APT28 Router Saldırısı 2026: GRU DNS Hijacking, AitM Saldırıları ve Kapsamlı Savunma Rehberi
Nisan 2026'da NSA, FBI ve 15'ten fazla NATO müttefikinin imzaladığı ortak bir danışma belgesinde APT28 — GRU bağlantılı tehdit aktörü, aynı zamanda Fancy Bear ve Forest Blizzard olarak da takip edilmektedir — tarafından dünya genelinde binlerce SOHO yönlendiricisinin (router) ele geçirildiği teyit edildi. Grup, TP-Link ve MikroTik cihazlarındaki bilinen bir kimlik doğrulama açığından yararlanarak DNS ve DHCP ayarlarını değiştirdi ve kurbanların trafiğini GRU kontrolündeki sunucular üzerinden yönlendirerek büyük ölçekli kimlik bilgisi hırsızlığı gerçekleştirdi. Bu yazıda ele geçirme sürecinin tam teknik zincirini, FBI'ın karşı operasyonunu ve bireysel kullanıcılardan kurumlara uzanan katmanlı bir sertleştirme rehberini bulacaksınız.
Özet: APT28, yama uygulanmamış SOHO router'lara yönetici erişimi elde etmek için CVE-2023-50224'ü istismar etti; DNS çözümleyicilerini GRU'nun sahip olduğu sunucularla değiştirdi ve Microsoft 365 gibi servislerden kimlik bilgisi ile OAuth token'ı toplamak için ortadaki saldırgan (AitM — Adversary-in-the-Middle) saldırıları yürüttü. FBI, mahkeme yetkisiyle gerçekleştirilen Operation Masquerade kapsamında ABD'deki yaklaşık 18.000 ele geçirilmiş cihazı temizledi. Router'ınız kullanım ömrünü doldurmuş (EOL) donanımsa hemen değiştirin; değilse varsayılan kimlik bilgilerini değiştirin, DNS ayarlarını doğrulayın ve DNS-over-HTTPS'e geçin.
Uç Cihaz Hedeflemesine Yönelik Stratejik Kayma
2026 kampanyası, GRU bağlantılı aktörlerin en az 2018'den bu yana geliştirdiği taktiksel bir eğilimin olgunlaşmasını temsil ediyor. APT28, sağlamlaştırılmış kurumsal çevrelere doğrudan saldırmak yerine ev ağlarıyla küçük ofislerin ağ geçidi cihazı olan SOHO router'ı kalıcı, düşük algılanabilirlikli bir gözetleme noktası olarak ele geçirmeye yöneldi.
Operasyonel mantık açık: Evden çalışan bir devlet memuru, büyük olasılıkla hiç güncelleme almamış, hâlâ varsayılan kimlik bilgileriyle çalışan ve işveren BT güvenlik ekibince hiçbir zaman denetlenmeyecek bir tüketici router'ı üzerinden resmi sistemlere bağlanıyor. Bu router'ı ele geçiren Rus askeri istihbaratı, hedef sunucunun ne kadar güvenli olduğundan bağımsız olarak o noktadan geçen tüm oturumları izleyebiliyor.
Bu "aşağıdan yukarıya" hedefleme modeli, APT28'in önce büyük bir ele geçirilmiş cihaz havuzu oluşturmak için interneti indiscriminate (ayrımsız) biçimde taramasını, ardından otomatik filtreleme süreciyle yüksek değerli istihbarat hedeflerine ait trafiği tespit etmesini sağlıyor.
Jeopolitik Bağlam: Nisan 2026 Ortak Danışma Belgesi
7 Nisan 2026'da 15'ten fazla ülkenin istihbarat ve siber güvenlik kurumları koordineli bir kamuoyu uyarısı yayımladı. Belgeyi imzalayanlar arasında Almanya'nın BfV ve BND'si, İtalya'nın AISE ve AISI'si ile Doğu Avrupa ve İskandinav bölgelerinden yetkili kurumlar yer aldı. Saldırı, 2016 ABD seçim müdahale operasyonlarından da sorumlu olan GRU'nun 85. Ana Özel Hizmet Merkezi'ne (85. GTsSS) — Askeri Birlik 26165'e — atfedildi.
