G­e­ç­e­n­ ­Y­ı­l­ ­Ü­ç­ ­G­ü­n­ ­S­o­n­u­n­d­a­ ­6­0­0­.­0­0­0­­d­e­n­ ­F­a­z­l­a­ ­Y­ö­n­l­e­n­d­i­r­i­c­i­ ­S­a­l­d­ı­r­ı­y­a­ ­U­ğ­r­a­d­ı­.­ ­ ­İ­ş­t­e­ ­O­l­a­n­l­a­r­ ­v­e­ ­B­u­n­d­a­n­ ­N­a­s­ı­l­ ­Ö­ğ­r­e­n­e­b­i­l­i­r­i­z­?­

Tek bir internet sağlayıcısına ait 600.000'den fazla internet yönlendiricisi Ekim ayındaki üç günlük süre içinde çevrimdışına alındı.

Lumen Technologies'in Black Lotus Laboratuvarlarından güvenlik analistleri saldırının ayrıntılarını şu şekilde açıkladı: Perşembe günü yayınlanan araştırma. Yönlendiricilerin tümü tek bir internet sağlayıcısı tarafından kiralandı ve kalıcı olarak çalışmaz hale getirilerek donanım tabanlı bir değişim gerektirdi. Ekim ayındaki üç gün içinde şirketin modemlerinin neredeyse yarısı aniden devre dışı bırakıldı.

Lumen'in araştırmacıları şöyle yazdı: “Etkilenen birimlerin sayısı nedeniyle olay benzeri görülmemişti; hatırlayabildiğimiz hiçbir saldırı 600.000'den fazla cihazın değiştirilmesini gerektirmedi.” “Ayrıca, bu tür bir saldırı daha önce yalnızca bir kez gerçekleşti; acidRain, aktif bir askeri istilanın habercisi olarak kullanıldı.”

Raporda yanıtlanmayan iki soru var: Hangi internet sağlayıcısına saldırı düzenlendi ve bundan kim sorumluydu?

Hangi internet sağlayıcının yönlendiricileri saldırıya uğradı?

Lumen'in raporunda yönlendiricilerin hangi internet sağlayıcısına ait olduğu belirtilmedi. Saldırının izini, her ikisi de statik kırmızı ışık sergileyen iki farklı ağ geçidi cihazı markası olan Sagemcom ve ActionTec'e kadar takip ettiler. Halka açık internet forumlarındaki kullanıcılar, müşteri hizmetleriyle yaptıkları görüşmelerde kendilerine tüm ünitenin değiştirilmesi gerektiğinin söylendiğini anlattılar.

Lumen'in araştırmacıları bu modem ve yönlendirici kombinasyonunu kullanan cihazları, onları kullanan internet sağlayıcılarıyla çapraz referansla karşılaştırdıklarında, internete bağlı cihaz sayısında %49'luk bir düşüş yaşayan belirli bir sağlayıcı buldular.

Lumen'in araştırmacıları, “Bu ISP'nin hizmet alanının büyük bir kısmı kırsal veya yetersiz hizmet alan toplulukları kapsıyor” dedi. “Yurt sakinlerinin acil servislere erişimini kaybetmiş olabileceği, çiftçilikle ilgili kaygıların hasat sırasında mahsullerin uzaktan izlenmesi nedeniyle kritik bilgileri kaybetmiş olabileceği ve sağlık hizmeti sağlayıcılarının tele-sağlık veya hasta kayıtlarıyla bağlantısının kesildiği yerler.”

Araştırma, etkilenen internet sağlayıcısının adını vermeyi reddetse de, Reuters bildiriyor Lumen raporundaki olay açıklamalarının saldırı tarihlerine ilişkin internet kesintileriyle karşılaştırılmasına atıfta bulunarak Windstream'in söz konusu şirket olduğunu buldu. Windstream sözcüsü CNET'in yorum talebini reddetti.

Saldırının sorumlusu kimdi?

