Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Saldırıya Uğradığı Bildirildi: Charter Communications, Consolidated Communications, Windstream
Mathew J. Schwartz (euroinfosec) •
6 Ocak 2025
ABD’li yetkililer, üst düzey hükümet ve siyasi yetkilileri hedef alan “geniş ve önemli bir siber casusluk kampanyası” olarak adlandırdıkları saldırının kurbanı olan yerli telekomünikasyon şirketlerinden daha fazlasının adını verdi.
Ayrıca bakınız: Canlı Web Semineri | Kuzey Kore’nin Gizli Bilişim Ordusu ve Bununla Nasıl Mücadele Edilir?
Yetkililer, “Tuz Tayfunu” olarak takip edilen ve Pekin’in dış istihbarat servisine bağlı olan saldırının arkasındaki grubun dokuz telekomünikasyon tesisine yapılan izinsiz girişlerle bağlantılı olduğunu söyledi. Saldırganların müttefik ülkelerdeki telekomünikasyon şirketlerine sızdığı bildirildi.
The Wall Street Journal’ın ilk olarak Cumartesi günü bildirdiğine göre, yeni açıklanan ABD’li kurban örgütleri arasında Charter Communications, Consolidated Communications ve Windstream yer alıyor.
Daha önce açıklanan Amerikalı kurbanlar arasında AT&T, Lumen Technologies, T-Mobile ve Verizon Communications yer alıyor.
Bilgisayar korsanlığı kampanyasının ne zaman başladığı hala açık bir soru. Wall Street Journal’ın son raporu, izinsiz girişlerin 2023 ortalarında başlamış olabileceğini söyledi ve araştırmacıların artık bilgisayar korsanlarının bir kurbanın altyapısında 18 ay, diğerinin ise altı ay boyunca bulunduğunu doğruladığını söyledi.
FBI ile Siber Güvenlik ve Altyapı Güvenlik Ajansı ilk olarak 25 Ekim 2024’te “Çin Halk Cumhuriyeti’ne bağlı aktörlerin ticari telekomünikasyon altyapısına yetkisiz erişimini” araştırdıklarını kamuoyuna açıkladılar ve bu durumu bilgilendirdiklerini ve Mağdurlara ve potansiyel olarak etkilenen diğer şirketlere yardım sağlıyoruz.
Saldırganların, Cisco ve Fortinet tarafından geliştirilen ağ donanımları da dahil olmak üzere kurbanların uç cihazlarındaki yamalanmamış güvenlik açıklarından yararlanarak sızdıkları bazı telekomünikasyon sistemlerine eriştikleri bildirildi.
Yetkililer, bilgisayar korsanlarının bunları kalıcı olarak çıkarma çabalarını engellediğini söyledi. Bilgisayar korsanlarının sızdıkları bazı ağlardan kaldırılıp kaldırılmadığını güvenilir bir şekilde doğrulamak için herhangi bir zaman çizelgesi sunmadılar.
Beyaz Saray’ın siber ve gelişen teknolojilerden sorumlu ulusal güvenlik danışman yardımcısı Anne Neuberger, 27 Aralık’ta düzenlediği basın toplantısında gazetecilere verdiği demeçte, “Kapsam ve ölçek konusunda muhtemelen asla bilemeyeceğimiz ayrıntılar var.” “Çinliler teknikleri konusunda çok dikkatliydiler. Günlükleri sildiler ve birçok durumda şirketler yeterli sayıda günlük tutmuyordu.”
Beyaz Saray, müfettişlerin gelişmiş kalıcı tehdit grubunun kullandığı taktikleri, teknikleri ve prosedürleri belirlemesi ve bu saldırı işaretlerini tespit etmek için telekomünikasyon şirketlerine bir “avlanma rehberi” dağıtması sayesinde yakın zamanda saldırıların dokuzuncu kurbanını tespit ettiğini söyledi.
Büyük telekomünikasyon şirketleri AT&T ve Verizon saldırıya uğradıklarını doğruladılar ancak yakın zamanda saldırganları ağlarından tamamen kaldırdıklarına inandıklarını bildirdiler.
New York merkezli Verizon, geçen hafta Information Security Media Group’a, kısmen Google’ın Mandiant olay müdahale bölümüyle birlikte çalışması sayesinde “bu ulus devlet tehdit aktörünün yol açtığı siber olayı kontrol altına aldığını” söyledi. Telekom, “bir süredir” başka bir sızıntı belirtisi görmediğini söyledi.
Benzer şekilde Dallas merkezli AT&T, Information Security Media Group’a “şu anda ağlarımızda ulus devlet aktörlerinin herhangi bir faaliyetini tespit etmedik” dedi.
T-Mobile geçen Kasım ayında, saldırganların altyapısını ihlal ederken hassas müşteri bilgilerini çalmayı başaramadıklarını söyledi.
Lumen, The Wall Street Journal’a, bilgisayar korsanlarının ağdan çıkarıldığına inandığını ve hiçbir müşteri verisi elde etmediklerini söyledi.
Pekin düzenli olarak diğer ülkelere yönelik herhangi bir hack saldırısına katıldığını reddederken, yetkililer Çin’in “her türden siber saldırılara ve siber hırsızlığa kesinlikle karşı çıktığını ve bunlarla mücadele ettiğini” iddia ediyor.
Yetkililer, saldırganların Washington DC metropol bölgesi de dahil olmak üzere milyonlarca aboneye ait meta verileri ele geçirdiğini söyledi. Ayrıca o zamanki Cumhuriyetçi başkan adayı, şimdi Başkan seçilen Donald Trump ile yapılan ve Demokrat rakibi Başkan Yardımcısı Kamala Harris’in kampanyasını hedef alan çağrıları da dinlediler. Bazı durumlarda, saldırganların mahkeme kararıyla yapılan telefon dinlemelerine uymak için telekomünikasyon şirketlerinin kurduğu “yasal dinleme” arka kapılarına erişim elde ettiği bildirildi. Bilgisayar korsanları ayrıca FBI gözetimi altındaki şüpheli Çinli ajanları tespit etmeye çalışıyor olabilir.
AT&T, saldırganların odak noktasının “yabancı istihbaratla ilgilenen az sayıda kişi” olduğunu belirtirken Verizon, bilgisayar korsanlarının “hükümetteki az sayıda yüksek profilli müşteriyi” hedef aldığını belirtti.
Beyaz Saray, telekom sektörüne siber güvenlik duruşunu yükseltmesi ve kolektif olarak daha “savunabilir bir altyapı” yaratması çağrısında bulundu. Neuberger, bazı telekomünikasyon şirketlerini, sağlam izleme ve günlük kaydı kullanmak ve cihazlarını mümkün olduğunca güvenli tutmak için dikkatli bir şekilde yönetmek de dahil olmak üzere “temelleri yapmamakla” suçladı.
Saldırılara dayanarak CISA, Aralık ayında halka, cihazları ve çevrimiçi hesapları arasında “yalnızca uçtan uca şifreli iletişim kullanmalarını” tavsiye eden bir kılavuz yayınladı. Ajans ayrıca, kimlik avına karşı dayanıklı donanım güvenlik anahtarları aracılığıyla çok faktörlü kimlik doğrulama kullanılarak hesapların güvenliğinin sağlanmasını da önerdi. Daha az değerli hesaplar için, bunların SMS mesajlarına değil, kimlik doğrulama kodlarına dayalı olarak en azından MFA ile güvence altına alınması önerildi (bkz: ABD CISA, Çin Telekom Saldırısının Ortasında Şifreli Uygulamaları Onayladı).