Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç, ağ güvenlik duvarları, ağ erişim kontrolü
Çin Nation-State Hacker’ları paketleri yakalamak için özel bir yardımcı program kullandı
Anviksha More (Anvikshamore) •
21 Şubat 2025
Cisco’nun tehdit analiz birimi, en iyi hükümet ve siyasi hedeflere casusluk yapmak için ABD telekomlarına sızan Çinli bilgisayar korsanları, muhtemelen sadece bilinen bir Cisco kırılganlığı kullandığını söyledi.
Ayrıca bakınız: Corelight’ın Brian Dye NDR’nin Fidye Yazılımı Yenilmesinde Rolü
Aksi takdirde, Salt Typhoon olarak bilinen Çin ulus-devlet siber başlık operasyonu, çalınan oturum açma kimlik bilgileri ve penetre ağları içindeki yanal hareketi kolaylaştıran özel bir yardımcı program kullandı, Cisco Talos bir Perşembe blog yazısında.
Siber güvenlik birimi, Çin tehdit grubunun CVE-2018-0171’den yararlanan ağlara, son yarım on yıl boyunca tekrarlanan uyarıların konusu olan Cisco “Akıllı Kurulum” özelliğinde bir kırılganlık olan ağlara sızdığını gösteren kanıt bulduğunu söyledi.
Talos, “Bugüne kadar araştırdığımız diğer tüm olaylarda, Cisco cihazlarına ilk erişimin, meşru kurban giriş bilgileri elde eden tehdit oyuncusu aracılığıyla kazanıldığı belirlendi.”
Bulgu, tehdit aktörünün daha yeni Cisco güvenlik açıkları CVE-2023-20198 ve CVE-2023-20273 kullanarak en az bir ABD telekomuna nüfuz ettiğini söyleyen kaydedilmiş gelecekten gelen bir rapor gibi diğer analizlerle çelişiyor gibi görünüyor.
Tuz Typhoon kampanyası, telekom endüstrisinin zayıf savunmaları ve itme ağ kenarı cihazlarını tekrar siber güvenlik spot ışığına vurdu (bkz: bkz: State Hacker’ların Yeni Frontier: Network Edge Cihazları).
Biden yönetim yetkilileri, bilgisayar korsanlarının bazı üst düzey hükümet için telefon görüşmelerini ve o zamanlar kamuoyu Başkan Donald Trump ve koşan arkadaşı JD Vance dahil olmak üzere siyasi figürler gibi göründüğünü söyledi. Bilgisayar korsanları ayrıca, başta metropol Washington’da bulunan büyük bir grup bireyler için, Ocak ayında Federal Hükümete bağlı olan büyük bir grup bireyler için kim, ne, nerede ve ne zaman – geniş bir meta veriye bağlı geniş meta veriler gözlemlediler. Yüklenici Sichuan’ın hack yatağında bulunan Sichuan Juxinhe Network Technology’yi aradı.
Cisco Talos’un Perşembe blogu, tuz tayfun hakkındaki konuşmayı ağ devinden uzaklaştırma girişimidir. Blog, “Bu kampanya sırasında yeni Cisco güvenlik açıkları keşfedilmedi. Salt Typhoon’un bilinen diğer üç Cisco güvenlik açıkını kötüye kullandığına dair bazı raporlar olsa da, bu iddiaları doğrulamak için herhangi bir kanıt belirlemedik.”
Ayrıca telekomlara “ağ altyapısını güvence altına almak için en iyi uygulamaları takip etmelerini” önerir.
Pekin destekli grup olan Salt Typhoon, ağ trafiğini izlemek ve ABD’de ve başka yerlerde devam eden bir siberislik kampanyasında hassas verileri yakalamak için “Jumblathpath” olarak adlandırılan özel bir araç kullandı. ABD saldırılarında Salt Typhoon, hükümet yetkililerini ve siyasi kampanya liderlerini içeren yüksek seviyeli sesli iletişimin – bazen gerçek zamanlı olarak – müdahale etmeye odaklanmış gibi görünüyor.
Salt Typhoon, ağ etkinliğini izlemek ve bir ağ güvenlik bölgesinden paket yakalama yoluyla bir ağ güvenlik bölgesinden diğerine taşınmak için JumbledPath adlı özel yapım bir araca güveniyordu. Kampanyanın önemli bir kısmı, Talos’un, bir telekomdan diğerine bir örnek de dahil olmak üzere, tehlikeye atılan bir cihazdan diğerine dönen bilgisayar korsanları tarafından işaretlendi.
Yardımcı programı devre dışı bıraktı ve mevcut günlükleri silerek adli araştırmaları zorlaştırıyor. Siber savunucular, Cisco Nexus cihazlarında aracı, konuk kabuğu adı verilen özel Linux yardımcı program uygulamalarını çalıştırmak için tasarlanmış sanallaştırılmış bir ortamda buldular.
Bilgisayar korsanları ayrıca, gizli anahtarlar dahil olmak üzere SNMP, TACACS ve RADIUS gibi ağ yönetimi ve kimlik doğrulama protokol trafiğini yakaladı. Penetrasyon için bir sonraki yönlendirici setine trafik göndermek için tehlikeye atılan cihazların geri döngü arayüzünü yeniden yapılandırarak erişim kontrol listelerini etkin bir şekilde atlayabildiler.
Talos araştırmacıları, soruşturmaları sırasında, Cisco cihazlarının tuz tayfası ile ilgisiz görünen akıllı kurulum kırılganlığına karşı yamalanmamış yaygın hedeflemesini gözlemlediklerini söyledi. Sistem yöneticilerine kusur veya hizmetten çıkarma cihazlarına karşı yamalarını tavsiye ettiler. Trafik taşımayan bir cihaz bile hala bir giriş noktası olarak kullanılabilir.