Alman makamları, doğrulanmış GRU atıfıyla en az 30 yurt içindeki ele geçirilmiş cihazı teyit etti. Bu, tehdidin salt teorik olmadığını ve Avrupa ulusal güvenliğini aktif biçimde etkilediğini ortaya koydu.
APT28 Router Operasyonlarının Tarihsel Evrimi
2026 kampanyası, Batılı kurumlar tarafından tespit edilen dördüncü GRU router botnet operasyonudur; her biri bir öncekinden daha gelişmiş:
| Operasyon | Birincil Donanım | Temel Açıklar | Durum |
|---|---|---|---|
| VPNFilter (2018) | Linksys, MikroTik, Netgear | Çeşitli eski açıklar | FBI tarafından etkisiz hâle getirildi |
| Cyclops Blink (2022) | WatchGuard, ASUS | Açıklanmamış firmware açıkları | FBI/NCSC tarafından etkisiz hâle getirildi |
| Operation Dying Ember (2024) | Ubiquiti EdgeRouters | Varsayılan kimlik bilgileri | DOJ tarafından etkisiz hâle getirildi |
| Operation Masquerade (2026) | TP-Link, MikroTik | CVE-2023-50224, CVE-2017-6742 | Kısmen bozuldu |
2026 kampanyası, ikili implant (binary implant) kullanımından tamamen vazgeçerek yalnızca yapılandırma değişikliklerine dayanan LotL (Living-off-the-Land — Araziden Geçinme) yaklaşımını benimsiyor; bu durum tespiti çok daha güç hâle getiriyor.
Teknik Mekanikler: CVE-2023-50224 ve DNS Hijacking
CVE-2023-50224: Giriş Noktası
Birincil istismar vektörü, eski TP-Link router'larının httpd servisindeki (genellikle TCP port 80'de dinleyen) CVE-2023-50224 — uygunsuz kimlik doğrulama (improper authentication) güvenlik açığıdır.
Açık, dropbearpwd bileşeninde bulunuyor. Kimlik doğrulaması yapılmamış bir saldırgan, yönetim arayüzüne özel olarak hazırlanmış bir HTTP GET isteği gönderebilir:
GET /cgi-bin/dropbearpwd HTTP/1.1
Host: 192.168.0.1
İstek işleyicisindeki eksik kimlik doğrulama denetimleri nedeniyle servis, HTTP yanıtında saklanan yönetici kimlik bilgilerini ya da diğer yapılandırma verilerini ifşa edebilir. Bu kimlik bilgileri elde edildiğinde saldırgan, router'ın web yönetim paneline tam erişim kazanır. MikroTik cihazlarını Winbox protokolü üzerinden hedef alan CVE-2017-6742, yan hareket (lateral movement) için kullanılan ikincil vektör olarak tespit edildi.
DNS ve DHCP Manipülasyonu
Yönetici erişimi sağlandıktan sonra APT28, router'a herhangi bir yazılım yüklemez. Bunun yerine, alt ağdaki cihazlara görünmez iki hedefli yapılandırma değişikliği yapar:
- DHCP modifikasyonu — Router'ın DHCP sunucusu, GRU kontrolündeki IP adreslerini birincil ve ikincil DNS çözümleyiciler olarak dağıtacak biçimde yeniden yapılandırılır.
- DNS geçersiz kılma — Router'ın kendi DNS yönlendirici (forwarder) ayarı da aynı aktör kontrolündeki VPS'e (Virtual Private Server — Sanal Özel Sunucu) yönlendirilir.
Ağdaki her cihaz — dizüstü bilgisayarlar, telefonlar, tabletler — DHCP üzerinden IP talep ettiğinde bu kötü niyetli çözümleyici yapılandırmasını otomatik olarak devralır. Kurbanın herhangi bir eylemde bulunması gerekmez.
