ABD Ulusal Güvenlik Ajansı (NSA), İngiltere’nin Ulusal Siber Güvenlik Merkezi (NCSC) ve bir düzineden fazla ülkeden ortaklar, tuz tayfun küresel hackleme kampanyalarını üç Çin merkezli teknoloji firmasına bağladı.
Ortak tavsiyelere göre [NSA, NCSC]Sichuan Juxinhe Network Technology Co. Ltd., Pekin Huanyu Tianqiong Bilgi Teknolojisi Co. ve Sichuan Zhixin Ruijie Network Technology Co. Ltd., Çin Devlet Güvenliği Bakanlığı ve Halk Kurtuluş Ordusu’na siber işkence ordusu sağladı ve siber caydırıcı operasyonların tuzlu coşkulu operasyonları izledi.
En az 2021’den beri, Çin tehdit aktörleri dünya çapında hükümet, telekomünikasyon, ulaşım, konaklama ve askeri ağları ihlal ettiler ve dünya çapında hedeflerin iletişim ve hareketlerini izlemek için kullanılabilecek verileri çaldı.
Özellikle, son birkaç yıl içinde Salt Typhoon, dünya çapında bireylerin özel iletişimini gözetlemek için telekomünikasyon firmalarına uyumlu saldırılar gerçekleştirdi.
BleepingComputer, bu iddialar hakkında Çin Büyükelçiliği ile temasa geçti ve bir yanıt alırsak hikayeyi güncelleyecek.
Ağ Ekipmanlarını Hedefleme
13 ülkedeki siber ve istihbarat teşkilatları tarafından ortak bir danışma, tehdit aktörlerinin sıfır günlere güvenmek yerine ağ kenar cihazlarında yaygın olarak bilinen ve sabit kusurları “önemli ölçüde başardıkları” konusunda uyarıyor.
Bu güvenlik açıkları şunları içerir:
- CVE-2024-21887 (Ivanti Connect Güvenli Komut Enjeksiyonu),
- CVE-2024-3400 (Polo Alto Pan-OS GlobalProtect RCE),
- CVE-2023-20273 Ve CVE-2023-20198 (Cisco IOS XE Kimlik Doğrulama Bypass ve ayrıcalık artışı)
- CVE-2018-0171 (Cisco Smart Install RCE).
Bu kusurları kullanarak, tehdit aktörleri yönlendirme ve ağ cihazlarına erişim sağlar, erişim kontrol listelerini değiştirmelerine, standart olmayan bağlantı noktalarında SSH’yi etkinleştirmelerine, GRE/IPSEC tünelleri oluşturmalarına ve kalıcılığı korumak için Cisco konuk kabuğu kapsayıcılarından yararlanmalarına izin verir.
Ortak raporu, “APT aktörleri, belirli bir cihazın kimin sahibi olduğuna bakılmaksızın kenar cihazlarını hedefleyebilir.”
“Aktörlerin temel ilgi alanları ile uyumlu olmayan kuruluşların sahip olduğu cihazlar, saldırı yollarında kullanım için fırsatlar sunmaktadır. Aktörler, diğer ağlara dönük olarak uzanmak için uzlaşmış cihazlardan veya özel bağlantılardan (örneğin, sağlayıcıdan sağlayıcı veya sağlayıcıya sağlayıcıya veya sağlayıcıya sağlayıcı bağlantılardan yararlanır).”
Ayrıca, trafiği izlemek ve verileri çalmak için kimlik doğrulama trafiğinin paket çekimlerini topladılar, TACACS+ sunucularını yeniden yönlendirdiler ve özel Golang tabanlı SFTP araçlarını (“CMD1,” “CMD3”, “New2” ve “SFT”) dağıttılar.
Bu güvenlik açıklarının birçoğunun bir süredir düzeltmeleri olduğundan, hem NCSC hem de NSA, kuruluşların önce yama cihazlarına öncelik vermesi, ardından cihaz yapılandırmalarını sertleştirme, yetkisiz değişiklikler için izleme ve kullanılmayan hizmetleri kapatma çağrısı.
Yöneticilerin yönetim hizmetlerini özel ağlarla sınırlandırması, SSHV2 ve SNMPV3 gibi güvenli protokolleri uygulaması ve ihtiyaç duyulmadığı yerlerde Cisco Smart Install ve Guest Shell’i devre dışı bırakması önerilir.
CISA daha önce yöneticilerin hem Çin hem de Rus tehdit aktörlerinin saldırılarında istismar edildiğini gözlemledikten sonra Legacy Cisco Smart Instow (SMI) özelliğini devre dışı bırakması gerektiği konusunda uyardı.
Kampanyalar gizli sıfır günlerden ziyade bilinen zayıflıkları kullandığından, yöneticilerin de aktif olarak uzlaşma belirtileri aramaları tavsiye edilir.
Tuz Typhoon’un geçmiş aktivitesi
Yeni tavsiyeler, telekomünikasyon sağlayıcılarına ve devlet kuruluşlarına karşı yıllarca tuz tayfun saldırılarını takip ediyor.
Grup daha önce AT&T, Verizon ve Lumen dahil olmak üzere büyük ABD taşıyıcılarını, kısa mesajlar, sesli mesajlar ve hatta ABD kolluk kuvvetleri gibi hassas iletişimlere erişim kazandı.
Bu ihlaller, FCC’nin telekomların ağlarını Kolluk Kuvvetleri için İletişim Yardımı Yasası (CALEA) kapsamında güvence altına almaları ve güncel bir siber güvenlik risk yönetim planına sahip olduklarını doğrulayan yıllık sertifikalar sunmalarını sağladı.
Salt Typhoon ayrıca, daha fazla ABD ve Kanada telekomuna sızmak için, kalıcı erişim için GRE tünelleri kurdukları ve konfigürasyon verilerini çaldılar.
Tehdit aktörleri, telekom ağlarından gelen trafiği izlemek ve yakalamak için JumbledPath olarak bilinen özel bir kötü amaçlı yazılım kullandı.
Telekom ihlallerine ek olarak, tuz tayfası, 2024 yılında bir ABD Ordusu Ulusal Muhafız Ağı’nın dokuz aylık bir ihlali ile bağlantılıydı ve bu süre zarfında diğer hükümet ağlarından ödün vermek için kullanılabilecek yapılandırma dosyalarını ve yönetici kimlik bilgilerini çaldılar.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.