Kritik altyapı güvenliği, ağ güvenlik duvarları, ağ erişim kontrolü, güvenlik işlemleri
ABD ve müttefikler, ağ ekipmanlarına kalıcı ve uzun süreli erişim konusunda uyarıyor
David Perera (@Daveperera) •
27 Ağustos 2025
Dünyanın dört bir yanındaki telekom ağlarına girmekten sorumlu Çinli bilgisayar korsanları, esas olarak Cisco yönlendirme ekipmanlarında zaten belgelenmiş güvenlik açıklarından yararlanıyor, ulusal siber güvenlik ajanslarının birçoğunu uyarıyor.
Ayrıca bakınız: SANS Raporu, Sıfır Güven: Verilerinizi ve ağlarınızı güvence altına almak için bilmeniz gerekenler
Çin ulus-devlet korsanları, Salt Typhoon olarak izlenen ve Aralık 2024’te kamuoyu bilgisi haline gelen bir kampanyada dokuz ABD telekomuna nüfuz etti (bakınız: Fedler Salt Typhoon Hack’teki Dokuzuncu Telekom Kurbanını Tanımlayın).
Çarşamba günü, beş göz istihbarat ittifakını oluşturan İngilizce konuşan ulusların yanı sıra Avrupa siber ajanslarının karışıklığı ve Japonya, bilgisayar korsanlarının telekomları ve hedefleri izlemek için konaklama ve ulaşım sektörleri gibi diğer sektörlerin dünyadaki iletişim ve hareketi izlemek için hedef olduğunu söylüyor.
Bir FBI yetkilisi Washington Post’a Salt Typhoon bilgisayar korsanlarının en az 200 Amerikan organizasyonu ve 80 ülkeyi vurduğunu söyledi. Cisco anahtarlarına ek olarak, bilgisayar korsanları da Ivanti ağ ağ geçitlerini ve Palo Alto Networks cihazlarının altında yatan işletim sistemini de hedefledi.
Bilgisayar korsanları genellikle Devlet Güvenliği Bakanlığı veya Halk Kurtuluş Ordusu için çalışan özel sektör müteahhitleridir. Bu tür bazı şirketler devlet yetkilileri tarafından tanımlanmış veya bilgileri internete sızmıştır. Danışmanlık, Sichuan Juxinhe Network Technology, Huanyu Tianqiong Bilgi Teknolojisi ve Schuan Zhixin Ruijie Network teknolojisini, üç özel sektör kiralama firmaları olarak hackleme olarak işaret eder (bkz: bkz: ABD Salt Typhoon Telecom Hacks’in arkasındaki hack firmasını tanımlıyor).
Çinli hacker’ın sıfır günlerine erişimi, Pekin zorunlu bir açıklama yasası oluştururken ve hackler yeteneklerini geliştirmek için bir boru hattı oluştururken önemli ölçüde büyüdü. Ancak Sino bilgisayar korsanlarının telekom ağlarına girmek için sıfır günlere ihtiyaç duymadığını söylüyor.
Aksine, 2018’e kadar uzanan ve bilgisayar korsanları için tekrarlanan bir vektör olan CVE-2018-0171 de dahil olmak üzere, CVE-2018-0171 dahil CVE-2018-0171 de dahil olmak üzere halka açık olan güvenlik açıklarını kullanıyorlar. ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı da dahil olmak üzere siber güvenlik uzmanları, Cisco müşterilerine yeni Cisco ekipmanlarının dokunulmayan kurulumunu sağlayan özelliği devre dışı bırakmalarını tekrar tekrar tavsiye ettiler.
Salt tayfun hackerlarının kullandığı teknikler arasında, listelere kendi IP adreslerini eklemek için erişim kontrolünü değiştirmektir. Çinli bilgisayar korsanlarının bir anlatım işareti access-list-20 ACL’de. Standart bağlantı noktası etkinliğine odaklanan izleme araçlarından algılamadan kaçınmak amacıyla güvenli kabuk veya HTTP gibi iyi bilinen hizmetleri yüksek sayı bağlantı noktalarına kanalize eden çeşitli bağlantı noktaları açarlar.
RADIUS ve TACACS+gibi kimlik doğrulama protokollerini kullanarak trafiği yakalamak için gömülü paket yakalama araçları kullanırlar. Basit Ağ Yönetimi Protokolünün eski bir sürümünü kullanan herhangi bir işletme, Çinli bilgisayar korsanlarının diğer cihazların yapılandırmasını değiştirmek için kullandığını bulabilir. Tabii ki, bilgisayar korsanları da yüksek ayrıcalıklara sahip yeni kullanıcı hesapları oluşturuyor.
Amerikan telekomları, Çinli bilgisayar korsanlarını ağlarından çıkardıklarını iddia ettiler, bir açıklama biraz şüphecilikle bir araya geldi. Danışmanlığın belirttiği gibi, hackleme faaliyetinin yerel bir IP adresinden kaynaklandığı görülebilir. Tuz tayfun korsanları da günlüğü devre dışı bırakmak veya göstergeleri temizlemek için acı çekti.
FBI, Washington Post’a Çinli bilgisayar korsanlarının kritik altyapıya girme kampanyasını bırakmadığını söyledi. Bir yetkili, “Altı ay önce güvenli olması, şimdi olduğu anlamına gelmiyor.” Dedi.