Yeni keşfedilen ve “Tuz Tayfunu” adı verilen gelişmiş kalıcı bir tehdidin (APT), ABD’deki İnternet servis sağlayıcılarının (İSS) ağlarına sızdığı, bilgi çalmayı ve potansiyel olarak yıkıcı saldırılar için bir fırlatma rampası oluşturmayı hedeflediği bildirildi.
“Konuyla ilgili bilgi sahibi olan kişilere” atıfta bulunularak, Wall Street Journal iflas etti 25 Eylül’de Çin destekli devlet bilgisayar korsanlarının kampanya sırasında “bir avuç” kablo ve geniş bant servis sağlayıcısını başarıyla hedef aldığı haberi geldi.
Araştırmacılar, diğer ayrıntıların yetersiz olduğunu ancak Salt Typhoon’un çabalarının Çin’in jeopolitik gerçekler söz konusu olduğunda önceliklerini ortaya koyduğunu belirtiyor.
Bir tutam casusluk, bir tutam ön konumlandırma
Örneğin, hizmet sağlayıcı ağındaki bir pozisyon, federal hükümet, kolluk kuvvetleri, üreticiler, askeri müteahhitler ve Fortune 100 şirketleri için çalışırken yüksek değerli hedefleri nasıl daha fazla hedefleyeceğiniz konusunda değerli keşifler sunacaktır.
DomainTools’da araştırma ve veri başkan yardımcısı Sean McNee, “İSS’lere erişim elde etmek, İSS’lerin kullanıcılarının konumları ve hangi tür hizmetlere erişildiği hakkında bilgi edinmek için anket yapmayı kolaylaştıracaktır” diyor. “Kötü niyetli kişiler, İSS’nin kullanıcıları, nerede yaşadıkları ve faturalama bilgileri ve ne tür erişim veya kullanımlara sahip oldukları hakkında bilgi alabilirler. [who they call, and] “metin mesajları.”
Ancak endişe bununla sınırlı değil. Çin’in Tayvan’ı ve bölgedeki diğer varlıkları kontrol etme arzusu göz önüne alındığında, kampanyanın askeri bir bileşeninin de olması çok muhtemel.
“Çin destekli siber kampanyaların yakın geçmişine dayanarak ve uyarılar [the Cybersecurity and Infrastructure Security Agency] ve FBISemperis’in baş teknoloji uzmanı Sean Deuby, “Çin, yalnızca gözetleme hedeflerinden, kritik ABD sivil ve askeri altyapısını bozmak için saldırgan bir yetenek kurmaya doğru ilerledi” diye uyarıyor. “Bu, ABD müdahalesini caydırmak için ‘ışıkları yakmaktan’ Çin faaliyetlerine ABD’nin yanıtını aktif olarak geciktirmeye veya sakatlamaya kadar uzanabilir.”
Bu değerlendirmenin emsali var. Microsoft Volt Typhoon’u duyurdu Ocak ayında ve askeri üslerin, kritik altyapı varlıklarının ve telekom altyapısının içine yerleşmek için endişe verici çabaları — hepsi de Güney Çin Denizi’nde ABD ile kinetik bir çatışma durumunda kesintilere neden olma, iletişimi bozma ve panik yaratma amacıyla. O zamandan beri Çin iddiaları reddettiiken APT aktif olarak genişliyor örtüsünün ortaya çıkmasına rağmen çabalarını sürdürüyor.
Çin’in Reçetesi: Telekom, İSS’ler ve Kritik Altyapıyı Hedefliyor
Bu gelişme, Çin’in ABD’deki kritik altyapıyı çökertmek ve Pasifik Kıyısı müttefiklerini istikrarsızlaştırmak için desteklediği bir dizi çabanın sonuncusu. birçoğu Microsoft tarafından işaretlendi kasırga ile ilgili isimlerin kullanılması.
