Son analizler, AryStinger isimli zararlı yazılımın eski nesil yaklaşık 4.300 yönlendiriciyi hedef alarak, bunları saldırı öncesi keşif ve proxy ağı olarak kullandığını gösteriyor. Bu kampanya, 2012-2015 yılları arasında piyasaya çıkan Realtek RTL819X çipsetli cihazları hedefliyor ve bulaşan cihazlar, saldırganların gerçek konumunu gizlemek için vekil görevi üstleniyor.
Saldırı Öncesi Keşif ve Ağ Kurulumu
AryStinger, ele geçirdiği modemlerde internet taraması yapıyor, servisleri tanımlıyor, alt alan adlarını topluyor ve trafiği tünelliyor. Böylece, siber suikast zincirinin ilk aşamasında, gerçek saldırı noktası gizlenirken, hedef sistemler hakkında detaylı bilgi toplanıyor. Bu yöntem, istihbarat toplama ve sonraki aşamalarda kullanılacak zafiyetlerin tespiti için kritik.
Hangi Cihazlar Hedefte?
Kampanya, öncelikle D-Link ve Linksys marka yönlendiricilere odaklanmış durumda. Özellikle D-Link DIR-850L modeli, enfekte cihazların yaklaşık %75’ini oluşturuyor. Coğrafi dağılımda Güney Kore ve Çin başı çekiyor, ardından İsveç, Malezya ve Singapur geliyor. Bu durum, Asya ve bazı Avrupa bölgelerinde riskin yüksek olduğunu işaret ediyor.
Daha sonra ortaya çıkan ikinci varyant ise QNAP NAS cihazlarını hedef alıyor. Bu versiyon, CVE-2025-11837 zafiyetini kullanarak cihazların yerleşik kötü amaçlı yazılım temizleme aracına sızıyor. Bu zafiyet, 2025’in sonlarında yamalanmış olsa da, zararlı yazılım bu açığı istismar etmeye devam ediyor.
Teknik Ayrıntılar ve İstismar Yöntemleri
Eski donanımlarda çalışan AryStinger, iki farklı derleme halinde bulunuyor. Modemlerde C diliyle yazılmış, hafif bir sürüm çalışıyor; bu sürüm, yoğun DNS taraması ve trafik tünelleme görevlerini üstleniyor. NAS cihazlarında ise Go ile yazılmış daha kapsamlı bir sürüm var; iç ve dış ağlarda keşif yapıyor, fscan, ksubdomain ve httpx gibi araçları kullanabiliyor. Ayrıca, operatörün istediği Go, Java veya Python kodlarını doğrudan hedef cihazda çalıştırabilmesi için “ScriptWork” adlı bir modül barındırıyor.
İletişim, şifrelenmiş Protobuf paketleriyle HTTP/HTTPS üzerinden sağlanıyor ve trafik XOR ile gizleniyor. Operatörler, büyük tarama görevlerini küçük parçalara bölüp aynı anda birçok cihazda gerçekleştirerek keşif verimliliğini artırıyor.
Kalıcılık için modemde Dropbear SSH sunucusu, NAS’ta ise gs-netcat kullanılıyor. Sabit portlar ve gömülü anahtarlar, saldırganların sisteme yeniden erişimini garanti altına alıyor. “sh_#@!_2024_secret” anahtarındaki “2024” ifadesi, operasyonun bu yıl başladığına işaret ediyor olabilir.
Eski Cihazlar, Yeni Tehditler
Bu tür saldırıların ortaya çıkması, eski cihazların güvenlik açıklarının ne kadar kritik olduğunu bir kez daha gösteriyor. FBI ve Adalet Bakanlığı’nın 2025’te benzer bir operasyonla Linksys ve Cisco cihazlarını kötü amaçlı proxy ağı haline getiren 5socks ve Anyproxy’yi çökertmesi de benzer bir örnek teşkil ediyor. Devam eden bu saldırılar, devlet destekli veya sofistike tehdit aktörlerinin eski donanımları istismar etmeye devam ettiğini ortaya koyuyor.
Siber Güvenlik Uzmanları İçin Pratik Kontrol Listesi
- Yönlendiriciniz veya NAS cihazlarınızda şüpheli çıkış bağlantıları (örneğin ajb8.com ve ilişkili alan adları) olup olmadığını loglardan kontrol edin.
- /tmp/bin dizininde sizin koymadığınız ikili dosyalar var mı diye bakın.
- Çalışan süreçler arasında syswapd0h veya syswapd0w isimli işlemler varsa inceleyin.
- Firmware güncellemeleri 2016’da sona eren cihazları kullanım dışı bırakın veya ağdan izole edin.
- Uzak yönetim portlarını kapatın; gereksiz erişimleri engelleyin.
- Ağ segmentasyonu yaparak kritik sistemleri eski cihazlardan ayırın.
- EDR ve SIEM çözümlerinizde bu tür zararlıların davranışlarını izleyebilecek kurallar oluşturun.
Sonuç ve Tavsiyeler
AryStinger’in ortaya koyduğu tablo, siber saldırganların eski donanımları hala aktif olarak hedeflediğini gösteriyor. Bu cihazların yamalarının kesilmesi, güncellenmemesi ve yaygın kullanımı, siber savunmayı zayıflatıyor. Kurumlar ve kullanıcılar için en etkili çözüm, artık desteklenmeyen cihazları ağlarından çıkarıp, erişim kontrollerini sıkılaştırmak. Bu sayede, hem keşif aşamasındaki hem de asıl saldırı adımlarındaki riskler minimize edilebilir.
Güncel tehditlerin takibi, e-posta güvenliği, olay müdahale süreçleri ve ağ segmentasyonu gibi savunma katmanlarıyla desteklenmeli. Ayrıca, fidye yazılımı ve bulut güvenliği gibi alanlara odaklanan stratejiler, mevcut zararlıların etkisini azaltmada önemli rol oynayacaktır.