Amerika Birleşik Devletleri Ulusal Güvenlik Ajansı (NSA) dahil olmak üzere dünyanın dört bir yanından siber güvenlik ve istihbarat teşkilatları koalisyonu, Çin hükümetine bağlı devlet destekli aktörler tarafından devam eden siber müdahaleleri açıklayan ortak bir danışma yayınladı. Bu aktörlerin, geniş ve kalıcı bir siber casusluk kampanyasında dünyanın dört bir yanındaki kritik altyapı ağlarını hedef aldığı iddia ediliyor.
“Küresel casusluk sistemini beslemek için dünya çapında ağlardan ödün verdiği Çin devlet destekli aktörlere karşı koymak” başlıklı danışmanlık, telekomünikasyonlara, askeri, nakliye, konaklama ve hükümet sistemlerine sızmak ve erişimi sürdürmek için ileri süren tehdit (APT) aktörlerinin kullandığı bir dizi tekniği özetlemektedir.
Danışma paylaşımında açıklanan kötü niyetli operasyonlar, Salt Typhoon ve Ghostempor olarak bilinen gruplar da dahil olmak üzere, siber güvenlik endüstrisinde izlenen tehdit aktörleriyle dikkate değer bir örtüşme. Bu operasyonlar, Sichuan Juxinhe Network Technology Co. Ltd., Pekin Huanyu Tianqiong Information Technology Co., Ltd. ve Sichuan Zhixin Network Technology Co., Ltd.
Bu firmaların Çin Devlet Güvenliği Bakanlığı ve Halk Kurtuluş Ordusu’na teknolojik hizmetler sundukları bildiriliyor.
Amerika Birleşik Devletleri Ulusal Güvenlik Ajansı (NSA) taktikleri ve teknikleri kodladı
Ulusal Güvenlik Ajansı ve ortaklarına göre, devlet destekli bu aktörler, Ivanti, Cisco ve Palo Alto gibi şirketler tarafından üretilen ağ cihazlarında bilinen güvenlik açıklarından yararlanıyor. Saldırganlar, sistem içinde yanal olarak hareket etmek için tehlikeye atılan yönlendiricilerden ve güvenilir ağ bağlantılarından yararlanarak avantajı ve çekirdek ağ altyapısını hedefler.
Gözlenen temel teknikler şunları içerir:
- Saldırgan kontrolündeki IP adreslerinden bağlantılara izin vermek için erişim kontrol listelerinin (ACL’ler) değiştirilmesi.
- Şifreli uzaktan erişimi korumak için olağandışı bağlantı noktalarında SSH ve Web hizmetlerinin etkinleştirilmesi.
- Komutları yürütmek ve ağ yapılandırmalarını değiştirmek için SNMP ve otomasyon kimlik bilgilerini kullanmak.
- Tespit edilmeyen yetkisiz araçları çalıştırmak için Linux kaplarının (örn. Cisco Konuk Kabuğu) dağıtılması.
- Çok hızlı erişim, dosya transferleri ve komut yürütme için STOWAWAY gibi araçları kullanma.
Kalıcılık, yeni yönetim hesapları oluşturmak ve GRE ve IPSEC gibi gizli tünel protokollerini sağlamak da dahil olmak üzere cihaz yapılandırmalarındaki değişiklikler yoluyla elde edilir.
Siber güvenlik konusunda küresel işbirliği
Danışma, ABD, Avrupa ve Asya-Pasifik’i kapsayan 20’den fazla ajans arasında koordineli bir çabanın ürünüdür. NSA’ya ek olarak, katkıda bulunanlar arasında Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), FBI, Avustralya Siber Güvenlik Merkezi (ACSC), Kanada Siber Güvenlik Merkezi, Yeni Zelanda’nın NCSC, İngiltere’nin NCSC ve muadilleri Almanya, İtalya, Japonya, Polonya, daha fazlası.
Gözetim ve veri toplama
Bir ağın içine girdikten sonra, Çin hükümetine bağlı APT aktörlerinin kimlik bilgilerini yakalamaya, trafiği izlemeye ve hassas veri toplamaya odaklandığı bildiriliyor. Teknikler şunları içerir:
- Yerel paket yakalama araçlarını kullanarak TACACS+ trafiğini yakalama.
- Saklanan kimlik bilgilerini çözmek için zayıf şifreleme şemalarından (örneğin, Cisco Tip 7) yararlanın.
- Yerel ağlardaki cihazları haritalamak ve değiştirmek için SNMPWalk ve TCL komut dosyalarını kullanma.
- Müşteri verilerinin, yapılandırma dosyalarının ve yönlendirme bilgilerinin çıkarılması.
- Trafiği yansıtmak ve hassas iletişimi engellemek için açıklık, RSPAN veya Erspan oturumlarını ayarlayın.
Danışma alanında ayrıntılı olarak açıklanan bir durum, saldırganların yerel bir PCAP aracı kullanarak TACACS+ trafiğini nasıl topladıklarını, zayıf kodlanmış anahtarları kullanarak şifresini çözdüğünü ve çalınan yönetici kimlik bilgilerini kullanarak ağ boyunca yanal olarak hareket ettirdiğini açıklar.
Gizleme ve Kaçma
Tespit edilmemiş kalmak için, aktörler varlıklarını gizlemek için birkaç adım atıyor:
- Sistem günlüklerini temizleme ve günlük özelliklerini devre dışı bırakma.
- Exfiltrasyon sonrası cihaz yapılandırmalarını tersine çevirme.
- Komut ve kontrol etkinliği için şifreli tünelleri kullanma.
- Gizli ağlar arası erişim sağlamak için İnternet servis sağlayıcıları arasındaki yanlış yapılandırmaları kullanmak.
Cisco IOS XR’yi çalıştıran cihazlar özellikle hedeflenmiştir, saldırganlar yüksek numaralı bağlantı noktalarında (örneğin 57722) SSH daemonları sağlar, ev sahibi işletim sistemi kabuğu erişimi oluşturur ve uzun süreli kontrol için artan ayrıcalıklara sahip kök dışı hesapları kullanırlar.
Savunma önerileri
NSA ve ortak yazma ajansları, kritik altyapı operatörlerini ve BT güvenlik ekiplerini tehdit avı ve olay tepkisi için kapsamlı bir yaklaşım benimsemeye çağırıyor.
Temel öneriler şunları içerir:
- Canlı cihaz yapılandırmalarının onaylanmış temel çizgilerle karşılaştırılması.
- Yetkisiz PCAP oturumları veya olağandışı uzaktan erişim kalıpları için izleme.
- Ürün yazılımı bütünlüğünü denetleme ve imzalı görüntü doğrulamasını etkinleştirme.
- Beklenmedik bağlantı noktalarında yetkisiz kullanıcı hesapları veya SSH erişimini izleyin.
- SSHD_OPENS gibi gereksiz hizmetleri devre dışı bırakma.
- Şüpheli PCAP dosya adları gibi göstergeler için sistem günlüklerini gözden geçirme (örn., mycap.pcap– tac.pcap).
Kuruluşlara, davetsiz misafirleri devirmek ve tam olarak kaldırılmasını sağlamak için iyileştirme çabalarına başlamadan önce saldırganın erişim noktalarını tam olarak anlamaları tavsiye edilir.