ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), NSA, FBI ve geniş bir uluslararası ortak koalisyonunun yanı sıra, Çin Halk Cumhuriyeti (PRC) devlet destekli aktörler tarafından dünya çapında kritik ağları hedefleyen yaygın bir casusluk kampanyası detaylandıran kapsamlı bir siber güvenlik danışmanlığı yayınladı.
37 sayfalık rapor, “Çin devlet destekli aktörlerin dünya çapında küresel casusluk sistemini beslemek için uzlaşması”, bu gelişmiş kalıcı tehdit (APT) grupları tarafından kullanılan taktikleri, teknikleri ve prosedürleri (TTP’ler) özetlemek ve telekomikasyon, hükümet, taşıma ve askeri şişirme için uzun vadeli erişimi korumak için kullanan taktikleri (TTP’ler) özetlemektedir.
Key Takeaways
1. Guide uses MITRE ATT&CK/D3FEND to counter Chinese APTs exploiting CVEs.
2. Enforce management isolation, disable risky features, and require strong authentication.
3. Prioritize patching, enable detailed logging, and coordinate threat hunting.
Danışmanlığa göre, endüstri grupları tarafından “Salt Typhoon” ve “Ghostemperor” gibi isimler altında izlenen bu siber aktörler en az 2021’den beri faaliyet gösteriyor.
Operasyon, Çin istihbarat hizmetlerinin dünya çapında hedeflerinin iletişimini ve hareketlerini izlemesine izin veren verileri çalmayı amaçlıyor.
Danışma, faaliyeti, Çin’in askeri ve istihbarat kollarına hizmet verdiği iddia edilen Sichuan Juxinhe Network Technology Co. Ltd. de dahil olmak üzere birçok Çinli teknoloji şirketine açıkça ilişkilendiriyor.
Soruşturmanın önemli bir bulgusu, aktörlerin sıfır gün istismarlarına güvenmemesidir. Bunun yerine, herkese açık olarak bilinen ve sıklıkla açılmamış ortak güvenlik açıkları ve maruziyetlerinden (CVES) yararlanarak “önemli başarı” yaşıyorlar.
Raporda, ağ savunucularını Cisco, Palo Alto Networks ve Ivanti cihazlarını etkileyenler de dahil olmak üzere çeşitli güvenlik açıklarının yamalanmasına öncelik vermeye çağırıyor.
| CVE | Satıcı/ürün | Detaylar |
|---|---|---|
| CVE-2024-21887 | Ivanti Connect Secure ve Ivanti Politikası | Komut enjeksiyon güvenlik açığı, genellikle kimlik doğrulama bypass için CVE-2023-46805 ile zincirlenmiş. |
| CVE-2024-3400 | Palo Alto Networks Pan-OS GlobalProtect | Belirli GlobalProtect konfigürasyonlarına sahip güvenlik duvarlarında OS komut enjeksiyonuna yol açan keyfi dosya oluşturma yoluyla kimlik doğrulanmamış uzaktan kod yürütülmesine (RCE) izin verir. |
| CVE-2023-20273 | İOS | Web Yönetimi UI’sinde bir onay sonrası komut enjeksiyonu ve ayrıcalık artış kusuru, kök seviyesi kod yürütülmesini sağlamak için sıklıkla CVE-2023-20198 ile zincirlenmiş. |
| CVE-2023-20198 | İOS | Web kullanıcı arayüzünde yetkisiz idari hesapların oluşturulmasını sağlayan bir kimlik doğrulama baypas güvenlik açığı. |
| CVE-2018-0171 | Cisco IOS ve iOS XE | Akıllı Kurulum özelliği ile ilgili bir uzaktan kod yürütme güvenlik açığı. |
Tehdit aktörlerinin metodolojisi “topraktan yaşamak” yaklaşımını içerir. Savunmasız, internete dönük bir yönlendirici veya güvenlik duvarından yararlanarak başlangıç erişimini sağladıktan sonra, ağın derinliklerini daha derinlere gömmek için cihazın kendi yerel araçlarını ve yeteneklerini kullanırlar.
Teknikler, erişim kontrol listelerinin değiştirilmesi, kimlik bilgilerini çalmak için ağ trafiğini yakalamayı ve araçlarını ve etkinliklerini standart izlemeden gizlemek için Cisco’nun konuk kabuğu gibi kutuda Linux kapsayıcılarını kullanmayı içerir.
“Bu aktörler genellikle ağlara kalıcı, uzun vadeli erişimi sağlamak için yönlendiricileri değiştirir” diyor. Gizli tüneller oluştururlar, trafiği kendi altyapılarına yeniden yönlendirirler ve izlerini örtmek için titizlikle net kütükler oluştururlar ve algılamayı son derece zorlaştırırlar.
Ortak danışma, Avustralya, Kanada, İngiltere, Yeni Zelanda, Almanya, Japonya, İtalya ve Polonya’dan katkıda bulunan ajanslarla büyük bir uluslararası çabayı temsil ediyor. Kuruluşları aşağıdakilere çağırarak ayrıntılı tehdit avı rehberliği sağlar:
- Yetkisiz yapılandırma değişiklikleri, beklenmedik ağ tünelleri (GRE, IPSEC) ve paket yakalama araçlarının şüpheli kullanımı için monitör.
- Yetkisiz etkinlik için ağ cihazlarındaki sanallaştırılmış kapları denetleyin.
- Satıcı tarafından sağlanan karmalara karşı ürün yazılımı ve yazılım bütünlüğünü doğrulayın.
- Güvenli, merkezi bir sunucuya sağlam günlüğe ve iletişimi uygulayın.
Azaltma stratejileri ağ altyapısının sertleşmesine odaklanır. Öneriler arasında kullanılmayan bağlantı noktası ve hizmetlerin devre dışı bırakılması, katı yönetim düzlemi izolasyonu uygulanması, güçlü, benzersiz kimlik bilgilerinin uygulanması ve TELnet ve SNMPV1/V2 gibi eski protokollerin güvenli, modern alternatifler lehine devre dışı bırakılması yer alıyor.
Danışma, ağ savunucuları için kritik bir kaynak görevi görür, sadece stratejik rehberlik değil, aynı zamanda aktörler tarafından kullanılan IP adresleri ve özel kötü amaçlı yazılımlarını tespit etmek için Yara kuralları gibi özel uzlaşma göstergeleri sağlar.
CISA ve ortakları, özellikle telekomünikasyon sektöründeki kuruluşları, proaktif olarak kötü niyetli faaliyetleri avlamak ve bu kalıcı küresel tehdide karşı savunmalarını güçlendirmek için rehber kullanmaya şiddetle teşvik etmektedir.
Güvenlik ve uyumluluk anketleri için formları doldurmaktan bıktınız mı? Onları 1up ile birkaç dakika içinde otomatikleştirin! Ücretsiz denemenize şimdi başlayın!