Siber Güvenlik

Unutulmuş Routerlar Siber Saldırganların Yeni Ağı Oluyor: AryStinger Tehlikesi

AryStinger zararlı yazılımı, eski ve unutulmuş ev yönlendiricilerini hedef alarak, onları sıradan DDoS botnetlerinden farklı olarak bir keşif ve proxy ağına dönüştürüyor. QiAnXin XLab tarafından tespit edilen bu yeni tehdit, şimdiden 4.300’den fazla yönlendiriciyi ele geçirmiş durumda ve bu sayının artmaya devam ettiği belirtiliyor. Bu durum, internet güvenliği açısından ciddi sonuçlar doğurabilir.

Eski Cihazlardaki Yeni Açıklar

AryStinger’ın saldırı hedefinde, ağırlıklı olarak 2012-2015 yılları arasında üretilen ve Realtek’in RTL819X yonga setlerini kullanan yönlendiriciler bulunuyor. Bu eski donanımlar, günümüzdeki güvenlik açıklarına karşı daha savunmasız kalıyor. Saldırganlar, Mart 2026’dan bu yana aktif olarak bu cihazları hedef alıyor. Virüs tarama motorlarının çoğunda tespit edilemeyen bir Linux ELF binary’si aracılığıyla yayılan zararlı yazılım, özellikle Linksys modellerindeki CVE-2013-3307 ve D-Link modellerindeki CVE-2016-5681 gibi eski güvenlik açıklarından faydalanıyor. Ele geçirilen cihazların yaklaşık %75’inin D-Link DIR-850L modeli olduğu ve coğrafi olarak en yoğun enfeksiyonların Güney Kore (%48) ve Çin’de (%32) görüldüğü raporlanıyor. Bu, siber suçluların küresel çapta yaygın ve eski cihazları nasıl birleştirebildiğini gösteriyor. Bu tür eski cihazların hala internete bağlı olması, potansiyel saldırı yüzeyini genişletiyor. Neden bu kadar eski cihazlar hedef alınıyor sorusu akıllara geliyor. Belki de güncellemeleri durdurulmuş ve güvenlik yamaları artık yayınlanmayan bu cihazlar, saldırganlar için daha kolay bir av konumunda.

Farklı Platformlar İçin İki Farklı Yapı

AryStinger zararlı yazılımının iki ana yapısı bulunuyor: biri yönlendiriciler için optimize edilmiş hafif bir sürüm, diğeri ise daha gelişmiş özelliklere sahip bir NAS (Ağ Bağlantılı Depolama) sürümü. Yönlendirici sürümü, kısıtlı kaynaklara sahip eski donanımlarda çalışmak üzere C dilinde yazılmış ve öncelikli olarak toplu DNS taraması ile trafik tünelleme görevlerine odaklanıyor. Diğer yandan, Go dilinde yazılan NAS sürümü ise hem yerel hem de harici ağları tarayabiliyor ve fscan, ksubdomain, httpx gibi gelişmiş keşif araçlarını çalıştırabiliyor. En dikkat çekici özelliği ise, saldırganın hazırladığı Go, Java veya Python kaynak kodlarını doğrudan cihaz üzerinde derlemeden çalıştırmasına olanak tanıyan bir ‘ScriptWork’ görevi. Bu, saldırganların her hedef için ayrı bir zararlı yazılım derleme ihtiyacını ortadan kaldırıyor. Her bir ele geçirilmiş cihaz, XLab tarafından ‘Executor’ olarak adlandırılıyor ve komuta-kontrol (C2) sunucusuyla HTTP/HTTPS üzerinden iletişim kuruyor. İletişim verileri, basit bir XOR şifrelemesiyle (Go sürümünde gzip de ekleniyor) gizlenmiş Protobuf formatında gönderiliyor. Saldırganlar, büyük tarama görevlerini küçük parçalara ayırarak bu cihazlar ağına dağıtıyor ve bu sayede keşif faaliyetlerini paralel olarak yürütüyorlar. Bu yaklaşım, saldırıların tespit edilmesini zorlaştırırken, saldırganların daha geniş bir alanı hızlıca analiz etmesine imkan tanıyor. Bu esneklik, zararlı yazılımın yayılma potansiyelini de artırıyor.

Saldırganlar, internetin unutulmuş köşelerindeki cihazları bile siber savunma hattının zayıf noktaları haline getirerek, kendileri için görünmez bir operasyonel altyapı inşa ediyor.

