Çin devlet destekli ileri süren tehdit (APT) grupları, siber casusluk kampanyalarını artırdı ve 2021’den beri sofistike yönlendirici sömürü teknikleri aracılığıyla küresel telekomünikasyon, hükümet ve askeri ağları sistematik olarak hedef aldı.
En az 2021’den beri, Çin devlet destekli siber aktörler, dünya çapında kritik sektörlerde kilit ağ cihazlarına sızmak ve kontrol etmek için kapsamlı, gizli operasyonlar yürütüyor.
Salt Typhoon, Operatör Panda, Redmike, UNC5807 ve Ghostemperor gibi çeşitli takma adlar altında faaliyet gösteren bu kötü niyetli gruplar, ABD, Avustralya, Kanada, Yeni Zelanda ve Birleşik Krallık da dahil olmak üzere birçok ülkede temel ağ altyapısını başarıyla tehlikeye atmıştır.
Bu operasyonların kapsamı, telekomünikasyon sağlayıcılarını, internet servis sağlayıcılarını (ISS), ulaşım ağları, konaklama tesisleri ve askeri tesisleri kapsayan geleneksel hükümet hedeflerinin ötesine uzanmaktadır.
Bu geniş hedefleme stratejisi, saldırganların kapsamlı küresel gözetim ve istihbarat toplama yeteneklerini kolaylaştıran verileri hasat etmesini sağlar.
Kritik güvenlik açıklarının sömürülmesi
Çin APT grupları, hedef ağlarda ilk dayanakları oluşturmak için halka açık güvenlik açıklarından yararlanmada dikkate değer bir yeterlilik göstermiştir.
Cyble tarafından yapılan bir rapora göre, bu kampanyalarda sıfır günlük istismar teyit edilmemiş olsa da, aktörler yönlendiriciler, güvenlik duvarları ve büyük küresel satıcılardan gelen anahtarlardaki zayıflıklardan yararlanmak için hızla uyum sağlar.
| CVE kimliği | Ürün/hizmet | Güvenlik Açığı Türü | Darbe |
| CVE-2024-21887 | Ivanti Connect Secure | Web bileşeni komut enjeksiyonu | Uzak Kod Yürütme |
| CVE-2024-3400 | Palo Alto Networks Pan-OS GlobalProtect | Uzak Kod Yürütme | Tam sistem uzlaşması |
| CVE-2023-20273 | İOS | Web Yönetimi Kimlik Doğrulama Bypass | Ayrıcalık artışı |
| CVE-2023-20198 | İOS | Komut enjeksiyonu | Uzak Kod Yürütme |
| CVE-2018-0171 | Cisco IOS/IOS XE | Akıllı Kurulum Uzak Kod Yürütme | Tam cihaz devralma |
Bu güvenlik açıkları, saldırganların uzaktan kodu yürütmesine, ayrıcalıkları artırmasına ve komutan yönetim arabirimlerini yapmasına izin verir.
Tehdit aktörleri, hedeflenen ağ cihazları üzerinde tam kontrol elde etmek için genellikle birden fazla istismara zincirler.
İlk erişim elde edildikten sonra, Çin devlet destekli aktörler, tehlikeye atılan ağlarda uzun vadeli varlığı sürdürmek için sofistike teknikler kullanırlar.
Saldırgan kontrollü IP adreslerinden gelen trafiğe izin vermek ve SSH, SFTP, RDP, FTP, HTTP ve HTTPS dahil olmak üzere hem standart hem de standart olmayan bağlantı noktalarında hizmetleri ortaya çıkarmak için erişim kontrol listelerini (ACL’ler) değiştirerek kalıcı erişimi güvence altına almak için yönlendirici yapılandırmalarını değiştirirler.
Saldırganlar, Cisco’nun TCL komut dosyalarıyla gömülü komut dosyaları, SNMP numaralandırması ve gömülü Linux kapsayıcıları gibi gelişmiş yönlendirici özelliklerinden, tespit edilmemiş kalırken yerel komutları yürütmek için konuk kabuğu ortamları aracılığıyla kullanır.
GRE, çok noktalı GRE (MGRE) veya IPSEC protokolleri kullanarak şifreli tüneller oluştururlar ve komut ve kontrol trafiğini meşru ağ işlemleriyle etkili bir şekilde harmanlarlar.
Bu işlemlerin özellikle ilgili bir yönü, kimlik doğrulama trafiğini engellemek için Cisco yönlendiricilerinin yerel paket yakalama (PCAP) yeteneklerinin kullanılmasını içerir.
Saldırganlar, genellikle zayıf şifreleme veya düz metin formatında kimlik bilgilerini ileten TACACS+ ve RADIUS protokollerini hedefler.
Cisco’nun Gömülü Paket Yakalama özelliğini kullanarak, tehdit aktörleri Sifon kimlik bilgilerine ve saldırgan kontrolündeki altyapıya kimlik doğrulama trafiğini yönlendirmeye ve kimlik doğrulama trafiğini yönlendirmeye “MyCap.pcap” veya “Tac.pcap” gibi zararsız isimlerle PCAP dosyaları oluşturur.
Bu teknik, operasyonel gizliliği korurken oturum açma kimlik bilgilerini sistematik olarak hasat etmelerini sağlar.
Dünya çapında ağ savunucuları, gözlemlenen Çin devlet destekli aktör davranışları ile tutarlı olarak uzlaşma belirtileri için proaktif olarak avlanmaya, güncellenmiş güvenlik azaltmalarını sürdürmeye ve yerel siber güvenlik düzenlemelerine uygun olmasını sağlamaya istenmektedir.
Bu tehditlerin kalıcı ve sofistike doğası, kritik altyapıyı devam eden sömürü girişimlerinden korumak için sürekli uyanıklık ve koordine edilmiş uluslararası yanıt çabalarını gerektirir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.