APT28 FrostArmada Saldırı Seferi
Rusya bağlantılı tehdit grubu APT28 (diğer adıyla Forest Blizzard) tarafından yürütülen gelişmiş bir siber casusluk operasyonu, geniş çaplı gözetleme yapmak için savunmasız ağ altyapısını kullandı. En az Mayıs 2025'ten beri aktif olan ve FrostArmada kod adıyla anılan bu kampanya, güvensiz MikroTik ve TP-Link yönlendiricilerini ele geçirerek, saldırganın kontrolü altındaki kötü amaçlı varlıklara dönüştürmeye odaklandı.
Bu operasyon öncelikle ev ve küçük ofis (SOHO) cihazlarını hedef alarak, DNS ayarlarını değiştirmek için zayıf yapılandırmalardan yararlandı. Bu sayede saldırganlar ağ trafiğini ele geçirip yönlendirebildiler ve pasif ve büyük ölçüde tespit edilemeyen veri toplama olanağı sağladılar.
İçindekiler
DNS Saldırısı: Yönlendiricileri Sessiz Gözetim Araçlarına Dönüştürmek
Kampanyanın özünde, saldırganların meşru trafiği kötü amaçlı altyapı üzerinden yönlendirmesine olanak tanıyan bir teknik olan DNS ele geçirme yer alıyordu. Bir yönlendirici ele geçirildikten sonra, DNS ayarları saldırganın kontrolündeki sunuculara işaret edecek şekilde değiştiriliyordu. Bu manipülasyon, herhangi bir kullanıcı etkileşimi gerektirmeden hassas verilerin ele geçirilmesini sağlıyordu.
Kullanıcılar hedefli alan adlarına erişmeye çalıştıklarında, istekleri sessizce Ortadaki Saldırgan (AitM) düğümlerine yönlendiriliyordu. Bu düğümler, oturum açma kimlik bilgileri de dahil olmak üzere kimlik doğrulama verilerini yakalayıp saldırganlara geri iletiyordu. Bu süreç son derece gizli olduğundan tespit edilmesi oldukça zordu.
Saldırı Zincirinin Ayrıntılı Analizi: İstismardan Kimlik Bilgisi Hırsızlığına
Saldırı yaşam döngüsü, veri toplamayı en üst düzeye çıkarırken tespit edilmeyi en aza indirgemek üzere tasarlanmış yapılandırılmış bir sıra izledi:
- SOHO yönlendiricilerinin güvenlik açıkları veya zayıf yapılandırmalar yoluyla ilk etapta tehlikeye atılması
- DNS ayarlarının yetkisiz yönetimsel erişimi ve değiştirilmesi
- DNS sorgularının kötü amaçlı, aktörler tarafından kontrol edilen çözümleyicilere yönlendirilmesi
- AitM altyapısı aracılığıyla kullanıcı trafiğinin ele geçirilmesi
- Parolalar ve OAuth belirteçleri de dahil olmak üzere kimlik bilgilerinin toplanması ve dışarı sızdırılması.
Bu yöntem, saldırganların Microsoft Outlook web sürümü ve Microsoft tarafından barındırılmayan diğer sistemler de dahil olmak üzere e-posta platformlarına ve web hizmetlerine yapılan giriş denemelerini izlemelerini sağladı.
Küresel Erişim ve Stratejik Hedefleme
Kampanya zamanla önemli ölçüde genişledi. Mayıs 2025'te sınırlı bir kapasiteyle başlamış olsa da, yaygın istismar çabaları Ağustos başlarında tırmandı. Aralık 2025'teki zirve noktasında, en az 120 ülkede 18.000'den fazla benzersiz IP adresinin saldırgan kontrolündeki altyapıyla iletişim kurduğu gözlemlendi.