Kalıcılık ve Kontrol Mekanizmaları

Zararlı yazılımın sistemde kalıcılığını sağlamak için kendine has yöntemleri bulunuyor. Yönlendiricilerde genellikle Dropbear SSH sunucusu, sabit bir port olan 2332 üzerinden çalıştırılarak kalıcılık sağlanıyor. NAS cihazlarında ise gs-netcat benzeri bir mekanizma kullanılıyor. Her iki durumda da, sistem yeniden başlatılsa bile zararlı yazılımın tekrar aktif hale gelmesi hedefleniyor. Saldırganların kullandığı sabit anahtar ise ‘sh_#@!_2024_secret’ olarak belirlenmiş. Bu anahtardaki ‘2024’ ibaresi, zararlı yazılımın faaliyetlerine 2024 yılında başlamış olabileceğine işaret etse de, XLab bu konuda kesin bir bilgiye sahip değil. Bu tür kalıcılık mekanizmaları, zararlı yazılımın uzun süre fark edilmeden sistemde kalmasına ve sürekli olarak komuta-kontrol sunucusuyla iletişimde olmasına olanak tanıyor. Bu durum, ağ güvenliği uzmanları için büyük bir zorluk teşkil ediyor, çünkü tespit edilmesi güç ve gizli kalan tehditler genellikle daha büyük zararlara yol açabiliyor. Türkiye’deki kullanıcıların da, eğer bu tür eski ve güncellenmemiş yönlendiriciler kullanıyorlarsa, bu tehlikeye karşı dikkatli olmaları gerekiyor. Modem ve routerların düzenli olarak güncellenmesi ve güvenli şifrelerle korunması, bu tür saldırılara karşı ilk savunma hattını oluşturuyor.

AryStinger Saldırı Zincirindeki Yeri

AryStinger’ın faaliyet şekli, daha önce benzeri görülen saldırı ağlarından farklı bir amaç güdüyor. Genellikle ev yönlendiricileri, DDoS saldırıları için kullanılan botnetlerin bir parçası haline gelirken, AryStinger bunu bir adım öteye taşıyarak bir keşif proxy ağı oluşturuyor. Bu ağ, saldırganın kimliğini gizlemesine ve hedef sistemlere ulaşmadan önce bilgi toplama aşamasını daha etkili bir şekilde gerçekleştirmesine yardımcı oluyor. Ele geçirilmiş cihazlar, internetteki hizmetleri tarıyor, alt alan adlarını listeliyor, trafiği yönlendiriyor ve komutları çalıştırarak elde edilen sonuçları saldırganın operatörüne iletiyor. Her bir yönlendirici, hem bir footprinting node (iz bulma düğümü) hem de saldırganın gerçek konumunu gizleyen bir röle görevi görüyor. FBI ve Adalet Bakanlığı’nın 2025 Mayıs’ında çökerttiği 5socks ve Anyproxy servisleri de benzer şekilde, eski yönlendiricileri aylık abonelikle satılan konut proxy’lerine dönüştürmüştü. Mandiant’ın takip ettiği ‘operational relay box networks’ (ORBs) ise, kullanım ömrünü tamamlamış cihazlardan oluşan ağlar olarak biliniyor. AryStinger, bu operasyonel proxy ağlarını bilgi toplama amacıyla kullanarak siber saldırıların ilk aşamalarını daha gizli ve etkili hale getiriyor. Bu yeni nesil siber tehditler, klasikleşmiş saldırı yöntemlerinin nasıl evrildiğini ve dijital altyapının her noktasının potansiyel bir risk taşıdığını gözler önüne seriyor.

Peki AryStinger Tehlikesiyle Nasıl Başa Çıkılmalı?

AryStinger gibi eski ve gözden kaçan cihazları hedef alan zararlı yazılımlar karşısında alınacak önlemler, proaktif bir güvenlik yaklaşımı gerektiriyor. Öncelikle, ev ve iş yerlerindeki router ve modemlerin firmware’leri düzenli olarak güncellenmelidir. Üreticilerin yayınladığı en son güvenlik yamalarının yüklenmesi, bilinen açıkları kapatmanın en etkili yoludur. Eğer cihaz üreticisi artık güncelleme sağlamıyorsa, bu cihazların en kısa sürede daha güvenli modellerle değiştirilmesi şiddetle tavsiye edilir. Güvenlik duvarı ayarlarının kontrol edilmesi ve gereksiz servislerin kapatılması da önemlidir. Ayrıca, router yönetim paneline erişim için kullanılan şifrelerin karmaşık ve tahmin edilmesi zor olması gerekir; varsayılan şifrelerin kesinlikle değiştirilmesi şarttır. İnternet servis sağlayıcıları tarafından sunulan gelişmiş güvenlik hizmetleri varsa, bunların aktif hale getirilmesi de ek bir koruma katmanı sağlayabilir. Kullanıcıların şüpheli e-postalara, bağlantılara ve dosyalara karşı dikkatli olması, sosyal mühendislik saldırılarına karşı da bir önlem teşkil edecektir. Bu zararlı yazılımın hedeflediği gibi eski cihazlar, genellikle yeterli güvenlik önlemlerine sahip olmuyor. Bu nedenle, özellikle kurumsal ağlarda kullanılan tüm ağ cihazlarının envanterinin çıkarılması ve güvenlik durumlarının periyodik olarak gözden geçirilmesi, potansiyel risklerin erken tespit edilmesini sağlayabilir. Türkiye’deki KOBİ’lerin ve bireysel kullanıcıların da bu tür tehditlere karşı bilinçli olması, dijital güvenliklerini artırmaları açısından kritik öneme sahiptir. Siber güvenlik, sadece büyük şirketlerin değil, her bireyin sorumluluğudur.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu