Kanada Siber Güvenlik Merkezi ve FBI, Çin devlet destekli ‘Tuz Typhoon’ hackleme grubunun da Kanada telekomünikasyon firmalarını hedeflediğini ve Şubat ayında bir telekom sağlayıcısını ihlal ettiğini teyit ediyor.
Şubat 2025 olayında Salt Typhoon, uzak, kimlik doğrulanmamış saldırganların keyfi hesaplar oluşturmasına ve yönetici düzeyinde ayrıcalıklar kazanmasına izin veren kritik bir Cisco IOS XE güvenlik açığı olan CVE-2023-20198 kusurundan yararlandı.
Kusur ilk olarak, tehdit aktörlerinin 10.000’den fazla cihazı kesmek için sıfır gün olarak sömürdüğü bildirildiği Ekim 2023’te açıklandı.
Önemli bir süreye rağmen, Kanada’daki en az bir büyük telekomünikasyon sağlayıcısı hala yamamıştı ve tuz tayfuna cihazlardan ödün vermek için kolay bir yol verdi.
Bülten, “Kanada telekomünikasyon şirketine kayıtlı üç ağ cihazı, 2025 yılının ortalarında muhtemel tuz tayfun aktörleri tarafından tehlikeye atıldı.”
“Aktörler, her üç cihazdan çalışan yapılandırma dosyalarını almak için CVE-2023-20198’den sömürdü ve ağdan trafik toplamayı etkinleştirerek bir GRE tüneli yapılandırmak için dosyalardan en az birini değiştirdi.”
Ekim 2024’te, birçok Amerikan geniş bant sağlayıcısındaki tuz tayfun ihlallerini takiben, Kanada yetkilileri ülkedeki düzinelerce kilit organizasyonu hedefleyen keşif faaliyetlerini işaretledi.
O zaman gerçek ihlaller doğrulanmadı ve güvenliği artırma çağrılarına rağmen, bazı kritik hizmet sağlayıcıları gerekli önlemi almadı.
Siber Merkez, ayrı soruşturmalara ve kalabalık kaynaklı istihbarata dayanarak, muhtemelen tuz tayfuna bağlı faaliyetin telekomünikasyon sektörünün ötesine uzandığını ve diğer birçok endüstriyi hedeflediğini belirtiyor.
Birçok durumda, aktivite keşifle sınırlıdır, ancak iç ağlardan çalınan veriler yanal hareket veya tedarik zinciri saldırıları için kullanılabilir.
Siber Merkez, Kanada örgütlerine yönelik saldırıların önümüzdeki iki yıl içinde “neredeyse kesinlikle devam edeceği” ve eleştirel organizasyonları ağlarını korumaya çağırdı.
Çağrı meta verileri, abone konumu verileri, SMS içeriği ve hükümet/siyasi iletişim gibi değerli verileri işleyen telekomünikasyon hizmet sağlayıcıları, devlet destekli casusluk grupları için ana hedeflerdir.
Saldırıları genellikle ağ çevresindeki, yönlendiriciler, güvenlik duvarları ve VPN cihazlarındaki kenar cihazlarını hedeflerken, MSP’ler ve bulut satıcıları da müşterilerine dolaylı saldırılar için hedeflenir.
Siber merkezin bülteninde, kritik altyapı operatörleri için kenar cihaz sertleştirme talimatları sağlayan kaynakları listeler.
Tuz tayfun saldırıları, AT&T, Verizon, Lümen, Charter Communications, Consolideed Communications ve Windrox dahil olmak üzere düzinelerce ülkedeki birden fazla telekom şirketini etkiledi.
Geçen hafta Viasat ayrıca Salt Typhoon’un onları ihlal ettiğini, ancak müşteri verilerinin etkilenmediğini de doğruladı.
Yama, karmaşık senaryolar, uzun saatler ve sonsuz yangın tatbikatları anlamına gelir. Artık değil.
Bu yeni kılavuzda Tines, modern BT kuruluşlarının otomasyonla nasıl dengelendiğini bozuyor. Daha hızlı yama, ek yükü azaltın ve stratejik çalışmaya odaklanın – karmaşık komut dosyaları gerekmez.