Lumen'in araştırmacıları “olayın büyük olasılıkla, adı verilmeyen kötü niyetli bir siber aktör tarafından gerçekleştirilen kasıtlı bir eylem olduğu” sonucuna vardı ancak bunun hangi aktör olabileceğine dair spekülasyon yapılmadı.

Raporda, “Şu anda bu faaliyet ile bilinen herhangi bir ulus devlet faaliyet kümesi arasında bir örtüşme yok” ifadesine yer veriliyor. “Kötü amaçlı ürün yazılımı güncellemesinin, kesintiye neden olmayı amaçlayan kasıtlı bir eylem olduğunu büyük bir güvenle değerlendiriyoruz ve internet üzerinden bir dizi yönlendirici markası ve modelinin etkilendiğini görmeyi beklememize rağmen, bu olay tek ASN ile sınırlıydı.” ASN, bir internet sağlayıcısının sosyal güvenlik numarasına benzeyen otonom sistem numarası anlamına gelir. Bu saldırının benzersiz özelliği, belirli bir yönlendirici modeli veya güvenlik açığından ziyade tek bir internet sağlayıcısıyla sınırlı olmasıdır.

FBI, CNET'in yorum talebine hemen yanıt vermedi.

Yönlendiricinizi nasıl korursunuz?

Lumen'in araştırmacıları, “Bu tür yıkıcı saldırılar son derece endişe verici, özellikle de bu durumda” diye yazdı. Sizi uzun bir süre çevrimdışı tutmanın yanı sıra, Wi-Fi hack'leri kişisel bilgileri açığa çıkarabilir, kötü amaçlı yazılım yükleyebilir veya internet trafiğinizi yeniden yönlendirebilir. Ağınızın güvenliğini güçlendirmeye yardımcı olacak bazı pratik ipuçları:

• Benzersiz bir şifre oluşturun: Wi-Fi güvenliği söz konusu olduğunda bu, en düşük meyvedir. Wi-Fi yönlendiricileri varsayılan bir yönetici adı ve parolasıyla gelir ve bu kimlik bilgilerini değiştirmeyi unutmak, bilgisayar korsanlarına ön kapıyı sonuna kadar açık bırakmak gibidir. En iyi uygulama, şifrenizi yaklaşık altı ayda bir değiştirmek ve adlar, doğum günleri veya telefon numaraları gibi kolayca tahmin edilebilecek şifrelerden veya ifadelerden kaçınmaktır. İşte Wi-Fi şifrenizi güncellemek için yönlendirici ayarlarınıza nasıl erişebilirsiniz?.
• Güvenlik duvarını ve Wi-Fi şifrelemesini açın: Bunlar genellikle varsayılan olarak açıktır ancak etkinleştirilip etkinleştirilmediklerini tekrar kontrol etmekten zarar gelmez. Bu, yönlendiriciniz ile ona bağlanan cihazlar arasında gönderilen verileri kimsenin gizlice dinlemesini önlemeye yardımcı olacaktır. Bu ayarları, yönlendiricinizin uygulamasından veya web sitesinden oturum açarak bulabilirsiniz.
• WPA3 yönlendiriciye yükseltme: WPA3, yönlendiriciler için en güncel güvenlik protokolüdür. Bu, Wi-Fi Alliance tarafından en son korumalarla onaylandığı anlamına gelir. Yeni bir yönlendirici satın alırsanız, bu neredeyse kesinlikle WPA3 olacaktır, ancak doğrudan internet sağlayıcılarından kiralanan bazı yönlendiriciler daha eski olabilir. Lumen'in raporunda listelenen iki özel ağ geçidi modeli olan ActionTec T3200'ler ve ActionTec T3260'ların her ikisi de WPA3 değil, WPA2 sertifikalıdır. Sağlayıcınızdan bir WPA2 yönlendirici kiralarsanız buna değer onları aramak ve müzakere etmek daha yeni bir model için.