Microsoft, Forest Blizzard olarak izlediği Rus bağlantılı APT28’in, son aylarda dünya genelinde ev ve küçük ofis yönlendiricilerini ele geçirip DNS ayarlarını değiştirerek Microsoft 365 oturumlarına sızmaya çalıştığını duyurdu. Microsoft’un 7 Nisan 2026 tarihli raporuna göre kampanya, en az Ağustos 2025’ten beri sürüyor; şirket, 200’den fazla kuruluş ile 5.000 civarında tüketici cihazının saldırgan altyapısına istemeden trafik gönderdiğini tespit etti. APT28’in bu operasyonunda Storm-2754 olarak izlenen bir alt grubun da rol aldığı belirtiliyor.
İngiltere Ulusal Siber Güvenlik Merkezi (NCSC) de 8 Nisan 2026’da benzer bir uyarı yayımladı. Buna göre saldırganlar, savunmasız SOHO yönlendiricilerin DHCP/DNS ayarlarını değiştirip trafiği kendi DNS sunucularına yönlendiriyor; böylece oturum açma sayfaları ve e‑posta servisleri için yapılan sorguları araya girme (AiTM) saldırılarına çevirerek parolaları ve erişim belirteçlerini (OAuth, çerez vb.) topluyor. Kampanya geniş bir taramayla başlıyor, ardından ilgi gördükleri hedeflere odaklanıyor.
Microsoft’un teknik analizine göre APT28, ele geçirdiği yönlendiricilerde dnsmasq gibi meşru bileşenleri kötüye kullanarak port 53 üzerinden DNS sorgularını yanıtlıyor. Çoğu durumda trafik kesintisiz biçimde meşru hizmetlere akıyor; ancak belirli etki alanları için sahte DNS yanıtları dönülerek kullanıcılar saldırgan altyapısına çekilebiliyor. Kullanıcı, tarayıcının gösterdiği “geçersiz TLS sertifikası” uyarılarını yok sayarsa, iletilen veriler (örneğin Outlook on the web trafiği) okunabiliyor.
NCSC’nin bulguları, saldırıların özellikle TP‑Link ve MikroTik dâhil çok sayıda SOHO modelini hedef aldığını, bazı eski TP‑Link cihazlarının listede öne çıktığını gösteriyor. Saldırıda Microsoft 365 ile ilişkili alan adlarına özel yönlendirmeler de kullanılmış. Üreticinin “destek dışı” cihazlar için mümkün olduğunda yama yayımladığı, ancak kullanıcıların güncel ve desteklenen modellere geçmesinin tavsiye edildiği vurgulanıyor.
Ne yapmalı?
- Yönlendiricinizin bellenimini güncelleyin; uzaktan yönetimi kapatın; güçlü ve benzersiz yönetici parolası kullanın. Eski/EOSL cihazları yenileriyle değiştirin.
- Ev tipi yönlendiricileri kurumsal ağlarda kullanmaktan kaçının; hibrit/uzaktan çalışanlar için güvenilir DNS kullanımını zorunlu kılın (Windows uçlarda Zero Trust DNS gibi).
- Microsoft 365 ve kritik hesaplarda çok faktörlü kimlik doğrulamasını zorunlu tutun; Koşullu Erişim politikalarıyla riskli oturumları engelleyin.
- Tarayıcıda veya uygulamada görülen TLS/sertifika uyarılarını asla görmezden gelmeyin; ağınızda beklenmedik DNS değişiklikleri olup olmadığını denetleyin.
Özetle; APT28, ev ve küçük ofis yönlendiricilerini “arka kapı” olarak kullanıp Microsoft 365 oturumlarını hedefleyen, görünmez ve uzun soluklu bir gözetleme katmanı kurmuş durumda. Kurumlar, uçtan uca kimlik koruması, güvenilir DNS ve güncel ağ ekipmanlarıyla bu tür AiTM/DNS ele geçirme hamlelerinin etkisini ciddi biçimde azaltabilir.
Kaynak: www.techspot.com