CISA bugün, ağ savunucularının sistemlerini, bu yılın başlarında çok sayıda büyük küresel telekomünikasyon sağlayıcısını ihlal eden Salt Typhoon Çinli tehdit grubu tarafından koordine edilen saldırılara karşı güçlendirmelerine yardımcı olmak için bir kılavuz yayınladı.
ABD siber güvenlik kurumu ve FBI, Salt Typhoon’un AT&T, T-Mobile, Verizon ve Lumen Technologies dahil olmak üzere çok sayıda geniş bant sağlayıcısını ihlal ettiği yönündeki raporların ardından Ekim ayı sonlarında ihlalleri doğruladı.
Daha sonra, saldırganların “sınırlı sayıda” hükümet yetkilisinin “özel iletişimini” tehlikeye attığını, ABD hükümetinin telefon dinleme platformuna erişim sağladığını ve müşteri arama kayıtlarını ve kolluk kuvvetlerinin talep verilerini çaldığını açıkladılar.
Telekom devlerinin ağlarının ilk kez ne zaman ihlal edildiği hala bilinmese de, WSJ raporuna göre Çinli bilgisayar korsanları “aylarca veya daha uzun süre” erişime sahipti ve bu da onların büyük miktarda “işletme sayılan internet servis sağlayıcılarından internet trafiğini” çalmalarına olanak sağladı. irili ufaklı ve milyonlarca Amerikalı onların müşterisi.”
Üst düzey bir CISA yetkilisi gazetecilere verdiği demeçte, “Düşmanın tahliye edildiğini kesin olarak söyleyemeyiz, çünkü yaptıkları şeyin kapsamını hâlâ bilmiyoruz. Bunu, ortaklarımızla birlikte hâlâ anlamaya çalışıyoruz.” bugün bir basın toplantısında.
Ancak Çarşamba günü saldırının kablolu hat sağlayıcısının ağından kaynaklandığını söyleyen T-Mobile’ın Baş Güvenlik Sorumlusu, şirketin artık kendi ağında aktif herhangi bir saldırgan görmediğini iddia etti.
Earth Estries, FamousSparrow, Ghost Emperor ve UNC2286 adlarıyla da takip edilen bu tehdit grubu, en az 2019’dan bu yana Güneydoğu Asya’daki hükümet kuruluşlarına ve telekomünikasyon şirketlerine saldırıyor.
“Dikkat çok önemli”
NSA’nın bugün söylediği gibi, Çinli saldırganlar açıkta kalan ve savunmasız hizmetleri, yama yapılmamış cihazları ve genel olarak yeterince güvenli olmayan ortamları hedef aldı.
FBI, NSA ve uluslararası ortaklarla ortaklaşa yayınlanan ortak tavsiye niteliğindeki belge, bu tehdit aktörlerinin kullandığı saldırı yüzeyini azaltmak için cihazların güçlendirilmesi ve ağ güvenliğine ilişkin ipuçları içeriyor.
Ayrıca ağ trafiğine, veri akışına ve kullanıcı etkinliklerine ilişkin daha ayrıntılı bilgi sağlamak amacıyla iletişim altyapısını yöneten sistem yöneticileri ve mühendisler için görünürlüğü artırmaya yönelik savunma önlemlerini de içerir.
Bugünkü danışma belgesinde vurgulanan diğer güçlendirme en iyi uygulamaları şunlardır:
- Cihazların anında yamalanması ve yükseltilmesi,
- Kullanılmayan, doğrulanmamış veya şifrelenmemiş tüm protokollerin devre dışı bırakılması,
- Yönetim bağlantılarının ve ayrıcalıklı hesapların sınırlandırılması,
- Şifrelerin güvenli bir şekilde kullanılması ve saklanması,
- Yalnızca güçlü kriptografi kullanma.
Ağ savunucularına ayrıca ağ çevrelerindeki uç cihazların görünürlüğünü artırmak için sistemlerini tüm yapılandırma değişikliklerini ve yönetim bağlantılarını günlüğe kaydedecek ve beklenmedik bağlantılarda uyarı verecek şekilde yapılandırmaları önerilir.
T-Mobile’ın ihlali internette açığa çıkan cihazlardan ziyade bağlantılı bir kablolu yayın sağlayıcısı üzerinden gerçekleştiğinden, kablolu hat sağlayıcıları gibi güvenilir ortaklardan gelen trafiği izlemek de önemlidir.
NSA Siber Güvenlik Direktörü Dave Luber, “Ağ güvenliğinin ihlal edilmesine karşı savunmada dikkatli olmak çok önemlidir. Gözünüz her zaman sistemlerinizde olsun ve bilinen güvenlik açıkları hedef haline gelmeden önce yama yapın ve bunları giderin” dedi.