Microsoft Tehdit İstihbaratı’ndaki siber güvenlik araştırmacıları, teknik becerisi ile bilinen bir Çin casusluk grubu olan ipek typhoon aka Hafnium’un şimdi ortak BT çözümlerini ağlara bir ağ geçidi olarak kullandığını gözlemledi. Grup, yalnızca ana sistemlerdeki son derece kritik güvenlik açıklarına güvenmek yerine, dikkatini uzak yönetim uygulamaları ve bulut hizmetleri gibi günlük araçlara çeviriyor.
Taktiklerdeki değişim, dünya çapında diğer sofistike casusluk grupları tarafından benimsenen değişikliklerle uyumludur. Bu eğilim ilk olarak Mayıs 2024’te rapor edildi ve Rus bilgisayar korsanlarının özel yüklerden nasıl uzaklaştığını vurguladı. İran 2024’te bildirildiği gibi, İranlı bilgisayar korsanlarının ABD’ye yönelik saldırılarda fidye yazılımı çeteleriyle işbirliği yaptıkları İran’da da benzer bir değişim gözlendi.
Güvenlik açıklarından yararlanmak
Geleneksel olarak, ipek tayfun, güvenlik duvarları ve VPN’ler gibi zayıf kamuoyu bakan cihazları tarayarak nadir sıfır gün güvenlik açıklarından yararlandı. Bilinen sömürüsünden bazıları CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 ve CVE-2021-27065 içerir. Bununla birlikte, son aktivite, grubun artık uzaktan yönetim araçları ve bulut uygulamaları da dahil olmak üzere birçok kuruluşun güvendiği yaygın olarak kullanılan çözümleri hedeflediğini göstermektedir.
Microsoft kendi bulut hizmetlerinin doğrudan hedeflenmediğini onaylarken henüzİpek Typhoon, ihlal sistemlerine takılmamış uygulamalardan yararlanıyor. Grup, hedeflenen bir sistemden ödün vermek ve daha sonra Microsoft tarafından kullanılanlar da dahil olmak üzere, özellikle ABD hükümet politikası ve yasal konularla ilgili bilgiler arayanlar da dahil olmak üzere diğer sistemlere ulaşmak için erişimi kullanmak için çalınan anahtarları ve giriş bilgilerini kötüye kullandığı bilinmektedir.
Değişen Taktikler
Grubun taktiklerdeki değişimi, hükümet ve sağlık hizmetlerinden BT hizmetlerine ve eğitime başlayan çeşitli sektörü etkiler. Ortak BT araçlarına saldırarak ipek tayfun, güncellenmiş güvenlik önlemleri olanlar da dahil olmak üzere birçok kuruluşun bu günlük uygulamaları göz ardı edebileceği gerçeğinden yararlanacaktır. İçeri girdikten sonra, ağlar arasında hareket etmek, duyarlı verilere erişmek ve hatta e -posta ve veri depolama hizmetlerine karşı kurcalama için çeşitli tekniklerden yararlanacaklar.
Bu nedenle Microsoft, kendinizi ipek tayfundan korumak için birkaç önemli adım önerir. İlk olarak, tüm sistemleri ve yazılımları güncel tutun, çünkü açılmamış güvenlik açıkları genellikle saldırganlar için en kolay giriş noktalarıdır. Çok faktörlü kimlik doğrulama (MFA) ve benzersiz şifreler gibi güçlü kimlik doğrulama uygulamaları, yetkisiz erişime karşı ekstra bir güvenlik katmanı ekler.
Sistem yöneticileri için; Ağ aktivitesinin izlenmesi, bir ihlali işaret edebilecek beklenmedik idari değişiklikler gibi olağandışı davranışların tespit edilmesine de yardımcı olabilir. Ayrıca, kuruluşlar API anahtarlarını ve hizmet kimlik bilgilerini dikkatlice yönetmeli ve saldırganların bunlardan yararlanmasını önlemek için mümkün olan her yerde erişimi kısıtlamalıdır.