Kritik Altyapı Güvenliği, Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Ulusal Güvenlik Yetkilileri Siber Casusluk Kampanyasına İlişkin İstihbaratı Paylaşıyor
Mathew J. Schwartz (euroinfosec) •
25 Kasım 2024
Beyaz Saray, Çin’in “sektörü hedef alan önemli siber casusluk kampanyasına” ilişkin istihbaratı paylaşmak üzere Cuma günü ABD telekomünikasyon sektörünün yöneticileriyle bir toplantıya ev sahipliği yaptı.
FBI, saldırganların ABD ulusal güvenlik istihbaratını takip etmek amacıyla çok sayıda telekomünikasyona ihlalde bulunduğunu, buna 5 Kasım seçimleri öncesinde her iki başkanlık kampanyasındaki görevlilerin de hedef alındığını söyledi.
FBI ve Siber Güvenlik ve Altyapı Güvenliği Ajansı mağdurlara teknik yardım sağlıyor ve sektörle istihbarat paylaşıyor. Saldırganlar çağrı kayıtlarını çaldı, birden fazla kişinin iletişimini tehlikeye attı ve ayrıca mahkeme kararıyla izleme taleplerine uymak için kullanılan ağlarda hükümetin zorunlu kıldığı arka kapılar aracılığıyla toplanan bilgilere müdahale etti. Uzmanlar, bu faaliyetlerin bir kısmının, Çin istihbarat teşkilatlarının ABD’nin kendi ajanlarını takip etme çabalarını takip etmeye çalışması olabileceğini söyledi (bkz: Telekom Ağlarındaki Büyük Çin Saldırılarına İlişkin FBI Güncellemeleri).
Senato’nun istihbarat komitesi başkanı Sen. Mark Warner, D-Va., CNN’e, FBI’ın şu ana kadar 150’den az kişiyi uyardığını söyleyerek, bu izinsiz girişleri “ülkemizin tarihindeki en kötü telekom saldırısı” olarak nitelendirdi. Washington bölgesinde. Bilgisayar korsanları, telekomünikasyon şirketinin bilinmeyen sayıda başka kişiyle olan iletişimini tehlikeye attı. Bazı telekomünikasyon firmalarının hala tüm saldırganları ağlarından çıkarmak için mücadele ettiğini söyledi.
Saldırılar, Microsoft’un Salt Typhoon kod adını verdiği ve Çin’in dış istihbarat servisi Devlet Güvenlik Bakanlığı’na bağlı olduğu iddia edilen bir gruba atfediliyor. MSS uzun zamandır istihbarat toplama amacıyla ABD sistemlerini hedef alıyordu.
Pekin yabancı ülkelere yönelik hack saldırıları gerçekleştirdiğini düzenli olarak reddediyor.
Bilinen Kurbanlar
Pekin destekli siber casusluk kampanyasının kamuya açık hedefleri arasında AT&T, Verizon ve Lumen yer alıyor.
Son zamanlarda T-Mobile, kendi ağlarının da hedef alındığını ve ihlal edildiğini söyledi ancak Bilgi Güvenliği Medya Grubu’na, saldırganların müşterilere ait veriler de dahil olmak üzere hiçbir hassas veriye erişmediğine veya bunları çalmadığına inandığını söyledi.
Müfettişler, saldırganların müttefik ülkelerdeki henüz kamuya açıklanmayan telekomünikasyon tesislerine de sızdıklarını söyledi. Saldırının tam boyutunun bilinmediği bildiriliyor.
Çin casusluğuna ilişkin endişeler de artıyor ve aynı zamanda Çin’in Tayvan’ı işgal etmesi durumunda askeri tepkiyi yavaşlatmak için Batı’nın kritik altyapısında tetikleyebileceği yıkıcı kötü amaçlı yazılımların önceden konumlandırılması da söz konusu.
FBI Direktörü Christopher Wray, “Çin’in bilgisayar korsanlığı programının diğer tüm büyük ulusların toplamından daha büyük olduğu” konusunda uyardı.
