Kanada Siber Güvenlik Merkezi ve ABD Federal Soruşturma Bürosu (FBI), Çin bağlantılı tuz tayfun aktörleri tarafından siber casusluk kampanyasının bir parçası olarak büyük küresel telekomünikasyon sağlayıcılarını ihlal etmek için siber saldırılar hakkında bir danışma uyarısı yayınladı.
Saldırganlar, 2025 yılının ortalarında Kanada Telekomünikasyon Şirketi’ne kayıtlı üç ağ cihazından yapılandırma dosyalarına erişmek için kritik bir Cisco IOS XE yazılımından (CVE-2023-20198, CVSS puanı: 10.0) kullandı.
Tehdit aktörlerinin ayrıca, jenerik bir yönlendirme kapsülleme (GRE) tünelini yapılandırmak için dosyalardan en az birini değiştirdikleri ve ağdan trafik toplanmasını sağladığı söyleniyor. Hedeflenen şirketin adı açıklanmadı.
Hedeflemenin muhtemelen telekomünikasyon sektörünün ötesine geçtiğini belirten ajanslar, Kanada cihazlarının hedeflenmesinin tehdit aktörlerinin tehlikeye atılan ağlardan bilgi toplamasına ve ek cihazları ihlal etmek için kaldıraç olarak kullanmasına izin verebileceğini söyledi.
“Bazı durumlarda, tehdit aktörlerinin faaliyetlerinin büyük olasılıkla ağ keşifleriyle sınırlı olduğunu değerlendiriyoruz.”
Ajanslar ayrıca, Edge Network cihazlarının, telekom hizmet sağlayıcılarına kalıcı erişimi ihlal etmek ve sürdürmek isteyen Çin devlet destekli tehdit aktörleri için cazip bir hedef olmaya devam ettiğine dikkat çekti.
Bulgular, ABD, Güney Afrika ve İtalya’da telekom ve internet firmalarına sızmak ve uzun süreli erişim ve veri eksfiltresi için GRE tünellerini kurmak için dayanakları kullanan CVE-2023-20198 ve CVE-2023-20273’ün sömürülmesini ayrıntılı olarak açıklayan daha önceki bir raporla ilgili bulgular.
UK NCSC, Fortinet Cihazlarını Hedefleyen Kötü Yazılımlar Ayakkabı Rafı ve Şemsiye Standını uyarıyor
Geliştirme, Birleşik Krallık Ulusal Siber Güvenlik Merkezi’nin (NCSC), Fortinet tarafından yapılan Fortigate 100D Serisi güvenlik duvarlarını hedefleyen ayakkabı rafı ve şemsiye standı olarak adlandırılan iki farklı kötü amaçlı yazılım ailesini ortaya çıkarmasıyla geliyor.
Ayakkabı rafı, uzaktan kabuk erişimi ve tehlikeye atılan bir cihazdan TCP tünelleri için bir sömürge sonrası aracı olsa da, şemsiye standı, saldırgan kontrollü bir sunucudan verilen kabuk komutlarını çalıştırmak için tasarlanmıştır.
İlginç bir şekilde, ayakkabı rafı kısmen, tesadüfen, Goreshell kodlu bir Windows implantı tasarlamak için Purplehaze adlı bir Çin-Nexus tehdit kümesi tarafından da yeniden tasarlanan Reverse_shell adlı halka açık bir araca dayanmaktadır. Şu anda bu faaliyetlerin ilişkili olup olmadığı açık değil.
NCSC, daha önce Çin devlet destekli bilgisayar korsanları tarafından Hollanda Silahlı Kuvvetler ağına yönelik bir siber saldırıda kullanıma sunulan bir arka kapı olan şemsiye standı ile coathanger arasında bazı benzerlikler belirlediğini söyledi.