Bilgisayarınızda her hafta virüs kontrolü yapıyorsunuz, sistemleri ve programları zamanında güncelliyorsunuz, güçlü parolalar kullanıyorsunuz ve internette genel olarak dikkatli davranıyorsunuz, ancak yine de internetiniz yavaş ve bazı web siteleri erişiminizi ret mi ediyor? Bu durum bilgisayarınızda olmasa da yönlendiricinizdeki bir kötü amaçlı yazılımdan kaynaklanıyor olabilir.
Neden yönlendiriciler?
Siber suçlular yönlendiricileri genellikle iki nedenle hedefler. Birincisi, tüm ağ trafiği bu cihazlardan geçtiği için; ikincisi, bir yönlendiriciyi normal bir antivirüsle tarayamayacağınız için. Bu yüzden yönlendiriciye yerleşen bir kötü amaçlı yazılımın saldırı için bol bol fırsatı vardır, tespit edilip silinme olasılığı ise çok düşüktür. Şimdi siber suçluların virüs bulaşmış bir yönlendiriciyle neler yapabileceğine bir bakalım.
Botnet oluşturmak
En yaygın görülen durumlardan biri, virüslü yönlendiricinin bir botnet’e, yani bir DDoS saldırısının parçası olarak belirli bir web sitesine ya da çevrimiçi hizmete devasa sayılarda istek gönderen bir cihazlar ağına katılmasıdır. Saldırganların amacı, hedeflenen hizmeti aşırı yükleyerek yavaşlatmak ve sonunda çökertmektir.
Bu sırada yönlendiricileri korsan olarak kullanılan sıradan kullanıcıların interneti yavaşlar, çünkü yönlendiricileri kötü amaçlı istekler göndermekle meşguldür ve diğer trafiği ancak duraksadıkları aralarda işleyebilirler.
Verilerimize göre 2021’de yönlendiriciler en çok iki kötü amaçlı yazılım ailesinin saldırısına uğramış: Mirai ve Mēris. Yönlendiricilere yönelik saldırıların neredeyse yarısından sorumlu olan Mirai açık ara farkla önde.
Mirai
Japonca’da “gelecek” anlamını taşıyan ismi kulağa hoş gelen bu meşhur kötü amaçlı yazılım ailesi 2016’dan bu yana biliniyor. Yönlendiricilerin yanı sıra IP kameralara, akıllı televizyonlara ve kablosuz kumanda ya da dijital reklam panoları gibi kurumsal cihazlar da dahil pek çok IoT cihazına bulaşabiliyor. İlk başta Minecraft sunucularına büyük ölçekli DDoS saldırıları düzenlemek için yaratılan Mirai, sonradan başka servislere de yayıldı. Kötü amaçlı yazılımın kaynak kodu uzun süredir çevrimiçi ortamlara sızmış halde olduğundan pek çok yeni sürümün de temelini oluşturuyor.
Mēris
Mēris’in Letonca’da “salgın” anlamına gelmesi boşuna değil. Başta MikroTik yönlendiriciler olmak üzere halihazırda binlerce yüksek performanslı cihazı etkilemiş ve bunları DDoS saldırılarına yönelik bir ağa bağlamış durumda. Örneğin, 20021’de ABD’li bir finans şirketine yönelik saldırı sırasında, Mēris bulaşmış cihazların oluşturuğu ağdan gelen istek sayısı saniyede 17,2 milyona ulaşmıştı. Botnet birkaç ay sonra saniyede rekor kıran 21,8 milyon istekle birçok Rus finans ve BT şirketine saldırdı.
Veri çalmak
Yönlendiriciye bulaşan bazı kötü amaçlı yazılımlar, verilerinizi çalmak gibi daha büyük zararlar da verebilir. İnternette birçok önemli bilgi gönderir ve alırsınız: Çevrimiçi mağazalarda ödeme bilgileri, sosyal ağlarda kimlik bilgileri, e-posta ile iş belgeleri vb. Tüm bu bilgiler, geri kalan ağ trafiğinizin tamamı ile birlikte kaçınılmaz olarak yönlendiriciden geçer. Bir saldırı sırasında kötü amaçlı yazılım bu verilere müdahale edebilir ve verileriniz doğrudan siber suçluların eline düşebilir.
VPNFilter bu tür bir veri çalma kötü amaçlı yazılımı. Yönlendiricilere ve NAS sunucularına bulaşarak bilgi toplama ve yönlendiriciyi kontrol etme ya da devre dışı bırakma becerisi kazanıyor.
Web sitesi aldatmacası
Yönlendiricinizdeki kötü amaçlı yazılımlar sizi girmek istediğiniz siteler yerine reklam içeren sayfalara ve kötü amaçlı sitelere yönlendirebilir. Siz (hatta tarayıcınız bile) meşru bir web sitesini ziyaret ettiğinizi düşünürken aslında siber dolandırıcıların eline düşmüş olursunuz.
