İngiltere’nin Ulusal Siber Güvenlik Merkezi (NCSC) liderliğindeki uluslararası siber güvenlik ajansları koalisyonu, Çin merkezli üç teknoloji şirketini uzun süredir devam eden bir küresel siber saldırı kampanyasına bağladı.
Yeni bir danışmanlıkta, NCSC ve diğer on iki ülkeden ortaklar, Amerika Birleşik Devletleri, Avustralya, Kanada, Yeni Zelanda, Çek Cumhuriyeti, Finlandiya, Almanya, İtalya, Japonya, Hollanda, Polonya ve İspanya, en az 2021’den beri kritik ağları hedefleyen bir kampanya hakkında teknik detaylar paylaştı.
Saldırılar, hükümet, telekomünikasyon, ulaşım ve askeri altyapı gibi sektörlerde dünya çapında birkaç yüksek profilli kuruluşu etkiledi. Çalınan veriler nihayetinde Çin istihbarat hizmetlerine iletişim ve hareketleri küresel ölçekte izleme yeteneği sağlayabilir.
Sınırsız bir kampanya
Çin merkezli üç şirket, “Sichuan Juxinhe Network Technology Co Ltd”, “Beijing Huanyu Tianqiong Bilgi Teknolojisi Co Ltd” ve “Sichuan Zhixin Network Technology Co Ltd” dan danışmanlık (PDF), Çin’in istihbarat kurumlarına siber ilişkili hizmetler sunmaktadır.
NCSC genel müdürü Dr. Richard Horne, bu etkinliğin “küresel ölçekte kötü niyetli siber faaliyetlerin sınırsız bir kampanyası” olduğunu belirtti. Kampanya kısmen tuz tayfası olarak bilinen bir grupla örtüşüyor. Bu kampanyaya bağlı diğer gruplar şunları içerir:
ABD Ulusal Güvenlik Ajansı’nın basın bültenine göre önemli bir bulgu, saldırganların yeni veya karmaşık hack araçlarını kullanarak değil, kuruluşların güvenlik güncellemeleriyle zaten düzeltmesi gereken eski, tanınmış güvenlik açıklarından yararlanarak başarılı olmalarıdır.
Kampanya, Ivanti (CVE-2024-21887), Palo Alto Networks (CVE-2024-3400) ve CISCO (CVE-2023-20273, CVE-2023-20198 ve CVE-2018-0171) gibi büyük şirketlerden gelen cihazlarda başarılı bir şekilde kullanıldı.
Bu, bu saldırıların çoğunun kolayca önlenebileceği anlamına gelir. Bilgisayar korsanları yeni yöntemler geliştirmek yerine, açılmamış bırakılan zayıflıklardan yararlanırlar.
Kuruluşlar ne yapabilir
Tehditin ciddiyeti göz önüne alındığında, ajanslar örgütleri hemen harekete geçmeye şiddetle çağırıyor. Ağlarında proaktif olarak kötü niyetli etkinlik aramaları tavsiye edilir.
Danışma ayrıca, kuruluşların ağdan tam bir “tahliye” elde edebilmelerini sağlamak için bunları kaldırmaya çalışmadan önce saldırganların varlığını tam olarak anlamaları da dahil olmak üzere özel bir uyarı sağlar.
Danışma ayrıca, internete bakan cihazların uygun şekilde güvence altına alındığını ve mevcut tüm güvenlik güncellemelerinin uygulandığını garanti etmenin önemine dikkat çekiyor. Dr. Horne’un vurguladığı gibi, ağ savunucuları uyanık kalmalı ve alışılmadık faaliyet belirtileri için sistemlerini sürekli olarak gözden geçirmelidir.
Uzman analizi
Google’ın Tehdit İstihbarat Grubu baş analisti John Hultquist, sadece hackread.com’a tehdit hakkında daha fazla bilgi vererek bir açıklama yaptı. Hacking grubunun, telekomünikasyon sistemlerindeki derin uzmanlığı nedeniyle kaçınma tespitinde “benzersiz bir avantajı” olduğunu kaydetti.
Hultquist’e göre, Çin siber casusluk, araç oluşturmak ve saldırıları gerçekleştirmek için kullanılan bir “yükleniciler, akademisyenler ve diğer kolaylaştırıcılar ekosistemi” ile güçlendiriliyor. Bu modelin operasyonlarının “benzeri görülmemiş bir ölçeğe” büyümesine izin verdiğini açıkladı.
Hultquist ayrıca, misafirperverlik ve ulaşım sektörlerinin bildirilen hedeflenmesinin kurumsal casusluğun ötesinde bir hedef önerdiğini vurguladı: “bireyleri yakından gözetlemek” için bilgi toplamak ve kiminle iletişim kurdukları, konumları ve nerede seyahat ettikleri hakkında tam bir resim oluşturuyor.