Araştırmacılar, “Redmike” olarak da adlandırılan “Tuz Typhoon” olarak bilinen Çin devlet destekli grubun liderliğindeki sofistike bir siber-ihale kampanyası gözlemlediler.
Aralık 2024 ve Ocak 2025 arasında grup, telekomünikasyon sağlayıcılarını ve üniversiteleri hedefleyerek küresel olarak 1.000’den fazla açılmamış Cisco Network cihazından yararlandı.
Kampanya, kritik altyapının devam eden kırılganlığını ve devlet destekli siber aktörlerin yarattığı stratejik zeka tehditlerini vurgulamaktadır.
Teknik Sömürü Genel Bakış
Salt Typhoon, Cisco IOS XE yazılımında iki ayrıcalık artış güvenlik açıklarından yararlandı: CVE-2023-20198 ve CVE-2023-20273.
Ekim 2023’te açıklanan bu güvenlik açıkları, saldırganların Web Kullanıcı Arayüzü (UI) aracılığıyla ilk erişim elde etmesine ve kök seviyesi erişimi için ayrıcalıkları artırmasına izin verdi.
Saldırganlar tehlikeye atıldıktan sonra, jenerik yönlendirme kapsülleme (GRE) tünelleri oluşturmak için cihazları yeniden yapılandırarak kalıcı erişim ve gizli veri eklemesini sağlayarak yeniden yapılandırdı.
Cisco cihazlarında standart bir özellik olan GRE tünel protokolü, güvenlik duvarlarını ve saldırı algılama sistemlerini atlamak için kaldırıldı.
Bu, tuz tayfunun uzlaşmış cihazlar ile komuta ve kontrol altyapıları arasında gizli iletişim kanallarını korumasına izin verdi.
Hedeflenen kuruluşlar
Insikt Group, kampanyanın öncelikle telekomünikasyon sağlayıcılarını hedeflediğini ancak birden fazla ülkedeki üniversitelere yayıldığını belirtti. Kilit kurbanlar dahil:
Telekomünikasyon sağlayıcıları: İngiltere merkezli bir telekom sağlayıcısı, Güney Afrika telekomünikasyon şirketi ve İtalya ve Tayland’daki ISS’lerin iştiraki.
Üniversiteler: Arjantin, Bangladeş, Endonezya, Malezya, Meksika, Hollanda, Tayland, Vietnam ve UCLA ve Tu Delft dahil ABD kurumları.
Bu hedefler muhtemelen telekomünikasyon, mühendislik ve teknolojide en son araştırmalarla ilişkileri için seçilmiştir.
Hedeflenen cihazların yarısından fazlası ABD, Güney Amerika ve Hindistan’da bulunuyordu.
Araştırmacılar, küresel olarak 12.000’den fazla maruz kalan Cisco cihazını tespit ettiler, ancak Salt Typhoon’un kampanyasının bu cihazların yaklaşık% 8’ine odaklanarak oldukça seçici olduğunu belirtti.
Aralık 2024’te Myanmar merkezli telekom sağlayıcısı Mytel’e karşı keşif faaliyetleri de gözlenmiştir. Bu taramalar, casusluk amaçları için bölgesel ağlara sızma hedefleri önermektedir.
Tuz Typhoon’un faaliyetleri, teknik sömürünün ötesine stratejik zeka hedeflerine uzanır. Telekomünikasyon ağlarına kalıcı erişim, devlet destekli aktörlerin şunları yapmasını sağlar:
- İzleme İletişimi: Hassas konuşmaların gerçek zamanlı müdahalesi.
- Hizmetleri Kesmek: Jeopolitik çatışmalar sırasında potansiyel sabotaj.
- Veri akışlarını manipüle edin: Zeka veya propaganda amaçları için kritik bilgilerin değiştirilmesi.
Grubun yasal kesişme sistemlerine odaklanması ve yüksek profilli ABD siyasi figürleri, ulusal güvenlik tehditleri için güvenlik açıklarından yararlanma niyetinin altını çizmektedir.
Azaltma önlemleri
Bu tür tehditlere karşı koymak için kuruluşlar proaktif siber güvenlik önlemlerini benimsemelidir:
- Hemen CVE-2023-20198 ve CVE-2023-20273 gibi güvenlik açıkları için güncellemeler uygulayın.
- Web UI’lerinin kamuya açık cihazlara maruz kalmasını kısıtlayın.
- Yetkisiz yapılandırma değişikliklerini veya GRE tünel aktivitesini tespit edin.
- Hassas iletişim için uçtan uca şifreleme kullanın.
CISA ve FBI gibi devlet kurumları, dinleyen riskleri azaltmak için şifreli mesajlaşma uygulamalarının önemini vurguladı.
ABD Hazine Departmanı yakın zamanda, tuz tayfunun faaliyetlerine bağlı Çinli bir yüklenicisi olan Sichuan Juxinhe Network Technology Co., Ltd.
Bu, devlet destekli siber casusluğa karşı güçlü bir duruşa işaret ederken, uzmanlar bu tür kalıcı tehditlerle etkili bir şekilde mücadele için uluslararası işbirliğinin gerekli olduğunu vurgulamaktadır.
Salt Typhoon’un Cisco cihazlarından sömürülmesi, ilk erişim için eşleştirilmemiş altyapıyı hedeflemenin artan eğilimini örneklendiriyor. Devlet destekli aktörler tekniklerini geliştirmeye devam ettikçe, kuruluşlar gelişen siber tehditlere karşı uyanık kalmalıdır.
Find this Story Interesting! Follow us on Google News, LinkedIn, and X to Get More Instant Updates