

Güvenlik araştırmacıları, Rusya’nın askeri istihbarat birimlerine bağlı siber saldırganların, eski internet yönlendiricilerindeki güvenlik açıklarını kullanarak Microsoft Office kullanıcılarından kimlik doğrulama token'larını topladığını açıkladı. Bu casusluk faaliyeti, herhangi bir kötü amaçlı yazılım kullanılmadan 18 binden fazla ağda gerçekleşti.

Forest Blizzard Operasyonu: 200’den Fazla Kuruluş Etkilendi

Microsoft’un yaptığı açıklamaya göre, Forest Blizzard olarak bilinen Rusya destekli tehdit aktörü, 200’den fazla kuruluş ve 5 bin tüketici cihazını hedef aldı. Bu saldırgan grubu, aynı zamanda APT28 ve Fancy Bear olarak da tanınıyor ve Rusya’nın Genelkurmay Başkanlığına bağlı askeri istihbarat birimlerine ait olduğu düşünülüyor.

APT28, 2016 yılında ABD başkanlık seçimlerine müdahale amacıyla Hillary Clinton kampanyası, Demokratik Ulusal Komite ve Demokratik Kongre Kampanya Komitesi’ni hedef almıştı.

Eski Yönlendiricilerdeki Güvenlik Açıkları Kullanıldı

Black Lotus Labs araştırmacıları, Aralık 2025’te en yüksek faaliyet gösteren bu saldırının, çoğunlukla desteklenmeyen, ömrünü tamamlamış ya da güvenlik güncellemelerini kaçırmış yönlendiricileri hedef aldığını tespit etti. Saldırganlar, özellikle MikroTik ve TP-Link gibi küçük ofis/ev ofisi (SOHO) pazarına yönelik cihazları tercih etti.

Saldırganlar, yönlendiricilere doğrudan kötü amaçlı yazılım yüklemek yerine, DNS ayarlarını değiştirerek kontrol ettikleri sunuculara yönlendirme yaptı. Bu sayede yerel ağdaki tüm kullanıcıların trafiğini izleyebildi ve OAuth kimlik doğrulama token'larını ele geçirdi.

Token'ların Ele Geçirilmesi: Kullanıcıların Farkında Olmadığı Tehdit

OAuth token'ları, kullanıcılar başarılı bir şekilde giriş yaptıktan ve çok faktörlü kimlik doğrulamadan geçtikten sonra iletilir. Bu nedenle saldırganlar, kullanıcıların kimlik bilgilerini veya tek kullanımlık kodlarını çalmaya gerek kalmadan doğrudan hesaplara erişebildi.

"Herkes, mobil cihazlarınıza zarar verecek sofistike bir kötü amaçlı yazılım arıyor. Bu saldırganlar ise eski usul, basit bir yöntem kullandı ama işe yarıyor."

Hedefler Arasında Dışişleri Bakanlıkları ve Kolluk Kuvvetleri

Black Lotus Labs’in raporuna göre, saldırganlar ağırlıklı olarak devlet kurumlarını, özellikle de dışişleri bakanlıklarını, kolluk kuvvetlerini ve üçüncü taraf e-posta sağlayıcılarını hedef aldı. İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), bu tür saldırılarda DNS’in nasıl kullanıldığını ayrıntılarıyla açıkladı.

DNS sahteciliği (DNS hijacking) adı verilen bu saldırıda, kullanıcılar web sitelerine erişmeye çalışırken aslında saldırganların kontrolündeki sahte sitelere yönlendiriliyor. Bu sayede saldırganlar, kullanıcıların giriş bilgilerini ve diğer hassas verilerini çalabiliyor.

Korunma Yöntemleri Nelerdir?

• Eski ve desteklenmeyen yönlendiricilerin kullanımından kaçının.
• Yönlendiricinizin firmware’ini düzenli olarak güncelleyin.
• DNS ayarlarınızı kontrol edin ve güvenilir olmayan sunuculara yönlendirildiğinizi fark ederseniz, hemen değiştirin.
• İki faktörlü kimlik doğrulama kullanın ve şüpheli etkinlikleri izleyin.
• Kurumsal ağlarda, yönlendirici güvenlik politikalarını sıkılaştırın.

Sonuç: Basit Yöntemler Büyük Tehditler Doğurabiliyor

Bu saldırı, siber güvenlik dünyasında sıkça görüldüğü gibi, en basit yöntemlerin bile ciddi tehditler oluşturabileceğini gösteriyor. Rusya destekli saldırganlar, karmaşık kötü amaçlı yazılımlar yerine eski ve bilinen yöntemleri kullanarak geniş çaplı bir casusluk ağı oluşturdu.