Örneğin, bir Keten Tayfunu olarak bilinen Çinli tehdit aktörü bir yıl önce ortaya çıktı, Windows işletim sistemine yerleştirilmiş meşru araçlar ve yardımcı programları kullanarak Tayvan’daki varlıklara karşı son derece gizli ve kalıcı bir casusluk operasyonu yürüttü. Geçtiğimiz hafta, APT’nin bir 200.000 cihazlık Nesnelerin İnterneti (IoT) botnet’i ABD’deki hükümet, askeri ve kritik üretim hedeflerinde yer edinmek için.
Microsoft’un Brass Typhoon (diğer adıyla APT41) adını verdiği bir APT de var. Dünya Baxiave Wicked Panda) adlı gruplar yakın zamanda Tayvan hükümet kurumlarına, Filipin ve Japonya ordularına ve Vietnam’daki enerji şirketlerine saldırarak siber casusluk amacıyla arka kapılar yerleştirdiler.
Üstüne üstlük, diğer Çin bağlantılı gruplar özellikle iletişim hizmeti sağlayıcılarını hedef alarak kendilerine bir isim yaptılar, örneğin Mustang PandaÖzellikle Tayvan ve ilgi duyulan diğer ülkelerde.
“Çin destekli tehdit aktörleri, hatırladığım kadarıyla telekom şirketlerine karşı saldırılar düzenliyor,” diyor Semperis’ten Deuby. “Tarihsel olarak, hedefleri taşıyıcıda ‘kalıcılık’ yaratmaktır. Bununla, bir hedefe sızacaklarını, bir dayanak noktası elde edeceklerini ve daha sonra kalıcılığı sürdürme ve gerektiğinde stratejik hedeflerden veri çıkarma amacıyla yatay olarak hareket edeceklerini kastediyorum.”
Gizlice dolaşmanın ve dinlemenin bir uzmanlık alanı olduğunu ekliyor: “Çin hükümetinin aktörleri, kötü şöhretli Operasyon Yumuşak Hücre kampanyası “Tehdit aktörü 2019’da çağrı verisi kayıtlarını çaldıktan sonra, keşfedilmeden beş yıldan fazla bir süre önce bazı telekomünikasyon şirketlerine sızmıştı.”
İletişim Hizmet Sağlayıcılarının Savunmalarının Tatlandırılması Gerekiyor
İletişim altyapısına yönelik devam eden hedeflenme, taşıyıcıları ve servis sağlayıcıları savunmalarını güçlendirmeleri konusunda uyarmalıdır.
NetRise’ın baş güvenlik stratejisti Terry Dunlap, çalışanların kimlik avı ve sosyal mühendisliği dışında, çekirdek ağ donanımını kullanarak yapılan donanım yazılımı ve tedarik zinciri saldırılarının her ikisinin de İSS’lere yönelik saldırı yolları olabileceğini belirtiyor.
“İSS’lerin kör noktaları cihazlarını çalıştıran donanım yazılımıdır. Çoğu donanım yazılımı, keşfedildiğinde kolayca istismar edilebilecek güvenli olmayan veya özensiz kodlar içerir,” diye belirtiyor. “Başka bir saldırı vektörü de tedarik zinciri olacaktır. Örneğin, bir yönlendirici veya anahtardaki Ethernet denetleyicisi bir Çin şirketi tarafından sağlanıyorsa, kötü amaçlı kod veya arka kapıların bu Ethernet denetleyicisine entegre edilebileceği ve bir saldırganın bu önemli ağ ekipmanına kolay erişim sağlayabileceği senaryolar vardır.”
2020 yılında Dünya Ekonomik Forumu ve küresel ortakları bir dizi İSS’ler için en iyi uygulamalar Deuby, tehdit istihbaratını akranlar arasında paylaşma, asgari güvenlik seviyelerini artırmak için donanım üreticileriyle daha yakın çalışma ve yönlendirme güvenliğini iyileştirme gibi ilkelerin yer aldığı (PDF) bir rapor hazırladığını söylüyor.
Yine de, “birçok kuruluşla, gerçek güvenlik duruşları ile almaları gereken iyi anlaşılmış güvenlik adımları hakkında konuşmuş biri olarak, hala birçok boşluk olduğundan eminim.”