Çin Halk Cumhuriyeti’ne (PRC) bağlı devlet destekli ileri süren bir tehdit (APT) grubu olan Salt Typhoon, yakın tarihte en siber-ihale kampanyalarından birini yürüttü.
Grup, 2024 boyunca en az dokuz ABD merkezli telekomünikasyon şirketini hedef aldı ve kritik altyapıya sızmak için bilinen güvenlik açıklarından yararlandı.
Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI) tarafından onaylanan ihlal, ABD hükümet yetkililerinden ve siyasi figürlerden meta veriler ve telekap kayıtları dahil olmak üzere hassas veriler ve iletişimleri ortaya çıkardı.
Earth Astries, Ghostemperor ve UNC2286 gibi takma adlar altında da izlenen tuz tayfası, mağdur ağlarında erişim ve kalıcılığı korumak için bir dizi gelişmiş TTP kullandı.
Grup, Microsoft Exchange Server (Proxylogon-CVE-2021-26855), Sophos Güvenlik Duvarı (CVE-2022-3236), Fortinet Forticlient EMS (CVE-2023-48788) ve Ivanti Connect Güvenli VPN (CVE-2024-21887).
Bu kusurlar için yamalar mevcut olmasına rağmen, birçok sistem korunmasız kaldı, proxylogon güvenlik açıklarının% 91’i hala geç saatlerde açıldı.
Salt Typhoon, Ghostsspider, Snappybee ve Masol Rat gibi ısmarlama kötü amaçlı yazılımlar kullandı ve uzun vadeli erişimi sürdürdü.
Bu araçlar modülerdi ve saldırganların algılamadan kaçınırken gerektiği gibi belirli özellikleri dağıtmasına izin verdi.
Teknikler, kayıtların değiştirilmesini, planlanan görevlerin oluşturulmasını ve Demodex gibi rootkitlerin tehlikeye girmesi için uzlaşmış sistemlerde gizli kalması için kullanılmıştır.
Grup ayrıca, kötü niyetli amaçlar için PowerShell ve WMIC gibi meşru araçları kullanarak “toprak yaşama” taktiklerini kullandı.
Çağrı kayıtları ve telekap bilgileri dahil olmak üzere hassas verileri yaymak için şifreli iletişim kanalları kullanıldı.
Bu veriler, saldırganlar tarafından kontrol edilen harici sunuculara aktarılmadan önce şifre korumalı arşivler halinde düzenlenmiştir.
Telekomünikasyon sektörü üzerindeki etkisi
İhlal, AT&T, Verizon, T-Mobile, Lümen Teknolojileri ve diğerleri gibi büyük telekom sağlayıcılarını hedef aldı.
Saldırganlar, çok faktörlü kimlik doğrulaması olmayan tehlikeye atılan ağ yönetimi hesapları aracılığıyla 100.000’den fazla yönlendiriciye erişti.
Bu, bir milyondan fazla kullanıcıya bağlı çağrı meta verilerini ve telekap bilgilerini kesmelerine izin verdi.
Özellikle, saldırganlar, önemli bir ulusal güvenlik endişesi olan şüphelileri izlemek için kolluk kuvvetleri tarafından kullanılan yasal kesişme sistemleriyle ilgili kayıtlar aldı.
Kampanya, Çin’in jeopolitik kaldıraç için siber casusluğa odaklanmasının altını çiziyor.
Tayvan, Güneydoğu Asya ve Avrupa Tuz Typhoon dahil olmak üzere küresel olarak telekomünikasyon firmalarını hedefleyerek hükümet yetkilileri ve siyasi faaliyetler hakkında istihbarat toplamaya çalıştı.
İzinsiz giriş, ABD kritik altyapısında jeopolitik gerginlikler veya çatışmalar sırasında kullanılabilecek güvenlik açıklarını da vurguladı.
Yanıt Önlemleri
İhlallere yanıt olarak:
- Hükümet Eylemleri: CISA, güvenli iletişim ve halka açık altyapının sertleşmesi için uçtan uca şifrelemeyi vurgulayan yönergeler yayınladı. Beyaz Saray, kritik sektörler arasında siber güvenliği güçlendirmeyi amaçlayan bir yürütme emri yayınladı.
- Endüstri Önerileri: Güvenlik uzmanları, telekom şirketlerini bilinen güvenlik açıklarını derhal yamaya, bant dışı yönetim ağlarını benimsemeye, katı erişim kontrollerini uygulamaya ve ağlar içinde yanal hareketi tespit edebilecek gelişmiş izleme çözümlerini uygulamaya çağırdı.
- Yasama önerileri: Federal İletişim Komisyonu (FCC), telekom sağlayıcılarından yıllık siber güvenlik raporlaması gerektiren önlemler getirdi ve kritik ağlardan güvensiz Çin tarafından üretilen ekipmanların kaldırılması için finansman önerdi.
Tenable raporuna göre, Tuz Tayfun kampanyası, devlet destekli APT gruplarının yarattığı sürekli tehdide açık bir hatırlatma görevi görüyor.
Saldırılmamış güvenlik açıkları ve sofistike düşmanlarla ilişkili riskleri azaltmak için endüstriler arasında güçlü siber güvenlik uygulamalarına acil ihtiyacı vurgulamaktadır.
Jeopolitik gerilimler arttıkça, kritik altyapının güvence altına alınması dünya çapında ulusal güvenlik ajansları için bir öncelikli olmaya devam etmektedir.