Savunma Bakanlığı (DOD), tuz tayfası olarak bilinen ve Çin devlet destekli aktörler olarak tanımlanan gelişmiş bir Kalıcı Tehdit (APT) grubunun, siber boğulmalarda büyük bir artışla bir ABD Devleti Ordu Ulusal Muhafız Ağına başarıyla nüfuz ettiğini ortaya koydu.
Bu uzlaşma, Mart 2024’ten Aralık 2024’e kadar kapslandı ve hassas askeri ve kolluk kuvvetlerinin potansiyel olarak ortaya çıkmasını sağladı.
İzinsiz giriş, birbirine bağlı sistemlerde yanal hareket için sofistike tekniklerden yararlandı ve hibrid federal devlet altyapılarındaki güvenlik açıklarını vurguladı.
Yetkililer, veri keşiflerinin tam kapsamını ve saldırganlar tarafından kullanılan olası komuta ve kontrol (C2) kalıcılık mekanizmalarını değerlendirmek için devam eden adli analiz yürütmektedir.
Savunma Bakanlığı uzun süreli izinsiz girişi ortaya çıkarır
Pentagon’un bulgularını detaylandıran İç Güvenlik Bakanlığı’ndan (DHS) Haziran bir notuna göre, tuz typhoon kapsamlı bir uzlaşma gerçekleştirdi, ağ yanlış yapılandırmalarını ve muhtemelen yetkisiz erişimi sürdürmek için sıfır gün güvenlik açıklarından yararlandı.
İnsanların kar amacı gütmeyen mülkiyet tarafından Bilgi Özgürlüğü Yasası (FOIA) talebi ile elde edilen ve NBC News ile paylaşılan not, etkilenen durumu tanımlamadı, ancak bilgisayar korsanlarının iç topolojileri haritalama, hizmet üyelerinin kişisel olarak tanımlanabilir bilgilerini (PII) hasat etme yeteneğini vurguladı.
Bu keşif verileri, en az 14 eyalette kolluk füzyon merkezlerine entegre olanlar da dahil olmak üzere diğer devlet düzeyindeki kuruluşlara karşı sonraki mızrak avcılık kampanyalarını veya tedarik zinciri saldırılarını kolaylaştırabilir.
DoD yorum yapmayı reddetti, bir Ulusal Muhafız Bürosu sözcüsü ihlali kabul ederek görevleri bozmadığını, ancak araştırmaların rootkit kalıcılığını ve potansiyel arka kapı implantlarını değerlendirmeye devam ettiğini belirtti.
Modüler kötü amaçlı yazılım çerçeveleri ve kaçırma taktikleri ile ünlü olan tuz tayfun, kritik altyapı sektörlerinde zincirleme istismarları geçmişine sahiptir.
Önceki olaylarda, grup AT&T ve Verizon gibi büyük telekomünikasyon sağlayıcılarını tehlikeye attı ve Harris ve Trump Başkanlık Kampanyaları ve Senato Çoğunluk Lideri Chuck Schumer’ın ofisi de dahil olmak üzere yüksek profilli hedeflerde telekap düzeyinde gözetim sağladı.
Bu son ihlal, APT’nin korunmasız kenar cihazları veya eşleştirilmemiş yazılımlar gibi ilk dayanaklardan daha derin ağ segmentlerine dönme yeterliliğinin altını çizmekte, potansiyel olarak sınıflandırılmış depolara erişmek için kimlik bilgileri ve ayrıcalık artışını kullanarak altını çizmektedir.
Ulusal Muhafızların çift rollü mimarisi göz önüne alındığında, eyalet hükümetleri ve yerel ajanslarla arayüz, saldırı, Pekin’in federasyonlu sistemlerde istihbarat toplama yeteneklerini yükselterek basamaklı uzlaşmalar için vektörler sağlamış olabilir.
Ulusal güvenlik için daha geniş etkiler
Çinli yetkililer, Washington Büyükelçiliği sözcüsü aracılığıyla, tuz tayfunu devlet güvenliği bakanlığına (MSS) bağlayan kesin kanıtların eksikliğini iddia ederek doğrudan katılımı reddetti.
Siber saldırıları evrensel bir meydan okuma olarak çerçevelediler, montaj atıflarında inkarları yineliyorlardı.
Buna karşılık, ABD Hazine Bakanlığı, Ocak ayında Sichuan merkezli bir firmaya MSS operasyonlarını desteklediği iddia ederek, Salt Typhoon kampanyaları için özel istismarlar ve C2 altyapısı geliştirmedeki rolünü belirterek yaptırımlar uyguladı.
Eradikasyon çabaları zorlayıcıdır; Cisco’nun Talos Intelligence, grubun, gizlenmiş yükler ve kara geçirme (LOTL) teknikleri yoluyla üç yılı aşan konut sürelerini koruyan örneklerin, uç nokta tespiti ve yanıt (EDR) araçları ile tespiti karmaşıklaştırdığını bildirdi.
Rapora göre, AT&T ve Verizon gibi telekom devleri muhafaza iddia etti, ancak artık artefaktlar hareketsiz işaretler aracılığıyla yeniden giriş sağlayabildiğinden, tam sınır dışı edilme zor.
Bu olay, devlet düzeyindeki entegrasyonların sömürülebilir dikişler yarattığı hibrit savunma ağlarını hedefleyen ulus devlet siber operasyonları konusundaki endişeleri artırıyor.
Siber güvenlik uzmanları, gelişmiş sıfır tröst mimarileri, çok faktörlü kimlik doğrulama sertleştirme ve gerçek zamanlı tehdit avı olmadan, benzer uygun saldırıların çoğalabileceği ve jeopolitik gerilimlerde stratejik avantajlar sağlayabileceği konusunda uyarıyor.
Soruşturmalar ilerledikçe, ihlal, tuz tayfası gibi kalıcı düşmanların uzun vadeli zeka hakimiyeti için birbirine bağlı ekosistemleri kullandığı gelişen tehdit manzarasını kesin bir hatırlatma görevi görüyor.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.