Cisco Talos’un bir raporuna göre, “Tuz Typhoon” olarak adlandırılan son derece gelişmiş bir tehdit oyuncusu, büyük ABD telekomünikasyon ağlarını hedefleyen bir dizi siber saldırıda yer aldı.
2024’ün sonlarında başlayan ve ABD hükümeti tarafından onaylanan kampanya, Cisco cihazlarındaki güvenlik açıklarından yararlanmayı ve kritik altyapıya sızmak için çalıntı kimlik bilgilerinden yararlanmayı içeriyor.
Cisco güvenlik açıklarının sömürülmesi
Salt Typhoon’un operasyonları, çekirdek ağ sistemlerine erişmek için Cisco cihazlarındaki hem meşru kimlik bilgilerini hem de bilinen güvenlik açıklarını kullanmaları ile karakterize edilmiştir.
Grup öncelikle çalıntı giriş kimlik bilgilerine güvenirken, onaylanmış bir örnek, Cisco’nun akıllı kurulum özelliğinde bir güvenlik açığı olan CVE-2018-0171’in kullanımı içeriyordu.
Bu kusur uzaktan kod yürütülmesine izin verir ve önceki siber olaylarla bağlantılıdır.
Ayrıca, tuz tayfunun CVE-2023-20198, CVE-2023-20273 ve CVE-2024-20399 dahil olmak üzere bilinen diğer güvenlik açıklarından yararlanmaya çalışmış olabileceğini gösteren doğrulanmamış raporlar vardır.
Bu istismarlara rağmen, soruşturma sırasında yeni güvenlik açıkları bulunmadı.
Cisco Talos, bu bilinen kusurlarla ilişkili riskleri azaltmak için sistemleri yamalamanın ve en iyi uygulamalara bağlı kalmanın önemini vurguladı.
Teknikler ve kalıcılık
Salt Typhoon, bazı durumlarda üç yıla kadar uzatılmış ağlara erişim sağlayarak gelişmiş kalıcılık tekniklerini gösterdi.
Grup, algılamayı önlemek için yerleşik ağ araçları kullanarak “yer yaşamı” (LOTL) taktikleri kullandı.
Ana etkinlikler şunları içerir:
- Kimlik Bilgisi Hasat: Hassas kimlik doğrulama verilerini toplamak için SNMP, TACACS+ve RADIUS trafiğini yakalamak.
- Sınırlama Yapılandırması: Zayıf şifreli şifreler ve ağ ayrıntıları içeren cihaz yapılandırmalarının çıkarılması.
- Altyapı döndürme: Geri ihlal edilmiş cihazları atlama noktaları olarak kullanarak ağlar boyunca yanal olarak hareket edin.
- Yapılandırma değişiklikleri: Erişim kontrol listeleri (ACL’ler), geri döngü arayüzleri gibi cihaz ayarlarını değiştirmek ve yetkisiz yerel hesaplar oluşturma.
Saldırganlar ayrıca, çok hızlı bağlantılar yoluyla faaliyetlerini gizlerken uzaktan paket yakalama için tasarlanmış bir yardımcı program olan “JumbledPath” gibi özel yapım araçlarını da kullandı.
Tespitten kaçınmak için, tuz tayfası sıklıkla temizlenmiş kütükleri (örn. .bash_history– auth.log) ve kötü niyetli faaliyetleri tamamladıktan sonra orijinal durumlarına geri yüklenen cihaz yapılandırmaları.
Ayrıca kimlik doğrulama sunucularını değiştirdiler ve kalıcı erişim için yüksek portlu SSH sunucuları kullandılar.
Cisco Talos, olağandışı etkinlik için Syslog’ların, AAA günlüklerinin ve ağ davranışlarının güçlü izlenmesini önerir.
Kuruluşların kapsamlı yapılandırma yönetimi uygulamaları, çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmeleri ve akıllı kurulum gibi gereksiz hizmetleri devre dışı bırakmaları tavsiye edilir.
Telekomünikasyon sektörü bu kampanyanın birincil hedefi olmasına rağmen, Cisco Talos tuz tayfun tarafından kullanılan tekniklerin çeşitli endüstrilerde uygulanabileceği konusunda uyarıyor.
Bu saldırıların uzun süreli zaman çizelgesi, kritik altyapıya derin infiltrasyon yapabilen gelişmiş kalıcı tehditlere (APT’ler) karşı artan uyanıklık ihtiyacının altını çizmektedir.
Devam eden bu araştırma, düzenli güncellemeler, güçlü kimlik bilgisi yönetimi ve ağ segmentasyonu dahil olmak üzere proaktif siber güvenlik önlemlerinin önemini vurgulamaktadır.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here