APT28, bu kampanya boyunca en az iki ayrı DNS kümesi işletti:
| Küme | Portlar | Özellikler |
|---|---|---|
| Küme 1 (SOHO) | TCP 56777 / UDP 53 | dnsmasq-2.85 kullanır; yalnızca e-posta/oturum açma alan adlarını seçici olarak çözümler |
| Küme 2 (Etkileşimli) | TCP 35681 / UDP 53 | Ukrayna'daki MikroTik düğümlerine yönelik klavye başında operasyonlar için kullanıldı |
Ortadaki Saldırgan (AitM) İş Akışı
GRU kontrolündeki çözümleyiciler tüm DNS trafiğini yönlendirmez; bu hemen fark edilirdi. Bunun yerine yalnızca yüksek değerli alan adları (Microsoft Outlook Web Access, Microsoft 365 oturum açma uç noktaları, VPN portalları) için sahte DNS yanıtları döndürür.
Kullanıcı Tarayıcısı ──DNS sorgusu──▶ Kötü Niyetli Çözümleyici (GRU VPS)
│
▼ Gerçek IP yerine saldırgan IP'si döner
Kullanıcı Tarayıcısı ──HTTPS──▶ Saldırgan Proxy Sunucusu
│
├─ Sahte oturum açma sayfası sunar
├─ Düz metin kimlik bilgilerini ele geçirir
├─ OAuth token ve oturum çerezlerini toplar
└─ Trafiği gerçek sunucuya şeffaf biçimde iletir
Tarayıcı, saldırganın sertifikası meşru alan adıyla eşleşmediğinden TLS sertifika uyarısı verir. APT28 burada sertifika uyarısı yorgunluğuna (certificate warning fatigue) güveniyor — kullanıcıların tanıdık görünen sayfalardaki güvenlik uyarılarını geçiştirme eğilimi. Bu durum, geçerli bir sertifika gerektirmeksizin kimlik bilgilerinin ele geçirilmesine olanak tanır.
Operation Masquerade: FBI'ın Karşı Saldırısı
Nisan 2026'nın başında ABD Adalet Bakanlığı, FBI'ın ABD yargı yetkisi içindeki yaklaşık 18.000 ele geçirilmiş TP-Link ve MikroTik cihazına doğrudan komut göndererek enfeksiyonu temizlediği, teknik açıdan proaktif Operation Masquerade'i yetkilendirdi.
- DNS Sıfırlama — Router DNS yapılandırması, ISP tarafından sağlanan veya temiz genel çözümleyici değerleriyle yeniden kuruldu.
- Kalıcılığın Kaldırılması — Aktör tarafından oluşturulmuş yapılandırma değişiklikleri ve erişim mekanizmaları silindi.
- Adli Veri Toplama — Mahkeme yetkisiyle cihaz meta verileri toplandı; mağdurların bilgilendirilmesi için kullanıldı.
FBI Siber Bölümü Yardımcı Müdürü Brett Leatherman, operasyonun zorunlu olduğunu vurguladı: ele geçirme, son kullanıcılar tarafından "neredeyse görünmez" nitelikteydi. Hiçbir bilgisayarda dosya değiştirilmemişti; bu nedenle hiçbir uç nokta tespit aracı alarm vermemişti. Manipülasyon yalnızca router'ın çalışma yapılandırması içinde var oluyordu.
Savunmasız Donanım ve Kullanım Ömrü Krizi
| Ürün | Etkilenen Modeller | Durum | Önerilen Eylem |
|---|---|---|---|
| TP-Link Router | TL-MR6400 (V1/V2) | Yamasız (EOL) | Hemen değiştirin |
| TP-Link Router | Archer C5 (V2) | Yamasız (EOL) | Hemen değiştirin |
| TP-Link Router | Archer C7 (V2/V3) | Kısmen yamalı | V2_241108 manuel yükleyin |
| TP-Link Router | TL-WR841N/ND (V8–V12) | Kısmen yamalı | V11_211209 manuel yükleyin |
| TP-Link Router | TL-WR1043ND (V2–V4) | Yamasız (EOL) | Hemen değiştirin |
| TP-Link Router | TL-WR840N (V2/V3) | Yamasız (EOL) | Hemen değiştirin |
| TP-Link AP | TL-WA801ND (V3/V4) | Yamasız (EOL) | Hemen değiştirin |
| TP-Link AP | TL-WA901ND (V3–V5) | Kısmen yamalı | V5_201030 manuel yükleyin |
TP-Link, EOL modelleri için yama uygulamanın donanım belleği kısıtlamaları nedeniyle teknik olarak mümkün olmadığını açıkça belirtti. Bu cihazlar ayrıca otomatik güncelleme mekanizmasından yoksundur; kullanıcıların yamaları proaktif olarak indirip yüklemesi gerekmektedir — bu adımı tüketici kullanıcıların büyük çoğunluğu hiçbir zaman atmaz.