Bu oyunun işleyiş biçimi şöyle: Adres çubuğuna bir sitenin URL’ini yazdığınızda (örneğin google.com), bilgisayarınız ya da akıllı telefonunuz kayıtlı tüm IP adreslerinin ve karşılık geldikleri URL’lerin depolandığı özel bir DNS sunucusuna bir istek gönderir. Yönlendiricide virüs varsa yönlendirici, “google.com” sorgusuna karşılık gelen isteği meşru bir DNS sunucusu yerine tamamen farklı bir sitenin (örneğin bir kimlik avı sitesinin) IP adresine gönderebilir.
Switcher Truva Atı da yönlendirici ayarlarına sızıp kötü amaçlı bir DNS sunucusunu varsayılan olarak belirleyerek tam olarak bunu yapıyordu. Doğal olarak, sahte sayfaya girilen tüm veriler saldırganlara sızıyordu.
Kötü amaçlı yazılımlar yönlendiricilere nasıl giriyor?
Bir yönlendiriciye kötü amaçlı bir yazılım yerleştirmenin iki ana yolu var: Yönetici parolasını tahmin etmek veya cihazdaki bir güvenlik açığını kötüye kullanmak.
Parola tahmin etme
Tüm aynı model yönlendiriciler genelde fabrika ayarı olarak aynı yönetici parolasına sahiptir. Bunu ağ güvenlik parolasıyla (Wi-Fi ağına bağlanmak için girdiğiniz karakter dizisiyle) karıştırmamak gerekir; yönetici parolası yönlendirici ayarları menüsüne girmek için kullanılır. Kullanıcı bilmeden fabrika ayarlarını aynen bıraktıysa saldırganlar, özellikle de yönlendiricinin markasını biliyorlarsa, kolaylıkla parolayı tahmin ederek yönlendiriciye virüs bulaştırabilirler.
Öte yandan son zamanlarda üreticiler güvenliği daha fazla ciddiye alarak her cihaza benzersiz bir rastgele parola vermeye başladı, bu da bu yöntemin etkisini azalttı. Fakat daha eski modellerin parolasını tahmin etmek hala çocuk oyuncağı.
Güvenlik açıklarını kötüye kullanma
Yönlendirici güvenlik açıkları, internete açılan kapınızdan her türlü tehdidin elini kolunu sallayarak ev veya kurumsal ağınıza girebileceği deliklerdir. Bu tehditler bazen de tespit edilme olasılığının daha düşük olduğu yönlendiricide kalmayı tercih eder. Yukarıda bahsettiğimiz Mēris botnet, MikroTik yönlendiricilerdeki yamalanmamış güvenlik açıklarını kötüye kullanarak tam olarak bunu yapıyor.
Araştırmamıza göre, sadece geçtiğimiz iki yılda yönlendiricilerde yüzlerce yeni güvenlik açığı keşfedildi. Yönlendirici sağlayıcıları, zayıf noktaların güvenliğini sağlamak için yamalar ve yeni üretici yazılımı sürümleri (temelde yönlendirici işletim sistemi güncellemeleri) yayınlıyor. Ne yazık ki bir çok kullanıcı, yönlendirici yazılımının da tıpkı diğer programlar gibi güncellenmesi gerektiğinin farkında değil.
Ağınızı nasıl korursunuz?
Ev veya kurumsal yönlendiricinizin güvenliğini sağlayıp verilerinizi emniyette tutmak istiyorsanız:
- En az ayda bir defa üreticinin web sitesindeki son yönlendirici üretici yazılımı güncellemelerini kontrol edin. Bunları yayınlanır yayınlanmaz yükleyin. Bazı modellerde yamalar otomatik olarak gelir, fakat bazen manuel olarak yüklemeniz gerekebilir. Cihazınızın yazılımını güncellemekle ilgili bilgileri sağlayıcınızın web sitesinde bulabilirsiniz.
- Yönlendiriciniz için uzun ve güçlü bir yönetici parolası belirleyin. Bu kombinasyonu unutmamak için bir parola yöneticisi kullanın.
- Yeterince becerikliyseniz veya konuyla ilgili talimatları bulursanız (örneğin, sağlayıcının web sitesinde), yönlendiricinin yönetici ayarlarına uzaktan erişimi devre dışı bırakın.
- Wi-Fi ağını doğru yapılandırın: Eşsiz bir parola bulun, güçlü kablosuz şifreleme standardı kullanın ve kötü niyetli ya da sadece dikkatsiz misafirlerin ve komşuların virüslü cihazlarından ağınıza kötü amaçlı yazılım bulaştırmaması için misafir ağları
- Dışarı giden tüm bilgileri yönlendiriciye iletmeden önce şifreleyerek cihaz virüslüyse bile bilgileri güvende tutan bir VPN uygulaması kullanın.