Çin’in ABD’ye karşı siber operasyonlarının hızı, Beyaz Saray’ın saldırı ve savunma siber birimine (ABD Siber Komutanlığı) bu tür faaliyetleri daha aktif bir şekilde hedeflemesi emrini vermesine yol açtı.
Siber Komutanlığın genel müdürü Morgan Adamski Cuma günü yaptığı konuşmada, Siber Komutanlığın “dünya çapında ÇHC’nin siber operasyonlarını bozmaya ve bozmaya yönelik lazer odaklı” operasyonların hızını artırdığını söyledi.
ABD hükümetinin bu saldırıları tespit etmesine ve kamuoyuna açıklamasına rağmen, Pekin destekli saldırganlar “durmayacak ve durmayacak çünkü bu onların kapsamlı ulusal hedeflerinin bir parçası ve siber, onların en güçlü ulusal güç araçlarından biri haline geldi” dedi katılımcılara. Arlington, Virginia’daki CYBERWARCON güvenlik konferansında (bkz: ABD Siber Gücü Artan Tehditlerin Ortasında Küresel Operasyonlarını Artırıyor).
Bir Senato yetkilisi CNN’e, Çin’in ABD telekomünikasyon firmalarını hedeflemesinin ciddiyetini yansıtacak şekilde, tüm senatörler için gizli, kapalı kapılar ardında bir brifingin 4 Aralık’ta planlandığını söyledi.
Saldırganların Hedefi: Uzun Süreli Erişim
FBI’ın telekomünikasyon şirketleri ile paylaştığı istihbaratların hiçbiri kamuya açıklanmasa da, araştırmacıların Cisco ve diğer uç cihaz türlerindeki bilinen güvenlik açıklarından yararlanma yollarını araştırdıkları bildirildi.
Bunlar Salt Typhoon’la bağlantılı ilk siber casusluk operasyonları değil. Grubu Earth Estries olarak takip eden güvenlik firması Trend Micro, grubun en az 2020’den beri telekomünikasyon firmalarının yanı sıra hükümetler ve askeri kurumlara odaklanarak “uzun süreli saldırılar düzenlediğini” söyledi. Hedeflenen ülkeler arasında yalnızca ABD değil, aynı zamanda Brezilya, Hindistan, Güney Afrika, Tayvan ve Asya-Pasifik ve Orta Doğu bölgelerindeki diğer ülkeler de yer alıyor.
Pazartesi günü yayınlanan bir araştırma raporunda güvenlik araştırmacıları, son yıllarda iyi organize olmuş APT grubunun güvenilir tedarikçiler aracılığıyla hedeflere erişim sağlamak için çeşitli taktikler kullandığını söyledi. Buna, bilinen bir dizi güvenlik açığını test ederek “kurbanların halka açık sunucularının agresif bir şekilde hedeflenmesi” de dahildir. Bunlar arasında, CVE-2023-46805 ve CVE-2024-21887 açıklarından yararlanma zinciri kullanılarak Ivanti Connect Secure’un VPN’inin hedeflenmesi; CVE-2023-48788 olarak takip edilen Fortinet’in FortiClient Endpoint Management Server SQL enjeksiyon güvenlik açığı; Sophos Güvenlik Duvarı’nın kullanıcı portalında ve WebAdmin konsolunda uzaktan kod yürütülmesine izin veren ve CVE-2022-3236 olarak izlenen bir kod yerleştirme güvenlik açığı; ve Microsoft Exchange sunucularında ProxyLogon olarak bilinen dört güvenlik açığından oluşan zincirleme küme (bkz.: Aktif Çin Siber Casusluk Kampanyası E-posta Sunucularını Tüfekliyor).
Trend Micro, bir kurbanın ağlarına uzaktan erişim sağladıktan sonra, casusluk odaklı APT grubunun “kötü amaçlı yazılımları dağıtmak ve uzun vadeli casusluk yürütmek amacıyla ağlar içinde yanal hareket için karada yaşayan ikili dosyaları kullandığını” söyledi. Arazide yaşamak, saldırganların izinsiz girişlerinin tespit edilmesini zorlaştırmak için meşru araçlar kullanması anlamına gelir.