Federal Soruşturma Bürosu (FBI), Rus Federal Güvenlik Servisi’nin (FSB) Merkezi 16’ya bağlı aktörlerin kalıcı siber tehditleri konusunda kamu, özel sektör ve uluslararası ortaklar için kesin bir uyarı yayınladı.
Siber güvenlik çevrelerinde “Berserk Bear” ve “Yusufçuk” gibi takma adlar altında tanınan bu birim, ağ altyapısında, özellikle basit ağ yönetimi protokolü (SNMP) ve yaşam sonu CISCO cihazlarındaki açılmamış kusurlara odaklanan, ağ altyapısındaki güvenlik açıklarını aktif olarak kullanıyor.
Vurgulanan temel bir güvenlik açığı, Cisco Smart Install (SMI) işlevselliğini etkileyen ve cihaz konfigürasyonlarının yetkisiz erişimini ve manipülasyonunu sağlayan CVE-2018-0171’dir.
Geçen yıl, FBI araştırmaları, enerji, ulaşım ve kamu hizmetleri de dahil olmak üzere kritik altyapı sektörlerinde ABD kuruluşlarına bağlı binlerce ağ cihazından yapılandırma dosyalarını toplayan bu aktörleri ortaya çıkardı.
Eski güvenlik açıklarının sömürülmesi
Birkaç durumda, davetsiz misafirler bu konfigürasyonları, kalıcı yetkisiz erişimi kolaylaştırmak için değiştirdiler ve bu da kurban ağlarında ayrıntılı keşif yapmalarına izin verdiler.
Bu keşif, operasyonel teknoloji (OT) ortamlarında kullanılanlar gibi endüstriyel kontrol sistemlerine (ICS) ayrılmaz protokollere ve uygulamalara özel bir ilgi göstermiştir, potansiyel olarak veri söndürme veya sabotaj gibi daha yıkıcı faaliyetler için zemin hazırlamaktadır.
FSB Center 16’nın operasyonları, mirası, SNMP sürümleri 1 ve 2 dahil olmak üzere şifrelenmemiş protokolleri ve SMI’yi destekleyen küresel ağ cihazlarını hedeflemenin tutarlı bir modeliyle on yıldan fazla uzanıyor.
Bu aktörler, özel kötü amaçlı yazılım implantlarının dağıtılması da dahil olmak üzere sofistike yetenekler göstermiştir.
Dikkate değer bir örnek, 2015 yılında halka açık olarak açıklanan ve doğrudan Cisco yönlendirici ürün yazılımına gömülü olan “Synful Nock” kötü amaçlı yazılımdır.
Bu tür taktikler, yaşam sonu durumunun genellikle güvenlik güncellemelerinin eksikliği anlamına geldiği ve uzaktan kod yürütme ve yapılandırma kurcalamasına maruz kalan cihazların genellikle güvenlik güncellemelerinin eksikliği anlamına gelen eski donanım ve yazılımın doğal zayıflıklarından yararlanır.
FBI’nın tespit çabaları, bu siber operasyonların izole olmadığını, ancak rakip altyapıya karşı keşif ve potansiyel artışa yönelik daha geniş bir kampanyanın bir parçası olduğunu ve rakip ağlar içinde gizli ve stratejik konumlandırmaya öncelik veren bilinen Rus devlet destekli taktiklerle uyumlu olduğunu ortaya koyuyor.
Tarihsel bağlam
Bu etkinlik, ilgili tehdit grupları altındaki kümeler, Cisco Talos’un yakın zamanda 20 Ağustos 2025’te “statik tundra” olarak tanımladığı blog yazısı, giriş tekniklerinin adli analizlerini detaylandırıyor.
FBI, ağ altyapı cihazlarını hedefleyen Rus devlet destekli aktörler ve 6 Mayıs 2025, ortak danışmanlık, operasyonel teknolojiye siber tehditlerin azaltılması için birincil hafifletmeyi özetleyen ortak danışmanlık da dahil olmak üzere, önceki rehberliğin oldukça alakalı kaldığını vurgulamaktadır.
Bu kaynaklar, CVE-2018-0171 gibi bilinen güvenlik açıklarının derhal yamalanmasını, gereksiz miras protokollerinin devre dışı bırakılmasını ve ICS ortamlarını daha geniş BT ağlarından izole etmek için ağ segmentasyonunun uygulanmasını savunmaktadır.
Rapora göre, kuruluşlar beklenmedik SNMP trafiği veya yetkisiz yapılandırma değişiklikleri gibi uzlaşma göstergelerini izlemeleri ve yaşam sonu cihazlarını modern şifreleme standartlarına sahip desteklenen modellere yükseltmeleri istenmektedir.
FSB’ye bağlı aktörler tarafından taviz verilmesi durumunda FBI, yerel saha ofislerine veya İnternet Suç Şikayet Merkezi (IC3) aracılığıyla hızlı bir şekilde rapor verilmesini önerir.
Göndermeden önce, mağdurlar kötü amaçlı yazılım implantları veya değiştirilmiş konfigürasyonlar da dahil olmak üzere anomaliler için yönlendiricileri ve ağ ekipmanlarını iyice değerlendirmeli ve bu teknik ayrıntıları araştırmalara yardımcı olmak için raporlara dahil etmelidir.
Bu proaktif duruş, aktörlerin keşif çabalarını bozmak ve artan tehditlerden kritik altyapıyı korumak için çok önemlidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!