Savunma Çerçevesi: Ev ve SOHO Kullanıcıları için Katmanlı Sertleştirme
Katman 1 — Acil Önlemler
Router'ı yeniden başlatın. Pek çok router implantı (implant) bellek-yerleşik (memory-resident) yapıdadır ve güç döngüsünü atlatamaz. DNS yapılandırma değişikliklerine yönelik saldırılarda bu tek başına yeterli değildir; ayarların denetlenmesiyle birleştirilmelidir.
Varsayılan kimlik bilgilerini değiştirin. Varsayılan admin/admin kombinasyonunu en az 12 karakter uzunluğunda, büyük-küçük harf, rakam ve sembol içeren güçlü bir parola ile değiştirin.
Firmware'i kontrol edin. Üreticinin destek sayfasında tam model ve donanım sürümünüzü arayın. Cihaz EOL ise değiştirin; yama mevcutsa manuel olarak uygulayın.
Katman 2 — Yapılandırma Sertleştirmesi
WAN tarafından uzaktan yönetimi devre dışı bırakın. Router'ın yönetim arayüzü genel internetten (WAN) erişilebilir olmamalıdır.
Gereksiz servisleri kapatın. Aktif olarak kullanılmadıkça Telnet, SSH, UPnP (Universal Plug and Play — Evrensel Tak ve Çalıştır) ve WPS (Wi-Fi Protected Setup — Wi-Fi Korumalı Kurulum) devre dışı bırakılmalıdır.
DNS ayarlarını doğrulayın. Router yapılandırmasındaki DNS sunucu IP adreslerini ISP'nizin sağladığı değerlerle veya aşağıdaki güvenilir genel çözümleyicilerle karşılaştırın. DNS alanlarında tanımadığınız herhangi bir IP, ele geçirme için güçlü bir göstergedir.
Katman 3 — Trafik İzleme
| Gösterge | Kontrol Edilecek Şey | Anlamı |
|---|---|---|
| Oturum açma sayfalarında sertifika uyarıları | Tanınan siteler için tarayıcı güvenlik uyarıları | Olası aktif AitM saldırısı |
| Beklenmedik sayfa yönlendirmeleri | Sayfaların yavaş yüklenmesi veya tanımadık IP'lere gitmesi | DNS çözümlemesi müdahaleye uğramış |
| Yetkisiz yönetici girişimleri | Router erişim günlükleri | Aktif saldırı |
Markaya Özgü Sertleştirme: TP-Link, ASUS ve Netgear
TP-Link (Kablosuz Router'lar)
1. http://tplinkwifi.net veya 192.168.0.1 adresinden oturum açın
2. Şuraya gidin: Gelişmiş > Ağ > İnternet
3. "Aşağıdaki DNS adreslerini kullan" seçeneğini işaretleyin
4. Birincil DNS: 1.1.1.1 / İkincil DNS: 8.8.8.8 olarak ayarlayın
5. Şuraya gidin: Gelişmiş > Sistem > Firmware Güncelleme
6. TP-Link İndirme Merkezi'nden doğru firmware'i indirin
(tam model numarası VE donanım sürümünü eşleştirin)
7. Firmware güncellemesini manuel olarak uygulayın
TP-Link Deco (Mesh Sistemler):
1. Deco mobil uygulamasını açın
2. Şuraya gidin: Daha Fazla > İnternet Bağlantısı > IPv4 Bağlantısı
3. "DNS Adresi"ne dokunun > Manuel'i seçin
4. DNS sunucu IP adreslerini doğrulayın veya güncelleyin
ASUS Router'lar
ASUS router'lar, APT28'e karşı etkin biçimde kullanılabilecek AiProtection ve DNS Rebind Protection (DNS Yeniden Bağlama Koruması) özelliklerini içerir.
