Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç, ağ algılama ve yanıt
Telekomlar hala Çin ulus-devlet hackleme grubuna düşüyor, araştırmacılar uyarıyor
Mathew J. Schwartz (Euroinfosec) •
13 Şubat 2025
Telekomünikasyon ağlarının kitlesel hacklemesine bağlı bir Çin siber casusluk grubu, ABD ve ötesindeki hedeflere ulaşmaya devam ediyor.
Ayrıca bakınız: Kuruluşunuzu güvence altına almak için 57 ipucu
Tehdit istihbarat firması gelecekteki Future, telekom ve üniversiteler tarafından kullanılan Cisco cihazlarında bilinen iki güvenlik açıkından yararlanmaya odaklanan sürekli keşif ve hack dalgaları görüldüğünü söyledi. Hackerlar cihazları başarıyla kullanırsa, ayrıcalıklı bir kullanıcı hesabı ekliyor ve cihazlarda sanal tünel yapmayı yapılandırmak için kullanıyorlar ve ekipmanı uzaktan kontrol etmelerini sağlıyorlar.
Siber saldırılar, ABD’li yetkililerin en az dokuz Amerikan telekomuna ve düzinelerce diğer ülkedeki telekomlara “geniş ve tam” erişimden yararlandığını söyledi. ABD Hazine Departmanı geçen ay, bir Çin hükümet yüklenicisini kampanyaya dahil ettiği için onayladı ve aynı zamanda Dünya Astries, FamilySparrow, Ghostempor ve UNC2286 olarak izlenen bir hack ekibine kadar izlendi.
Aralık ayı sonlarında AT&T ve Verizon Communications, bilgisayar korsanlarını ağlarından çıkardıklarını söylerken, yetkililer hala diğer telekomların altyapısında hala bir dayanak olduklarını söyledi.
ABD saldırılarında Salt Typhoon, hükümet yetkililerini ve siyasi kampanya liderlerini içeren yüksek seviyeli sesli iletişimin – bazen gerçek zamanlı olarak – müdahale etmeye odaklanmış gibi görünüyor. Yetkililer, bilgisayar korsanlarının 2024 ABD cumhurbaşkanlığı seçimlerinde adayları hedef aldığını ve FBI’ın karşı kayma çabalarını potansiyel olarak casusluk yaparak mahkeme yetkili telekapı geri çekildiğini söyledi. Bilgisayar korsanlarının, telekomların abonelerine ilişkin büyük miktarlarda meta veri topladığı bildiriliyor, çoğu Washington, DC çevresindeki bireylere odaklandı
Araştırmacılar, Hacking Grubunun Ivanti, Fortinet, Microsoft ve Sophos ürünlerindeki güvenlik açıkları da dahil olmak üzere bir dizi ağ ekipmanını hedeflediğini işaretler buldular (bkz: bkz: Tuz tayfun tarafından hedeflenen güvenlik açıkları için yama gecikmeleri).
Grubun saldırılarını ve yaptırımlarını gösteren kamuoyu raporlarına rağmen – aslında, Pekin’i casusluk faaliyeti için çağırıyor – saldırganlar sessizleşmedi. Daha ziyade, müfettişler, hackerların ısrar etmeyi denemek ve sürdürmek için taktiklerini değiştirdiklerini söyledi.
Insikt Group’tan yeni bir rapor – Future’ın Tehdit Araştırma Bölümü’nü kaydediyor – Redmike olarak izlediği Salt Typhoon’un “periyodik keşif faaliyeti” yapmaya devam ettiğini söylüyor. Rapor, 4 Aralık 2024’ten başlayarak ve en az 23 Ocak’ta devam eden altı özel gün tarama ve sömürü faaliyetini detaylandırdı. Taramalar, web kullanıcı arayüzünü internete maruz bırakan iOS XE yazılımını çalıştıran Cisco Network cihazlarını hedefledi.
Bu zaman dilimi sırasında, Insikt Group’un kendi internet taramaları, web kullanıcı arayüzlerini bu kadar açık bir şekilde 12.000’den fazla Cisco cihazı tanımladı ve Çinli saldırganların yaklaşık 1000’i hedeflediğini gördü – esas olarak telekomlarda, aynı zamanda 13 üniversitede de. Tüm bu cihazlar 100’den fazla ülkeyi kapsarken, araştırmacılar cihazların yarısının ABD, Güney Amerika ve Hindistan’da olduğunu ve genellikle telekomlara bağlı olduğunu, cihazların 13’ü ise üniversiteler tarafından kullanıldığını söyledi.
