Konteynerleştirme ve Sandboxing, Siber Savaş / Ulus-Devlet Saldırıları, Uç Nokta Güvenliği
Verizon, AT&T ve Lumen’in Yasal Geniş Bant Telefon Dinleme Sistemlerinin İhlal Edildiği Bildirildi
Mathew J. Schwartz (euroinfosec) •
7 Ekim 2024
ABD hükümetinin, Çinli ulus-devlet bilgisayar korsanlarının, abonelerinin ağ trafiğinin mahkeme tarafından yetkilendirilmiş telefon dinlemelerine uymak için kullanılan geniş bant sağlayıcılarının altyapısına sızmasıyla bağlantılı şüpheli ihlalleri araştırdığı bildiriliyor.
Ayrıca bakınız: Paneli | Siber Saldırılar Artıyor ve Siber Sigorta Oranları Hızla Yükseliyor
Wall Street Journal, ulusal güvenlik soruşturmasıyla ilgili ilk haberi bildirdi ve Verizon Communications, AT&T ve Lumen Technologies’in, Microsoft’un Salt Typhoon kod adını verdiği Pekin’e bağlı gelişmiş kalıcı tehdit grubu tarafından yürütülen görünürdeki casusluk operasyonunun bir parçası olarak ihlal edilen geniş bant sağlayıcıları arasında yer aldığını söyledi. .
Kampanyayı araştırdığı bildirilen kurumlar arasında Siber Güvenlik ve Altyapı Güvenliği Ajansı ile FBI da yer alıyor. Saldırılar ABD hükümeti tarafından resmi olarak ilişkilendirilmedi.
The Washington Post’un haberine göre, izinsiz girişlerin odak noktası, hem “yasal dinleme” sistemlerine sızarak hem de daha genel trafiği engelleyerek “Amerikan gözetiminin Çin hedeflerini” belirlemek olabilir. Kurbanlar arasında Verizon’un FBI, Microsoft ve Google’ın Mandiant güvenlik bölümünden temsilcilerin yer aldığı bir “savaş odası” oluşturduğu belirtildi.
DHS’nin CISA eski genel müdürü ve şu anda siber güvenlik firması SentinelOne’da başkan yardımcısı olan Brandon Wales, The Washington’a şunları söyledi: “Bu, bir casusluk kampanyasının tüm özelliklerini taşıyor; ülkedeki en önemli iletişim şirketlerine derin erişim potansiyeline sahip bir kampanya.” Postalamak. “Etkiler potansiyel olarak şaşırtıcı.”
Wall Street Journal, 26 Eylül’de – potansiyel olarak ihlale uğramış telekomünikasyon firmalarının isimleri ortaya çıkmadan önce – izinsiz girişlerden en azından bazılarının, bilgisayar korsanlarının kurbanların Cisco yönlendiricilerini yeniden yapılandırmasından kaynaklanmış olabileceğini bildirdi.
Salt Typhoon, uzun süredir istihbarat toplama amacıyla ABD sistemlerini hedef alan Çin’in dış istihbarat servisi Devlet Güvenlik Bakanlığı ile bağlantılı. Microsoft’un kod adlandırma konusundaki en son yaklaşımına göre “Typhoon, kökenini veya Çin’e atfedildiğini gösteriyor.”
Kampanya “yasal erişim sistemlerinin bir başka hatırlatıcısıdır” [i.e., backdoors] Toronto Üniversitesi’nin insan haklarına yönelik dijital tehditleri araştıran Vatandaş Laboratuvarı yöneticisi Ron Deibert, kişisel ve ulusal güvensizliğin başlıca kaynakları haline gelebilir” dedi.
Citizen Lab’ın kıdemli araştırmacılarından John Scott-Railton, “Bir dahaki sefere bir hükümet arka kapıların şifrelenmesini talep ettiğinde bunu hatırlayın” dedi.
ABD Menkul Kıymetler ve Borsa Komisyonu kuralları, halka açık şirketlerin tüm “önemli” siber güvenlik olaylarını, belirli koşullar dışında, önemli olduğunun belirlenmesinden sonraki dört gün içinde yatırımcılara – Form 8-K aracılığıyla – raporlamasını gerektiriyor. Kolluk kuvvetleri veya istihbarat teşkilatlarının ulusal güvenlik veya kamu güvenliği gerekçesiyle gecikme talep etmesi durumunda istisnalar mevcuttur.
