Salt Typhoon olarak bilinen Çin devlet destekli hack grubu, 2024’te dokuz ay boyunca bir ABD Ordusu Ulusal Muhafız Ağında ihlal etti ve tespit edilmedi, ağ yapılandırma dosyalarını ve diğer hükümet ağlarından ödün vermek için kullanılabilecek yönetici kimlik bilgilerini çaldı.
Salt Typhoon, Çin Devlet Güvenliği Bakanlığı (MSS) İstihbarat Ajansı’na bağlı olduğuna inanılan Çin devlet destekli bir hack grubudur. Hacking grubu, AT&T, Verizon, Lumen, Charter, Windstream ve Viasat dahil olmak üzere dünya çapında telekomünikasyon ve geniş bant sağlayıcılara yönelik saldırı dalgası nedeniyle son iki yılda kötü şöhret kazandı.
Bu saldırıların bazılarının amacı, ABD hükümeti tarafından kullanılan hassas çağrı günlüklerine, özel iletişimlere ve kolluk kuvvetleri sistemlerine erişmekti.
Ulusal Muhafız Ağı dokuz ay boyunca ihlal edildi
İlk olarak NBC tarafından bildirilen 11 Haziran İç Güvenlik Bakanlığı notu, Salt Typhoon’un Mart ve Aralık 2024 arasında dokuz ay boyunca bir ABD eyaletinin Ordu Ulusal Muhafız Ağı’nı ihlal ettiğini söyledi.
Bu süre zarfında, bilgisayar korsanları, diğer eyaletlerdeki Ulusal Muhafızları ve hükümet ağlarını ihlal etmek için kullanılabilecek hizmet üyelerinin ağ diyagramlarını, yapılandırma dosyalarını, yönetici kimlik bilgilerini ve kişisel bilgilerini çaldı.
“Mart ve Aralık 2024 yılları arasında Salt Typhoon, bir ABD eyaletinin Ordu Ulusal Muhafızlarının ağını kapsamlı bir şekilde tehlikeye attı ve diğer şeylerin yanı sıra, DOD raporuna göre, ağ yapılandırmasını ve veri trafiğini diğer ABD eyaletlerinde ve en az dört ABD bölgesindeki meslektaşlarının ağlarıyla topladı.”
“Bu veriler aynı zamanda bu ağların yönetici kimlik bilgilerini ve ağ diyagramlarını da içeriyordu-bu birimlerin takip eden tuz typhoon hack’lerini kolaylaştırmak için kullanılabilecek.”
Not ayrıca, Salt Typhoon’un daha önce kritik altyapı ve ABD devlet kurumlarından ödün vermek için çalıntı ağ topolojilerini ve yapılandırma dosyalarını kullandığını belirtiyor.
“Salt Typhoon daha önce başka yerlerde siber müdahaleleri etkinleştirmek için söndürülmüş ağ yapılandırma dosyalarını kullanmıştır.”
“Ocak ve Mart 2024 arasında, tuz tayfun en az iki ABD eyalet devlet kurumu da dahil olmak üzere diğer ABD hükümeti ve kritik altyapı kuruluşlarıyla ilişkili yapılandırma dosyalarını söndürdü. Bu dosyalardan en az biri daha sonra başka bir ABD hükümet ajansı ağındaki savunmasız bir cihazdan ödün verdiklerini bildirdi.”
Ağ yapılandırma dosyaları, yönlendiriciler, güvenlik duvarları ve VPN ağ geçitleri gibi ağ cihazlarında yapılandırılmış ayarları, güvenlik profillerini ve kimlik bilgilerini içerir. Bu bilgiler, genellikle internet üzerinden erişilemeyen diğer hassas ağlara giden yolları ve kimlik bilgilerini tanımlamak için kullanılabileceğinden bir saldırgan için değerlidir.
DHS, 2023 ve 2024 yılları arasında Tuz Typhoon’un yaklaşık 70 ABD hükümeti ve 12 sektörden kritik altyapı kuruluşlarıyla ilişkili 1.462 ağ yapılandırma dosyasını çaldığı konusunda uyarıyor.
Salt Typhoon’un Ulusal Muhafız Ağı’nı nasıl ihlal ettiği açıklanmamış olsa da, Salt Typhoon, Cisco yönlendiricileri gibi ağ cihazlarında eski güvenlik açıklarını hedeflediği biliniyor.
DHS notu, tuz tayfunun geçmişte kaldırdığı aşağıdaki güvenlik açıklarını paylaştı: ağları ihlal etmek için:
- CVE-2018-0171: Cisco IOS ve iOS XE Smart Install’da, özel hazırlanmış TCP paketleri aracılığıyla uzaktan kod yürütülmesine izin veren kritik bir kusur.
- CVE-2023-20198: Cisco IOS XE Web kullanıcı arayüzünü etkileyen bir sıfır gün, cihazlara yetkisiz uzaktan erişime izin verir.
- CVE-2023-20273: Bilgisayar korsanlarının komutları kök olarak yürütmesine izin veren iOS XE’yi hedefleyen bir ayrıcalık artış kusuru. Bu kusur, kalıcılığı korumak için CVE-2023-20198 ile zincirlenmiş olarak görülmüştür.
- CVE-2024-3400: Palo Alto Networks’ün PAN-OS GlobalProtect’teki bir komut enjeksiyon güvenlik açığı, bu da kimlik doğrulanmamış saldırganların cihazlarda komutlar yürütmesine izin verir.
DOH ayrıca, yukarıdaki güvenlik açıklarından yararlanırken Salt Typhoon tarafından kullanılan aşağıdaki IP adreslerini paylaştı:
43.254.132[.]118
146.70.24[.]144
176.111.218[.]190
113.161.16[.]130
23.146.242[.]131
58.247.195[.]208
Önceki saldırılarda, bilgisayar korsanları altyapıya erişim elde etmek için telekom ortamlarında açılmamış Cisco yönlendiricilerini kullandı. Saldırganlar bu erişimi ABD siyasi kampanyaları ve milletvekillerinin iletişimine casusluk kullandılar.
Bu saldırıların bir parçası olarak, tehdit aktörleri telekom ağlarını desteklemek için Jumblepath ve Ghostspider adlı özel kötü amaçlı yazılımlar kullandı.
DHS notu, Ulusal Muhafız ve Devlet Siber Güvenlik ekiplerini bu kusurların yamalanmasını ve gereksiz hizmetleri kapatmaya, SMB trafiğini segmentlere ayırmaya, KOBİ imzalamayı ve erişim kontrollerini uygulamaya çağırıyor.
Bir Ulusal Muhafız Bürosu sözcüsü, NBC’ye ihlali doğruladı, ancak federal veya devlet görevlerini bozmadığını belirterek özellikleri paylaşmayı reddetti.
Çin’in Washington’daki büyükelçiliği saldırıyı reddetmedi, ancak ABD’nin tuz tayfunun Çin hükümetiyle bağlantılı olduğunu “kesin ve güvenilir kanıtlar” sağlamadığını belirtti.
Bulut saldırıları daha sofistike büyüyor olsa da, saldırganlar hala şaşırtıcı derecede basit tekniklerle başarılı oluyorlar.
Wiz’in binlerce kuruluşta tespitlerinden yararlanan bu rapor, bulut-yüzlü tehdit aktörleri tarafından kullanılan 8 temel tekniği ortaya koymaktadır.