Saldırganların problarına bağlı üniversite ağları arasında ABD ve Hollanda’daki – UCLA ve Delft Teknoloji Üniversitesi de dahil olmak üzere, Arjantin, Bangladeş, Endonezya, Meksika, Tayland ve Vietnam’daki kurumları da içeriyordu. Saldırganların özel motivasyonu bilinmemekle birlikte, APT31, APT40 ve APT41 gibi Çin ulus devlet gruplarına bağlı geçmiş saldırılara dayanırken, tuz tayfası mühendislik, telekomünikasyon ve diğer teknoloji türlerine bağlı araştırmaları çalmaya çalışıyor olabilir. Araştırmacılar dedi.
Aralık 2024 ve daha yeni saldırıların bir parçası olarak Salt Typhoon, ABD’de bulunan telekomünikasyon sağlayıcılarına bağlı en az yedi Cisco Network cihazını tehlikeye attı – büyük bir İngiliz telekomunun bir iştiraki ve Güney Afrika, İtalya ve Tayland’da araştırmacılar kurmak. Hacking grubu, ekipmana noktadan noktaya bağlantılar oluşturmak için genel yönlendirme kapsülleme tünellerini kullanıyor. Bu işlevler Cisco cihazlarına yerleştirilmiştir.
Insikt Group, GRE tünel protokolü “sanal özel ağlar oluşturmak, farklı ağ türleri ve IP ağları üzerinden çok noktaya yayın veya IP olmayan trafiği arasında birlikte çalışmayı etkinleştirmek için yaygın olarak kullanılır” dedi. “Tehdit etkinlik grupları, güvenlik duvarlarını ve saldırı tespit sistemlerini atlayan gizli iletişim kanalları kurarak kalıcılığı korumak için GRE tünelleri kullanıyor. Bu tüneller aynı zamanda GRE paketleri içinde çalıntı verileri kapsülleyerek, ağ izlemesini potansiyel olarak atlayarak gizli veri peçelesini kolaylaştırıyor.”
Bu Cisco-hedefleme çabası, Ekim 2023 güncellemelerine göre sabit olan iki güvenlik açısına karşı açılmayan cihazları bulmaya odaklanmış gibi görünmektedir (bkz:: Hacked Cisco IOS XE Cihazlarının Kontu Beklenmedik Plummets).
Güncellemeler, yönlendiriciler, anahtarlar, kablosuz denetleyiciler, erişim noktaları ve daha fazlası dahil olmak üzere çok sayıda Cisco ürünü çalıştırmak için kullanılan Cisco iOS XE yazılımı için Web Yönetimi kullanıcı arayüzünde bir daha sıfır gün kusurunu düzeltti. Ekim 2023’te Cisco, CVE-2023-20198’i, saldırganlar tarafından cihazlara erişmek ve yerel bir kullanıcı hesabı oluşturmak için aktif olarak sömürüldüğünü söylediği kusuru izlemek için atadı. Şirket ayrıca, saldırıların ikinci aşamasında, bilgisayar korsanlarına cihazlarda kök kullanıcı ayrıcalıkları vermek için kullanılan CVE-2023-20273 olarak adlandırılan başka bir güvenlik açığı yamaladı.
Tuz tayfun altyapısı sadece savunmasız Cisco cihazlarından yararlanmak için değil, aynı zamanda daha ileri ağlardan yararlanmak için bir basamak taşı olarak kullanılmış gibi görünmektedir. Kaydedilen Future, Aralık 2024’te Myanmar merkezli telekomünikasyon sağlayıcısı Mytel tarafından işletilen altyapıyı hedeflemek için kullanılan altyapının gördüğünü ve saldırganların şirketin kurumsal e-posta sunucusundan yararlanabileceğini söyledi.
Kaydedilen Gelecek, Cisco IOS XE yazılımını çalıştıran cihazları kullanan tüm kuruluşların, bilinmeyen kullanıcı hesapları da dahil olmak üzere, uzlaşma belirtileri için günlüklerini gözden geçirmesini ve ayrıca tüm internette çalışan ağ cihazlarını yamaladıklarından emin olmasını önerir. Potansiyel olarak GRE dahil olmak üzere beklenmedik protokollere dayanan ağ trafiğinin varlığı. Buna ek olarak, “Genel olarak bakan cihazlarda yönetim arayüzleri veya zorunlu olmayan hizmetler, özellikle yaşam sonu cihazları için doğrudan internete maruz kalmaktan kaçının” dedi.