Wall Street Journal’ın haberine göre, aralarında Verizon, AT&T ve Lumen Technologies’in de bulunduğu çok sayıda ABD geniş bant sağlayıcısı, Salt Typhoon olarak takip edilen Çinli bir bilgisayar korsanlığı grubu tarafından ihlal edildi.
Saldırının amacının istihbarat toplamak olduğu görülüyor; çünkü bilgisayar korsanları, ABD federal hükümeti tarafından mahkemenin yetkilendirdiği ağ telefon dinleme talepleri için kullanılan sistemlere erişime sahip olabilir.
İzinsiz girişin ne zaman gerçekleştiği belli değil, ancak WSJ konuya aşina olan kişilerden alıntı yaparak “bilgisayar korsanlarının ABD’nin iletişim verilerine yönelik yasal talepleri ile işbirliği yapmak için kullanılan ağ altyapısına aylarca veya daha uzun süre erişime sahip olabileceğini” söyledi.
Salt Typhoon, Microsoft’un bu Çin merkezli tehdit aktörüne verdiği addır. Diğer siber güvenlik şirketleri, düşmanı Earth Estries (Trend Micro), FamousSparrow (ESET), Ghost Emperor (Kaspersky) ve UNC2286 (Mandiant, artık Google Cloud’un bir parçası) olarak takip ediyor.
Hassas trafiği yakalama
WSJ’ye göre saldırı geçtiğimiz haftalarda fark edildi ve ABD hükümeti ile özel sektördeki güvenlik uzmanları tarafından araştırılıyor.
Saldırıyla ilgili bilgisi olan kişiler WSJ’ye, saldırının etkisinin (gözlenen ve sızdırılan verilerin miktarı ve türü) hala değerlendirildiğini söyledi.
“Bilgisayar korsanları, büyük ve küçük işletmeleri ve milyonlarca Amerikalıyı müşterileri olarak sayan internet servis sağlayıcılarından gelen geniş bir internet trafiği koleksiyonuna girmiş gibi görünüyor” – Wall Street Journal
Salt Typhoon, ABD’deki ihlal servis sağlayıcılarının yanı sıra diğer ülkelerdeki benzer kuruluşları da hacklemiş olabilir.
Salt Typhoon, en az 2019’dan beri aktif ve genellikle Güneydoğu Asya bölgesindeki devlet kurumlarına ve telekomünikasyon şirketlerine odaklanan gelişmiş bir bilgisayar korsanlığı grubu olarak değerlendiriliyor.
Güvenlik araştırmacıları ayrıca tehdit aktörünün Brezilya, Burkina Faso, Güney Afrika, Kanada, İsrail, Fransa, Guatemala, Litvanya, Suudi Arabistan, Tayvan, Tayland ve Birleşik Krallık’taki otellere, mühendislik şirketlerine ve hukuk firmalarına saldırdığını da tespit etti.
Bilgisayar korsanları genellikle Microsoft Exchange Server’daki ProxyLogon güvenlik açıkları (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 ve CVE-2021-27065) gibi güvenlik açıklarından yararlanarak hedef ağa ilk erişimi elde eder.
Salt Typhoon/Ghost Emperor’a atfedilen önceki saldırılarda tehdit aktörü, SparrowDoor adı verilen özel bir arka kapı, kimlik doğrulama verilerini ayıklamak için Mimikatz aracının özelleştirilmiş versiyonları ve Windows çekirdek modu kök seti Demodex’i kullanmıştı.
Müfettişler hâlâ son saldırı için ilk erişim yöntemini arıyor. WSJ, araştırılan yollardan birinin internet trafiğini yönlendirmekten sorumlu Cisco yönlendiricilerine erişim sağlamak olduğunu söylüyor.
Ancak bir Cisco sözcüsü WSJ’ye, şirketin konuyu araştırdığını ancak ihlalde Cisco ağ ekipmanının rol oynadığına dair hiçbir belirti almadığını söyledi.
BleepingComputer iddia edilen ihlalle ilgili olarak AT&T ile temasa geçti ve kendilerine “WSJ raporu hakkında yorum yapmadıkları” söylendi. Lumen de yorum yapmaktan kaçındı.
Verizon e-postalarımıza yanıt vermedi ve bir yanıt alırsak hikayeyi güncelleyeceğiz.
Çinli APT bilgisayar korsanlığı grupları, siber casusluk saldırılarında giderek daha fazla ABD ve Avrupa ağ cihazlarını ve İSS’leri hedef alıyor.
Ağustos ayında Lumen’in Black Lotus Laboratuarlarındaki siber güvenlik araştırmacıları, “Volt Typhoon” olarak bilinen Çinli tehdit aktörlerinin, kimlik bilgilerini çalmak ve kurumsal ağları ihlal etmek için Versa Director’daki sıfır gün kusurundan yararlandığını açıkladı. Bu saldırılar sırasında, tehdit aktörleri ABD ve Hindistan’da çok sayıda İSS ve MSP’yi ihlal etti; bunun son ihlallerle bağlantılı olduğuna inanılmıyor.
Eylül ayında, Black Lotus Laboratuvarları ve kolluk kuvvetleri, 260.000’den fazla SOHO yönlendiricisini ve kötü amaçlı yazılım içeren IP kameralarını tehlikeye atan “Raptor Train” adlı devasa bir Çin botnet’ini kesintiye uğrattı. Bu botnet, “Flax Typhoon” tehdit aktörleri tarafından DDoS saldırıları için ve diğer kuruluşlara gizli saldırılar başlatmak için bir proxy olarak kullanıldı.
Bu saldırılar farklı Çinli bilgisayar korsanlığı gruplarına atfedilse de, bunların aynı çatı altında faaliyet gösterdiğine ve genellikle altyapı ve araçları paylaştığına inanılıyor.