Bu türden bilinen ilk gecikme, Mayıs ayında AT&T’nin veri ambarı platformu Snowflake’teki hesabına izinsiz giriş yapılmasının ardından meydana geldi ve telekomünikasyon devinin 110 milyon kablosuz müşterisinin neredeyse her birine ait çağrı ve metin etkileşimi kayıtlarının çalınmasıyla sonuçlandı. AT&T, FBI’ın talebi üzerine herhangi bir kamuya açık ihlal bildirimini Temmuz ayına kadar erteledi (bkz: AT&T, Müşterilerin Çağrı ve Mesaj Kayıtlarının Büyük İhlalini Detaylandırıyor).
Siber güvenlik firması Eset’in 2021’deki raporuna göre GhostEmperor ve FamousSparrow olarak da bilinen Salt Typhoon, Ağustos 2019’dan bu yana aktif. O dönemde Eset, grubun Microsoft Exchange sunucusu da dahil olmak üzere “dünya çapındaki otelleri, hükümetleri ve özel şirketleri hedef aldığını” bildirdi. Mart 2021’den itibaren ProxyLogon olarak bilinen güvenlik açıkları.
Uzmanlar, Çin hükümetinin ABD ve müttefiklerini hedef alan, donanım ve e-posta sunucularını tehlikeye atmak da dahil olmak üzere hackleme operasyonlarının endüstriyel ölçekte devam ettiğini söylüyor. Batılı bir istihbarat yetkilisi bu yılın başlarında BBC’ye Çin’in istihbarat ve güvenlik teşkilatlarının personelinin yaklaşık 600.000 kişiden oluştuğunu, bu rakamın diğer tüm ülkelerden daha fazla olduğunu söyledi.
FBI Direktörü Christopher Wray, Şubat ayında Almanya’da düzenlenen bir konferansta “Çin hükümetinin oluşturduğu siber tehdit çok büyük” dedi. “Çin’in hackleme programı diğer tüm büyük ulusların toplamından daha büyük.”
Çok sayıda sızıntı, Çin’in istihbarat toplama amaçları da dahil olmak üzere devlet onaylı hack saldırılarını kolaylaştırmak için özel yüklenicilerden oluşan bir orduyu nasıl kullandığını da ortaya çıkardı.
Daha fazla kampanya gün yüzüne çıkmaya devam ediyor. Geçtiğimiz ay, Lumen Technologies’in tehdit istihbarat grubu Black Lotus Labs, Çinli casusluk grubu Flax Typhoon’a (diğer adıyla Red Juliett ve Ethereal Panda) bağlı, yönlendiricileri, modemleri tehlikeye atmak için Mirai nesnelerin interneti kötü amaçlı yazılımının değiştirilmiş bir versiyonunu kullanan bir botnet’in ayrıntılarını verdi. IP kameralar, NAS sunucuları ve dijital video kaydediciler. Araştırmacılar, botnet tarafından kontrol edilen istismar edilen cihazların sayısı dalgalanmaya devam ederken, Temmuz 2023’teki zirve noktasında botnet’in 60.000’den fazla cihazı kontrol ettiğini söyledi (bkz.: Çinli Hackerlar ABD Cihazlarını Hedef Alan Devasa Botnet Oluşturuyor).
Geçtiğimiz ay, saldırganların Kaliforniya merkezli Versa Networks’ün Versa Director yazılımındaki (bir dizi internet servis sağlayıcısı, yönetilen hizmet sağlayıcısı ve BT firması tarafından ağ altyapısını dağıtmak, yapılandırmak ve izlemek için kullanılan) sıfır gün kusurundan yararlandığına ilişkin uyarılar ortaya çıktı. yazılım tanımlı geniş alan ağları dahil olmak üzere konumlar. Black Lotus Labs, Pekin’deki siber casusluk grubu Volt Typhoon’un (diğer adıyla Bronze Silhouette) saldırıların arkasında olduğuna “orta düzeyde güven” duyduğunu söyledi (bkz.: Çin Ulus-Devleti Saldırganları Versa Sıfır Gün Saldırısıyla Bağlantılı).
Volt Typhoon, evlerde ve küçük işletmelerde bulunan ve daha fazla saldırı başlatmak için hazırlık noktası olarak kullanılan eski yönlendiricilerin hedeflenmesi de dahil olmak üzere birçok başka kampanyayla da bağlantılıdır (bkz.: FBI’ın ‘Volt Typhoon’ Yönlendirici Yasağı Ne Kadar Sürecek?).