Avustralya, Kanada, Yeni Zelanda ve ABD tarafından yayınlanan ortak bir tavsiye niteliğindeki bildiride, Çin Halk Cumhuriyeti’ne (PRC) bağlı tehdit aktörlerinin telekomünikasyon sağlayıcılarını hedef alan geniş bir siber casusluk kampanyasına karşı uyarıda bulunuldu.
Devlet kurumları, “Bu tehdit aktörlerinin faaliyetleriyle ilişkili belirlenen istismarlar veya uzlaşmalar, kurban altyapısıyla ilişkili mevcut zayıflıklarla uyumlu; yeni bir faaliyet gözlemlenmedi” dedi.
ABD’li yetkililer Salı günü yaptığı açıklamada, saldırılara ilişkin soruşturmanın başlamasından yaklaşık altı ay sonra tehdit aktörlerinin hâlâ ABD telekomünikasyon ağlarında gizlendiğini söyledi.
Saldırılar, Earth Estries, FamousSparrow, GhostEmperor ve UNC2286 olarak takip edilen faaliyetlerle örtüşen, Salt Typhoon olarak takip edilen Çin’deki bir ulus devlet grubuna atfedildi. Grubun en az 2020’den beri aktif olduğu biliniyor ve bazı eserler 2019 gibi erken bir tarihte geliştirildi.
Geçtiğimiz hafta T-Mobile, kötü aktörlerin sistemlerine sızma girişimlerini tespit ettiğini kabul etti ancak hiçbir müşteri verisine erişilmediğini kaydetti.
Saldırı kampanyasının haberi ilk kez Eylül ayı sonlarında Wall Street Journal’ın, bilgisayar korsanlığı ekibinin hassas bilgileri toplama çabalarının bir parçası olarak bir dizi ABD telekomünikasyon şirketine sızdığını bildirmesiyle duyuldu. Çin ise iddiaları reddetti.
Saldırılara karşı koymak için siber güvenlik ve istihbarat teşkilatları, kurumsal ağları güçlendirmek için uyarlanabilecek en iyi uygulamalara ilişkin kılavuz yayınladı:
- Anahtarlar, yönlendiriciler ve güvenlik duvarları gibi ağ cihazlarındaki tüm yapılandırma değişikliklerini veya değişikliklerini inceleyip araştırın
- Güçlü bir ağ akışı izleme çözümü ve ağ yönetimi yeteneği uygulayın
- Yönetim trafiğinin internete maruz kalmasını sınırlayın
- Anormallikler için kullanıcı ve hizmet hesabı girişlerini izleyin
- Farklı kaynaklardan gelen büyük miktarda veriyi analiz etme ve ilişkilendirme yeteneği ile güvenli, merkezi günlük kaydı uygulayın
- Cihaz yönetiminin müşteri ve üretim ağlarından fiziksel olarak izole edildiğinden emin olun
- Gelen ve çıkan trafiği kontrol etmek için katı, varsayılan olarak reddedilen bir ACL stratejisi uygulayın
- Yönlendirici ACL’ler, durum bilgisi olan paket incelemesi, güvenlik duvarı özellikleri ve askerden arındırılmış bölge (DMZ) yapılarının kullanımı yoluyla güçlü ağ bölümlendirmesi kullanın
- Harici maruziyeti sınırlandırarak sanal özel ağ (VPN) ağ geçitlerini güvenli hale getirin
- Trafiğin mümkün olan en üst düzeyde uçtan uca şifrelendiğinden ve ağ üzerinden aktarılan verilerin güvenliğini sağlamak için TLS özellikli tüm protokollerde Aktarım Katmanı Güvenliği (TLS) v1.3 kullanıldığından emin olun
- Cisco Keşif Protokolü (CDP) veya Bağlantı Katmanı Keşif Protokolü (LLDP) gibi tüm gereksiz keşif protokollerinin yanı sıra Telnet, Dosya Aktarım Protokolü (FTP), Önemsiz FTP (TFTP), SSH v1, Köprü Metni Aktarımı gibi yararlanılabilir diğer hizmetleri devre dışı bırakın Protokol (HTTP) sunucuları ve SNMP v1/v2c
- İnternet Protokolü (IP) kaynak yönlendirmesini devre dışı bırakın
- Varsayılan şifrelerin kullanılmadığından emin olun
- Varsa güvenilir bir karma hesaplama yardımcı programını kullanarak kullanımdaki yazılım görüntüsünün bütünlüğünü doğrulayın.
- Ağ üzerinden veya internetten hiçbir ek hizmetin erişilebilir olmadığından emin olmak için bağlantı noktası taramasını ve internete açık olduğu bilinen altyapının taranmasını gerçekleştirin
- Donanım cihazları, işletim sistemi sürümleri ve yazılımlar için satıcının kullanım ömrü sonu (EOL) duyurularını izleyin ve mümkün olan en kısa sürede yükseltin
- Şifreleri güvenli karma algoritmalarıyla saklayın
- Şirket sistemlerine erişen tüm hesaplar için kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılın
- Oturum belirteci sürelerini sınırlayın ve oturum sona erdiğinde kullanıcıların yeniden kimlik doğrulaması yapmasını zorunlu kılın
- Rol Tabanlı Erişim Kontrolü (RBAC) stratejisi uygulayın ve gereksiz hesapları kaldırın ve ihtiyaç duyulmaya devam ettiğini doğrulamak için hesapları düzenli aralıklarla inceleyin.
Uyarıya göre, “Savunmasız cihazlara ve hizmetlere yama uygulanması ve genel olarak ortamların güvenliğinin sağlanması, izinsiz giriş fırsatlarını azaltacak ve aktörlerin faaliyetlerini hafifletecektir.”
Bu gelişme, Çin ile ABD arasındaki ticari gerilimlerin arttığı bir dönemde gerçekleşti; Pekin, Çin’in yarı iletken endüstrisine yönelik baskılarına yanıt olarak Amerika’ya kritik mineraller olan galyum, germanyum ve antimon ihracatını yasakladı.
Bu haftanın başlarında ABD Ticaret Bakanlığı, 140 kuruluşa ihracatın kısıtlanmasının yanı sıra, Çin’in askeri uygulamalarda kullanılabilecek gelişmiş düğüm yarı iletkenleri üretme yeteneğini sınırlamayı amaçlayan yeni kısıtlamalar duyurdu.
Çinli çip firmaları o zamandan beri tedarik zincirlerini yerelleştirme sözü verirken, ülkedeki endüstri birlikleri yerli şirketleri ABD çiplerinin “artık güvenli olmadığı” konusunda uyardı.