Çin bağlantılı ileri kalıcı tehdit (APT) aktör olarak bilinen Tuz tayfası telekomünikasyon, hükümet, ulaşım, konaklama ve askeri altyapı sektörlerindeki kuruluşlar da dahil olmak üzere dünya çapında ağları hedefleyen saldırılarına devam etti.
Çarşamba günü yayınlanan bir ortak siberlik danışmanlığına göre, “Bu aktörler, büyük telekomünikasyon sağlayıcılarının büyük omurga yönlendiricilerinin yanı sıra sağlayıcı kenar (PE) ve müşteri kenarı (CE) yönlendiricilerine odaklanırken, uzatılmış cihazlardan ve diğer ağlara dönme konusunda güvenilir bağlantılardan yararlanıyorlar.” “Bu aktörler genellikle ağlara kalıcı, uzun vadeli erişim sağlamak için yönlendiricileri değiştirir.”
13 ülkeden yetkililerin izniyle yapılan bülten, kötü niyetli faaliyetlerin üç Çinli kuruluşla bağlantılı olduğunu, Sichuan Juxinhe Network Technology Co., Ltd., Pekin Huanyu Tianqiong Information Technology Co., Ltd. ve Sichuan Zhixin Ruijie Network Technology Co., Ltd.
Ajanslar, bu şirketlerin, özellikle telekomlara ve İnternet hizmet sağlayıcılarına (ISS) karşı olanlar, Pekin’e hedeflerinin iletişim ve hareketlerini küresel olarak tanımlama ve izleme yeteneği sağlayan verilerle, saldırılardan çalınan verilerle Çin’in istihbarat hizmetlerine siber ile ilgili ürün ve hizmetler sunduğunu söyledi.
ABD Federal Soruşturma Bürosu’nun siber bölümü başkanı Brett Leatherman, tuz tayfunun en azından 2019’dan beri aktif olduğunu ve “küresel telekomünikasyon gizliliği ve güvenlik normlarını ihlal etmeyi” amaçlayan kalıcı bir casusluk kampanyasına girdiğini söyledi.
Bugün yayınlanan bağımsız bir uyarıda, Hollanda istihbarat ve güvenlik hizmetleri MIVD ve AIVD, ülkedeki kuruluşların “ABD’dekilerle aynı derecede dikkat almadığını” söyledi. Ancak, bilgisayar korsanlarının bu ağlara daha da nüfuz ettiğine dair bir kanıt yoktur.
Güvenlik danışmanlığını birlikte kapatan ülkeler arasında Avustralya, Kanada, Çek Cumhuriyeti, Finlandiya, Almanya, İtalya, Japonya, Hollanda, Yeni Zelanda, Polonya, İspanya, İngiltere ve ABD bulunmaktadır.
Ulusal Siber Güvenlik Merkezi, “En az 2021’den bu yana, bu faaliyet, İngiltere’de gözlenen bir faaliyet kümesi ile hükümet, telekomünikasyon, ulaşım, konaklama ve askeri altyapı da dahil olmak üzere kritik sektörlerde kuruluşları hedefledi.” Dedi.
The Wall Street Journal ve The Washington Post’a göre, Hacking Crew, hedefleme odağını diğer sektörlere ve bölgelere genişletti ve ABD’de 200 ve 80 ülke dahil olmak üzere en az 600 kuruluşa saldırdı.
https://www.youtube.com/watch?v=drnmky4-0xo
Ghostempor, operatör Panda, RedMike ve UNC5807 olarak izlenen aktivite ile örtüşen tuz tayfun, Cisco’dan (CVE-2018-0171, CVE-2023-20273 ve CVE-2023 ve CVE-2010 (CVE-2018), CVE-2023-20198 ve CVE-2010 (CVE-2023), başlangıç erişiminin elde edildiği gözlemlenmiştir. CVE-2024-21887) ve Palo Alto Networks (CVE-2024-3400).