Başlıca hedefler şunlardı:
- Dışişleri bakanlıkları ve kolluk kuvvetleri gibi devlet kurumları
- Üçüncü taraf e-posta ve bulut hizmeti sağlayıcıları
- Kuzey Afrika, Orta Amerika, Güneydoğu Asya ve Avrupa'daki kuruluşlar
200'den fazla kuruluş ve yaklaşık 5.000 tüketici cihazı bu operasyondan etkilendi; bu da operasyonun ölçeğini ve kapsamını gösteriyor.
İstismar Edilen Güvenlik Açıkları ve Altyapı Taktikleri
Saldırganlar, ağ cihazlarına erişim sağlamak için bilinen güvenlik açıklarından yararlandı. Özellikle, TP-Link WR841N yönlendiricileri, özel olarak hazırlanmış HTTP GET istekleri aracılığıyla kimlik bilgilerinin çıkarılmasına olanak tanıyan bir kimlik doğrulama atlatma açığı olan CVE-2023-50224 kullanılarak istismar edildi.
Ek olarak, ele geçirilmiş yönlendiricilerden gelen DNS trafiğini uzaktaki saldırgan kontrolündeki sunuculara iletmekten sorumlu ikincil bir altyapı kümesi tespit edildi. Bu küme ayrıca, özellikle Ukrayna'da olmak üzere, seçilmiş MikroTik yönlendiricilerine karşı hedefli, etkileşimli operasyonlar yürüttü.
Uç Aygıt Güvenliğinin Ele Geçirilmesi Yoluyla Gelişmiş Casusluk
Bu kampanya, APT28'in operasyonel taktiklerinde önemli bir evrimi işaret ediyor. Grup, ilk kez, Taşıma Katmanı Güvenliği (TLS) bağlantılarına karşı AitM saldırılarını kolaylaştırmak için büyük ölçekte DNS ele geçirme yeteneği sergiledi.
Saldırganlar, genellikle kurumsal sistemlere göre daha az izlenen uç cihazları ele geçirerek ağ trafiğine ilişkin yukarı yönlü görünürlük elde ettiler. Bu stratejik konumlandırma, yüksek değerli hedefleri belirlemelerine ve istihbarat açısından ilgi çekici bireylere veya kuruluşlara seçici olarak odaklanmalarına olanak sağladı.
Operasyonun, başlangıçta geniş bir alanı kapsayan ve ele geçirilen verilerin değerine bağlı olarak hedefleri kademeli olarak daraltan, fırsatçı bir niteliğe sahip olduğu değerlendirilmektedir.
Operasyonel Kesintiler ve Süregelen Riskler
FrostArmada'yı destekleyen kötü amaçlı altyapı, ABD Adalet Bakanlığı, Federal Soruşturma Bürosu ve uluslararası ortakların koordineli çabalarıyla ortadan kaldırıldı. Bu engellemeye rağmen, kullanılan teknikler, güvenli olmayan ağ cihazlarıyla ilişkili kalıcı riskleri vurgulamaktadır.
Kampanya öncelikle istihbarat toplamaya odaklanmış olsa da, AitM konumlandırmasının kullanımı daha geniş tehditler oluşturmaktadır. Bu tür erişim, kötü amaçlı yazılım dağıtımı veya hizmet reddi saldırıları da dahil olmak üzere ek kötü niyetli faaliyetlere olanak sağlayarak hedef alınan kuruluşlar üzerindeki potansiyel etkiyi önemli ölçüde artırabilir.
Sonuç: Ağ Güvenliği İçin Bir Uyarı Niteliğinde
FrostArmada saldırısı, ağ ortamlarındaki uç cihazların güvenliğinin sağlanmasının kritik önemini vurgulamaktadır. Yönlendiricilerin ve DNS altyapısının istismar edilmesi, saldırganlara güçlü ve gizli bir gözetleme aracı sağlayarak, geleneksel güvenlik kontrollerini sıklıkla atlatmalarına olanak tanır.
Hem kuruluşlar hem de bireyler, bu tür gelişmiş tehdit aktörlerinin oluşturduğu riskleri azaltmak için ağ cihazlarının doğru yapılandırılmasına, zamanında yamalanmasına ve sürekli izlenmesine öncelik vermelidir.
