Sofistike bir Çin APT grubu olan Salt Typhoon, ABD eyaletinin Ordu Ulusal Muhafız Ağına yaklaşık bir yıl boyunca, Mart 2024’ten Aralık 2024’e kadar başarılı bir şekilde sızdı. Bu ihlal, Haziran ayından itibaren İç Güvenlik Departmanı (DHS) notunda ayrıntılı olarak açıklandı,
Bu, ABD askeri ve kritik altyapı sistemlerinin güvenliği ile ilgili endişeleri gündeme getirse de, saldırı tamamen beklenmedik değil. Hackread.com tarafından bildirildiği gibi, 10 $ ‘a kadar düşük olan Infostealers, ABD ordusuna ve hatta FBI’a ait oldukça hassas sistemleri zaten tehlikeye attılar.
Bilgilerini bir Savunma Bakanlığı (DOD) raporundan alan ve daha sonra halkın ulusal güvenlik şeffaflığı kar amacı gütmeyen mülkiyet tarafından bilgi özgürlüğü talebi yoluyla NBC News ile paylaşılan DHS notu, tuz tayfunun ağı “yaygın olarak tehlikeye attığını” ortaya koydu. Belirli durum adlandırılmamış olsa da, saldırı bilgisayar korsanlarının hayati bilgiler toplamasına izin verdi.
Derin uzlaşma ve veri hırsızlığı
Salt Typhoon, uzun süreli erişimleri sırasında ağ yapılandırmaları ve diğer tüm ABD eyaletlerindeki Ulusal Muhafız birimleriyle veri trafiğinin detayları ve en az dört ABD bölgesi de dahil olmak üzere hassas veriler toplamayı başardı. Kritik olarak, bu çalınan bilgiler aynı zamanda diğer Ulusal Muhafız birimlerine gelecekteki saldırıları kolaylaştırmak için kullanılabilecek yönetici kimlik bilgileri ve ağ diyagramları içeriyordu.
Çalınan veriler ayrıca coğrafi konum haritaları ve hizmet üyelerinin kişisel olarak tanımlanabilir bilgilerini (PII) içeriyordu. Bazı 14 eyalette, Ulusal Muhafız birimlerinin istihbarat paylaşımı için “füzyon merkezleri” ile yakın çalıştığını, yani ihlalin daha geniş bir etkisi olabileceğini belirtti.
Tuz Typhoon- Kalıcı bir tehdit
Tuz tayfunun (diğer adıyla Ghostemperor, Famoussparrow, Earth Astries ve UNC2286) ABD hükümetini ve enerji, iletişim, ulaşım ve su sistemleri de dahil olmak üzere kritik altyapı sektörlerini hedefleme geçmişine sahip olduğunu belirtmek gerekir.
Hackread.com’un daha önce bildirdiği gibi, Kasım 2024’te Salt Typhoon, telekom sistemlerindeki güvenlik açıklarını vurgulayarak T-Mobile’ın önemli bir saldırısıyla bağlantılıydı. Şimdiye kadar, grup AT&T ve Verizon da dahil olmak üzere en az sekiz büyük ABD internet ve telefon şirketini tehlikeye attı.
Bu erişim noktalarının Harris ve Trump başkanlık kampanyaları ve Senato Çoğunluk Lideri Chuck Schumer Ofisi de dahil olmak üzere önde gelen siyasi figürlerin iletişimini izlemek için kullanıldığı bildirildi.
FBI ve Kanada’nın Siber Merkezi’nden bir Haziran 2025 tarihli bir danışmanlık, Salt Typhoon’un telekom ağlarına karşı küresel kampanyası konusunda uyardı ve cihazlarda CVE-2023-20198 gibi güvenlik açıklarını kullandı.
Sonuçlar
Hem federal hem de devlet otoritesi altında faaliyet gösteren Ulusal Muhafız birimlerinin karmaşık doğası göz önüne alındığında, olay olası siber saldırılar için daha fazla puan oluşturabilir. Savunma Bakanlığı ayrıntılar hakkında yorum yapmadı, ancak bir Ulusal Muhafız Bürosu sözcüsü, görevlerini etkilemediğini belirterek uzlaşmayı doğruladı.
Bir DHS sözcüsü, “DHS bu tür saldırıları analiz etmeye devam ediyor ve gelecekteki saldırıları önlemek ve riski azaltmak için Ulusal Muhafız ve diğer ortaklarla yakın bir şekilde koordine ediyor” dedi.
Bu arada, Çin’in Washington sözcüsü büyükelçiliği kampanyayı reddetmedi, ancak ABD’nin tuz tayfunu Çin hükümetine bağlayan kesin kanıtlardan yoksun olduğunu vurguladı. Bununla birlikte, siber güvenlik uzmanları, ağ cihazlarının sertleşmesini, daha güçlü şifre politikalarının uygulanmasını ve bu tür tehditlere karşı güçlü bir şifreleme sağlanmasını önermektedir.
“Volt Typhoon, bozulma için edatlık ve buna dayanan caydırıcı bir etki yaratmaya odaklanmıştır, Salt Typhoon istihbarat toplantısı için konumlandırmaya odaklanır” dedi Casey Ellis, Califisco, Califs merkezli siber boşlukta Kaliforniya merkezli lider Casey Ellis.
Casey, “Ulusal Muhafızlara müdahale ‘tek askeri’ operasyonu değildir. Devletler, sivil altyapının siber savunmasına yardımcı olmak için Ulusal Muhafızlarını düzenli olarak meşgul ediyorlar. Bir hedef olarak, her türlü yararlı zekanın zengin bir kaynağı olacaklar.
“İstihbarat eylemi bilgilendirir, bu nedenle Volt Typhoon duyurusu cesaret verici olsa da, temelde burada dev bir mol oyunu oynadığımızı hatırlamak önemlidir. Dayanıklılık ve esnekliğe yönelik çabalar her türlü yerli savunucular için anahtardır” dedi.