Ajanslar, “APT aktörleri, belirli bir cihazın kimin sahibi olduğuna bakılmaksızın kenar cihazlarını hedefleyebilir.” Diyerek şöyle devam etti: “Oyuncuların temel faiz hedefleriyle uyumlu olmayan kuruluşların sahip olduğu cihazlar, saldırı yollarında kullanım için fırsatlar sunuyor.”
Meydan okumalı cihazlar daha sonra diğer ağlara dönecek şekilde kaldırılır, hatta bazı durumlarda cihazın yapılandırmasını değiştirir ve kalıcı erişim ve veri eksfiltrasyonu için genel bir yönlendirme kapsülleme (GRE) tüneli ekler.
Hedef ağlara kalıcı erişim, kontrolleri altına IP adresleri eklemek için erişim kontrol listelerini (ACL’ler) değiştirerek, standart ve standart olmayan bağlantı noktalarını açarak ve desteklenen Cisco ağ cihazlarında bir kutuda Linux kapsayıcısında komutları çalıştırarak, araçları yerel olarak işleme ve ortam içinde yanal olarak hareket ettirir.
Ayrıca saldırganlar tarafından, ağ cihazlarında yanal hareketi sağlamak için terminal erişim denetleyicisi erişim kontrol sistemi artı (TACACS+) gibi kimlik doğrulama protokolleri de kullanılırken, aynı anda kapsamlı keşif eylemleri yürütür ve uzatılmış yönlendiriciler aracılığıyla ağların daha derinlere gömülmesi için ağ kimlik bilgileri içeren ağ trafiğini yakalar.
Ajanslar, “APT aktörleri, tehlikeye atılan sistemde yerel takımlar kullanarak PCAP’ler topladı, birincil amaç muhtemelen TCP bağlantı noktası 49 üzerinden TACACS+ trafiği yakalamaktır.” Dedi. “TACACS+ trafiği kimlik doğrulama için, genellikle ağ ekipmanlarının yönetimi için ve yüksek ayrıcalıklı ağ yöneticilerinin hesaplarını ve kimlik bilgilerini içererek kullanılır, muhtemelen aktörlerin ek hesaplardan ödün vermesini ve yanal hareket gerçekleştirmesini sağlar.”
Bunun da ötesinde, Cisco IOS XR cihazlarındaki SSHD_OPERNS hizmetinin yerel bir kullanıcı oluşturmasını ve TCP/57722 boyunca oturum açtıktan sonra ana bilgisayar işletim sisteminde kök almak için SUDO ayrıcalıkları vermesini sağlayan tuz tayfun gözlenmiştir.
Danışmanlığa katkıda bulunan birçok endüstri ortağından biri olan Google’ın sahip olduğu Mandiant, tehdit oyuncunun telekomünikasyon sistemlerine aşina olmasının, savunma kaçakçılığı söz konusu olduğunda onlara bir üst el vererek onlara benzersiz bir avantaj sağladığını belirtti.
Google Tehdit İstihbarat Grubu baş analisti John Hultquist, Hacker News’e verdiği demeçte, “Müteahhitler, akademisyenler ve diğer kolaylaştırıcılar ekosistemi Çin siber casusluğunun merkezinde.” Müteahhitler, aletler ve değerli istismarlar oluşturmak ve izinsiz giriş operasyonlarının kirli işlerini yapmak için kullanılır. Bu operasyonların hızlı evriminde ve onları eşi görülmemiş bir ölçeğe büyütmede etkili oldular. “
“Telekomünikasyonu hedeflemeye ek olarak, bu aktör tarafından misafirperverlik ve ulaşım hedeflenmesi bireyleri yakından kaplamak için kullanılabilir. Bu sektörlerden gelen bilgiler, birisinin kiminle konuştuğunu, nerede olduklarını ve nereye gittiklerini tam bir resim geliştirmek için kullanılabilir.”