1. http://www.asusrouter.com veya 192.168.1.1 adresinden oturum açın
2. WAN erişimini devre dışı bırakın:
Gelişmiş Ayarlar > Yönetim > Uzak Erişim Yapılandırması
"WAN'dan Web Erişimini Etkinleştir" = Hayır olarak ayarlayın
3. DNS sertleştirme:
WAN > İnternet Bağlantısı > WAN DNS Ayarı
"DNS sunucusuna otomatik bağlan" = Hayır olarak ayarlayın
Güvenilir DNS IP'lerini manuel olarak atayın
4. WAN bağlantı ayarlarında DNS Rebind Protection'ı etkinleştirin
Netgear Router'lar
1. Varsayılan ağ geçidini bulun: ipconfig (Windows) veya ip route (Linux/macOS)
2. Web arayüzünde oturum açın
3. Şuraya gidin: Temel > İnternet
4. "Alan Adı Sunucusu (DNS) Adresi" altında:
"Bu DNS Sunucularını Kullan"ı seçin
Birincil: 8.8.8.8 / İkincil: 8.8.4.4
5. Şuraya gidin: Gelişmiş > Kurulum > Uzak Yönetim
Uzak yönetimin devre dışı olduğundan emin olun
Uzaktan Çalışanlar ve Kurumsal Savunma: Sıfır Güven Yaklaşımı
Geleneksel çevre güvenliği (castle-and-moat) modeli, ev ağ geçidinde gerçekleşen AitM saldırılarına karşı yetersiz kalır. Savunma sanayii veya kamu sektöründe çalışan kuruluşlar ev router'ını güvenilmez, düşman kontrolündeki bir ağ olarak değerlendirmelidir.
Zorunlu VPN / ZTNA: Tüm kurumsal erişim, DHCP tarafından sağlanan çözümleyiciyi tamamen devre dışı bırakacak biçimde kendi DNS çözümlemesini zorunlu kılan sağlamlaştırılmış bir VPN veya ZTNA (Zero-Trust Network Access — Sıfır Güven Ağ Erişimi) ajanı üzerinden gerçekleşmelidir.
Tarayıcılarda DNS-over-HTTPS (DoH): DoH, DNS sorgularını port 443 üzerinden şifreleyerek normal HTTPS trafiğinden ayırt edilemez hâle getirir. Ele geçirilmiş bir router, DoH isteğini ne görebilir ne de değiştirebilir; bu durum APT28'in izinsiz dinleme modelini kırıyor.
VLAN segmentasyonu: Küçük ofisler için sunucu ve kritik altyapı trafiği, misafir cihazların veya savunmasız ev kullanımı donanımlarının bulunabileceği genel ofis Wi-Fi'sinden ayrı, özel bir VLAN (Virtual Local Area Network — Sanal Yerel Ağ) içinde izole edilmelidir.
Ağ cihazı bütünlük denetimleri:
| Yöntem | Amaç | Uygulama |
|---|---|---|
| NDI Metodolojisi | Firmware doğrulama | Yetkisiz değişiklikler için dosya ve bellek tabanlı denetimler |
| SIEM entegrasyonu | Günlük korelasyonu | Yetkisiz yeniden başlatma veya yapılandırma değişikliklerini işaretleme |
| Bant dışı yönetim | Güvenli yönetici erişimi | Yönetim görevlerini ayrı, özel bir fiziksel ağ üzerinde gerçekleştirme |
Güvenli DNS Altyapısı ve Genel Çözümleyiciler
Güvenilir bir genel çözümleyiciye geçiş, DNS ele geçirmeye karşı en etkili tek yapılandırma değişikliğidir:
| Sağlayıcı | Birincil IPv4 | Temel Güvenlik Özelliği | En İyi Kullanım |
|---|---|---|---|
| Cloudflare | 1.1.1.1 | DoH/DoT desteği; 24 saatlik sorgu anonimleştirme | Genel gizlilik + hız |
| Quad9 | 9.9.9.9 | Gerçek zamanlı kötü niyetli alan adı engelleme | Güvenlik odaklı ev kullanıcıları |
| Google Public DNS | 8.8.8.8 | Global anycast; yüksek kullanılabilirlik | Güvenilirlik ve geliştirici testleri |
| OpenDNS (Cisco) | 208.67.222.222 | Özel web filtreleme + kimlik avı önleme | Aileler ve eğitim ortamları |
| AdGuard DNS | 94.140.14.14 | DNS düzeyinde reklam ve izleyici engelleme | Gizlilik odaklı gezinti |
Maksimum koruma için yukarıdakilerin herhangi birini işletim sistemi veya tarayıcı düzeyinde DoH veya DoT (DNS-over-TLS — TLS Üzerinden DNS) ile birleştirin. Bu, bir router ele geçirilmiş olsa dahi cihazdan gönderilen DNS sorgularının uçtan uca şifreli olmasını ve engellenememesini güvence altına alır.
