Çin destekli Salt Typhoon’un ABD telekom ağlarına izinsiz girişlerinin boyutuna ilişkin endişeler, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nı (CISA), Ulusal Güvenlik Ajansı’nı (NSA) ve FBI’ı, tehdidin ele alınması konusunda sektöre rehberlik etmeye sevk etti.
Ayrıntılı öneriler, bu hafta yazar ajanslarından yetkililerin aralarında Verizon, AT&T ve Lumen’in de bulunduğu saldırı kurbanlarının hala tehdit aktörünü ağlarından yok etmeye çalıştıklarını açıklamasının ardından geldi.
Hala Tahliye Edilmeye Çalışılıyor
CISA’nın siber güvenlikten sorumlu yönetici yardımcısı Jeff Greene, bu hafta bir medya görüşmesinde, “Düşmanın tahliye edildiğini kesin olarak söyleyemeyiz, çünkü yaptıkları şeyin kapsamını hâlâ bilmiyoruz.” dedi.
CISA’nın medya çağrısının bir metnine göre Greene, “Onları takip etme ve neler olup bittiğini görme açısından en üst düzeyde olduğumuza inanıyorum, ancak her şeyi bildiğimizi güvenle söyleyemeyiz” dedi. Dark Reading’e sunuldu. Çoğu mağdurun soruşturmalarında nerede olduğu göz önüne alındığında, tehdit aktörünü tamamen tahliye etmeyi ne zaman tamamlayacaklarına dair bir zaman çerçevesi tahmin etmenin “imkansız” olduğunu söyledi.
Birkaç güvenlik uzmanı şunları düşünüyor: Salt Typhoon’un saldırıları ABD’nin telekom altyapısı üzerinde boyut ve kapsam açısından şimdiye kadarki en berbat siber casusluk kampanyalarından biri olarak görülüyor. Tehdit aktörünün kampanya kapsamında şu ana kadar kaç şirketin güvenliğini ihlal ettiği bilinmiyor ancak bilinen kurbanlar arasında AT&T ve Verizon da dahil olmak üzere ülkenin en büyük telekomünikasyon sağlayıcılarından bazıları yer alıyor.
Saldırılar, telekom müşterilerinin arayanın ve alıcının telefon numaraları, çağrı süresi, çağrı türü ve baz istasyonu konumu gibi çok sayıda çağrı ayrıntısı kaydının çalınması da dahil olmak üzere çok sayıda faaliyete olanak sağladı. Daha az sayıda örnekte Salt Typhoon, aralarında hükümet yetkilileri ve politikacıların da bulunduğu hedeflenen kişilerin çağrılarını ve mesajlarını engellemek için telekomünikasyon sağlayıcı ağlarındaki varlığını kullandı. Ayrıca tehdit aktörü, yasal ulusal güvenliğe konu olan bilinmeyen sayıda kişi hakkında da bilgi topladı ve kolluk kuvvetleri müdahale ediyor.
Bir FBI yetkilisi bu haftaki medya görüşmesi sırasında arka planda yaptığı açıklamada, “ÇHC’nin ticari telekom altyapısını hedef alan devam eden soruşturması, geniş ve önemli bir siber casusluk kampanyasını ortaya çıkardı.” dedi. “ÇHC’ye bağlı siber aktörlerin, birden fazla faaliyeti mümkün kılmak için birden fazla telekomünikasyon şirketinin ağlarını tehlikeye attığını tespit ettik.
Ayrıntılı Öneriler
yeni rehberlik Tehdidi ele almaya yönelik öneriler arasında Salt Typhoon aktivitesinin hızlı bir şekilde tespit edilmesi, görünürlüğün iyileştirilmesi, mevcut güvenlik açıklarının azaltılması, yaygın yanlış yapılandırmaların ortadan kaldırılması ve saldırı yüzeyinin sınırlandırılmasına yönelik öneriler yer almaktadır. Yönergeler, yazar ajansların devam eden kampanyada saldırgan için popüler bir hedef olarak tanımladığı Cisco ağ donanımının güçlendirilmesine ayrılmış bir bölüm içeriyor.
Greene, “Şu anda, özellikle ortaya koyduğumuz sertleştirilmiş kılavuz, kurbanlarda gördüğümüz faaliyetlerin devam etmesini çok daha zorlaştıracaktır” dedi. “Bazı durumlarda erişimlerinin sınırlandırılmasına neden olabilir.” Salt Typhoon aktörlerinin mağdur ağlarını ihlal etmek için çeşitli taktikler kullandıklarını, dolayısıyla müdahale ve hafifletme yaklaşımlarının duruma göre farklılık göstereceğini belirtti. “Bunlar, kurbanın ne kadar derinden tehlikeye girebileceği veya aktörün neler yapabileceği açısından basit tavizler değil.”
Şifreli Mesajlaşma Uygulamalarını ve Hizmetlerini Kullanın
Medya görüşmesinde Green ve FBI yetkilisi, mobil cihaz iletişimlerinin gizliliği konusunda endişe duyan kişilerin, şifreli mesajlaşma uygulamalarını (örnek olarak WhatsApp ve Signal dahil) ve şifreli sesli iletişimleri kullanmayı düşünmeleri gerektiğini tavsiye etti. FBI yetkilisi, “Mobil cihaz iletişimlerini daha fazla korumak isteyen kişiler, işletim sistemi güncellemelerini otomatik olarak zamanında alan bir cep telefonu, sorumlu bir şekilde yönetilen şifreleme ve e-posta, sosyal medya ve işbirliği araçları için kimlik avına karşı dayanıklı MFA kullanmayı düşünmenin faydasını görecektir” dedi.
Bugcrowd’un bilgi güvenliği sorumlusu (CISO) Trey Ford, yeni kılavuzda kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulamanın kuruluşların öncelik vermeyi düşünmesi gereken bir şey olduğuna dikkat çekti. “Kötü niyetli aktörlerin ve ulus devlet topluluklarının maliyetini ve iş faktörünü artırmak için yapabileceğimiz her şey yardımcı oluyor” diye belirtiyor. Ayrıca kuruluşların üçüncü taraf iletişim altyapısından geçen tüm trafiğe şifreleme eklemesini ve mantıklı olduğu yerlerde WhatsApp ve Signal gibi uygulamalardan yararlanmalarını tavsiye ediyor. “Ayrıca, Yubikeys, Apple’ın Secure Element’i veya Google Authenticator, Authy gibi sözde rastgele kod oluşturucular gibi SMS’den daha güçlü bir şey olan ikinci bir kimlik doğrulama faktörü eklemenizi tavsiye ederim. [and] Duo, tüm çevrimiçi hesaplarınıza.”
Blackcloak’ın CEO’su ve kurucusu Chris Pierson, yeni sıkılaştırma tavsiyesinin telekom sektöründeki şirketlerin kontrollerine, iyileştirmelerine ve devam eden değerlendirme faaliyetlerine öncelik vermelerine yardımcı olma açısından yararlı olduğunu düşünüyor. Salt Typhoon’a karşı korunmak için bireysel tüketicilere ve şirket yöneticilerine verilen tavsiyelerin de yararlı olduğunu belirtiyor: “Metin/SMS yerine güvenlik mesajlarının kullanılmasına ilişkin ipuçlarından, SIM PIN’i kullanarak SIM değiştirme olasılığının azaltılmasına ve ikili uygulama uygulanmasına kadar Kilit hesaplarda faktör kimlik doğrulaması sayesinde bu kılavuz, kilit yöneticilerin ve hedeflenen kişilerin kendilerini korumasını kolaylaştırıyor.”