Bulut güvenliği, siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
Microsoft, müşteriler için Siber Tesisat Grubu Kaldırma API anahtarlarını ve kimlik bilgilerini görüyor
Mathew J. Schwartz (Euroinfosec) •
5 Mart 2025
Pekin’e bağlı üretken bir hack grubu, siber sorumluluk kampanyalarını ilerletmek için yaygın olarak kullanılan BT araçları ve hizmet sağlayıcılarını hedeflemesini artırmış gibi görünüyor.
Ayrıca bakınız: 2024 Tehdit Avı Raporu: Modern rakiplerin altına alınmasına ilişkin bilgiler
Microsoft’un Tehdit Grubu’nda, faaliyetleri, kenar cihazlarındaki sıfır gün güvenlik açıkları için istismarları hızlı bir şekilde operasyonel hale getirme yeteneğine sahip, iyi kaynaklı ve teknik olarak verimli bir grup olduklarını gösteren “İpek Typhoon olarak izlenen grup” ve teknik olarak verimli bir grup olduğunu söyledi.
“Typhoon”, Microsoft’un Çin’e atfettiği ulus devlet grupları için kod adıdır.
Microsoft, Çarşamba günü yapılan bir araştırma raporunda, 2024’ün sonlarından bu yana ipek tayfun tarafından uzaktan yönetim araçlarını ve bulut uygulama sağlayıcılarını ve yönetim firmalarını bilinen güvenlik açıklarını kullanarak izlediğini söyledi.
Nation-State Group, CVE-Pulse Connect VPN’de CVE-2025-0282 olarak izlenen bir güvenlik açığı da dahil olmak üzere, kamuya bakan kenar cihazlarındaki sıfır gün güvenlik açıklarının istismarına da bağlıdır (bakınız: bkz: bkz: Sıfır Gün Patch Uyarısı: Ivanti Saldırı Altında Secure Connect).
Araştırmacılar, hackleme grubunun, kuruluşların GitHub gibi kamuya duyulan depolara yanlışlıkla sızdığı kurumsal şifreleri kurtarmak da dahil olmak üzere, Edge cihazlarına erişmek için parola püskürtme kullandığını söyledi (bkz: bkz: Edge Cihazlar, kütle kaba kuvvet şifre saldırılarında artışla yüzleşir).
Çeşitli ayrıcalıklı erişim yönetimi, bulut uygulaması ve bulut yönetimi sağlayıcılarına girdikten sonra, grup genellikle bu işletmelerin müşterileri için API anahtarlarını ve kimlik bilgilerini çalmaya ve bunları müşterilerin ortamlarına erişmek için kullanmaya çalışır. Bilgisayar korsanları daha sonra ağa daha kolay erişim için web mermilerini düşürüyor, yeni yönetici hesapları oluşturmak, izlerini gizlemek için günlükleri silmek, şirket içi bulut ortamlarına kadar pivot ve verileri çalmak gibi görünüyordu.
Microsoft, “Faiz verileri Çin merkezli çıkarlar, ABD hükümet politikası ve yönetimi ile kolluk soruşturmalarıyla ilgili yasal süreç ve belgelerle örtüşüyor.” Dedi.
Bir zamanlar Microsoft tarafından Hafnium olarak izlenen İpek Typhoon, Ocak ortasında ortaya çıkan ulusal güvenlik tehditleri için yabancı yatırımları gözden geçirmekten sorumlu bir ABD Hazine Departmanı ofisinin ihlali de dahil olmak üzere önceki birçok hack saldırısına bağlandı. 2021’deki ABD hükümeti, Microsoft Exchange Server yazılımındaki dört sıfır günlük güvenlik açıklarını hedeflemesi konusunda aynı hackleme grubunu “siber alanda sorumsuz ve istikrarsızlaştırıcı davranış” ile suçladı.
Microsoft, son aylarda, ipek tayfun tarafından hedeflendiğine veya hacklendiğine dair işaretler sergilediklerini doğrudan uyarıldığını söyledi. Şirket, tüm kuruluşların gruba bağlı müdahale belirtilerini avlamak için kullanabileceği taktikler, teknikler ve prosedürler yayınladı. TTPS, grubun gizli ağları içeren çalıntı verileri dışarı atmak için kullandığı IP adreslerinin bir listesini içerir.
Gizli ağlar, saldırılarını kolaylaştırmak için ulus devlet saldırganları ve bazen birden fazla grup tarafından kullanılan kiralanır veya tehlikeye atılmış ağlardır. Örneğin, ipek tayfun tarafından kullanılan bir gizli ağ “uzlaşmış siberoam aletleri, zyxel yönlendiriciler ve QNAP cihazlarından oluşuyor” dedi Microsoft.
Kapsamlı etkinlik
İpek Typhoon, Çin hükümetine bağlı tek ulus-devlet hack ekibinden uzaktır.
Araştırmacıların izlediği diğer Çin ulus-devlet grupları arasında, ABD’deki büyük telekomünikasyon ağlarının ve onlarca diğer ülkenin kitlesel hacklenmesine bağlı olan tuz tayfası yer alıyor. Yetkililer, bu hack’lerin Çin merkezli bir özel hükümet yüklenicisi içerdiğini söylediler (bkz: Patched Cisco Cihazları hala tuz tayfası tarafından patlatılıyor).
Diğer büyük gruplardan bazıları, Mirai kötü amaçlı yazılımlara dayanan bir botnet inşa eden ve ABD’de ve dijital kameralar gibi 200.000’den fazla tüketici cihazından oluşan bir kampanyaya bağlı olan, özel mülkiyete ait yönlendiricileri sömüren saldırılara bağlı Volt Typhoon’u dünyada bulunan 200.000’den fazla tüketici cihazından oluşuyor.
Araştırmacılar ayrıca, diğer birçok grup arasında APT31, APT40 ve APT41 olarak gruplara – ya da gerçekten tehdit faaliyet kümelerine bağlı olan Çin ulus -devlet faaliyetlerini izliyorlar.
Bu grupların veya aktivite kümelerinin örtüşme derecesi açık bir soru olmaya devam etmektedir.