Jeopolitik Yansımalar ve Hibrit Savaş Doktrini
2026 kampanyası, Rus askeri istihbaratının "ev" ile "devlet" ağları arasındaki ayrımı artık fiilen ortadan kaldırdığını gösteren stratejik bir kırılma noktasıdır.
Tedarik zinciri boyutu. Nisan 2026 danışma belgesi, ABD FCC'nin (Federal Communications Commission — Federal İletişim Komisyonu) belirli yabancı yapımı tüketici router'larının ithalatını ulusal güvenlik gerekçesiyle kısıtlama kararının ardından yayımlandı. Ancak kampanya, sorunun router'ın nerede üretildiğinden çok nasıl bakıldığıyla ilgili olduğunu ortaya koyuyor: zayıf varsayılan kimlik bilgileri, otomatik güncelleme mekanizmalarının yokluğu ve EOL donanımın yaygınlığı, devlet destekli casusluğun gerçek yapısal etkenlerini oluşturuyor.
Aktif savunma emsal teşkil ediyor. Operation Masquerade önemli bir emsal oluşturuyor: FBI, mahkeme yetkilendirmesiyle sivil mülkiyetindeki cihazları doğrudan değiştirerek devlet destekli bir ele geçirme işlemini temizledi. Bu "aktif savunma" duruşu, Batılı hükümetlerin kendi yetki alanları içindeki GRU botnetlerini sürdürme maliyetini artırmak amacıyla hukuki ve siyasi karmaşıklığı göze almaya hazır olduğuna işaret ediyor.
Özet ve Uygulanabilir Öneriler
Nisan 2026 APT28 kampanyası, ulusal güvenlik çevrelerinin artık her uzaktan çalışanın ev ağına uzandığını teknik olarak kanıtlıyor. Dört somut adım, riskin büyük bölümünü gideriyor:
-
EOL donanımı hemen değiştirin. Artık üretici yaması almayan cihazlar kalıcı bir risk unsurudur. Kuruluşlar, uzaktan çalışanlar tarafından kullanılan router modellerini takip etmeli ve donanım değiştirme politikasını hayata geçirmelidir.
-
DNS şifrelemeyi standart olarak benimseyin. Port 53 üzerinden şifrelenmemiş standart DNS, artık geçerli bir güvenlik duruşu değildir. Router ayarlarından bağımsız olarak tarayıcı veya işletim sistemi düzeyinde DoH ya da DoT yapılandırın.
-
Sertifika uyarılarını kritik güvenlik olayı olarak değerlendirin. APT28'in AitM iş akışı, kullanıcıların TLS uyarılarını geçiştirmesine dayanıyor. Bir oturum açma sayfasındaki sertifika hatası, isteğin beklenmedik bir sunucu tarafından yanıtlandığı anlamına gelir; durdurun, devam etmeyin ve araştırın.
-
Şüpheli ele geçirme durumlarını FBI'a IC3 üzerinden bildirin. Router'ınızın markası, modeli, donanım sürümü ve yapılandırmasında bulunan DNS IP adresleri gibi belirli detayları paylaşın. Bu veriler, NSA ve FBI'ın APT28'in gelişen TTP (Tactics, Techniques, and Procedures — Taktikler, Teknikler ve Prosedürler) takibini doğrudan destekler.
Comments
(0)Loading comments...