FBI ve Kanada’nın siber merkezinden yeni yayınlanan bir danışmanlık, dünya çapında telekom ağlarını hedefleyen Çin bağlantılı bir grubun devam eden bir siber casusluk kampanyası konusunda uyarıyor. 20 Haziran 2025’te yayınlanan rapor, “Tuz tayfası”Hassas verileri çalmak için yönlendiriciler ve diğer kenar ağ cihazlarında bilinen güvenlik açıklarını kullanan kötü şöhretli bir Çin apt grubu.
En azından Şubat ayından bu yana izlenen etkinlik, gizli erişim elde etmek, iletişim verilerini sifonlamak ve uzun vadeli kontrolü sürdürmek için ağ çevresindeki cihazlardan yararlanmayı içerir. Belgelenmiş bir olayda, Kanada telekomundaki üç ağ cihazı tehlikeye atıldı ve saldırganların çağrı kayıtlarını ve kullanıcı konumlarını kesmesine izin verdi.
Saldırı nasıl çalışır
Grup gibi güvenlik açıklarını kullanıyor CVE-2023-20198 Hedeflenen cihazlardan yapılandırma dosyalarını çıkarmak için. Bu Cisco Web UI kusuru ilk olarak Ekim 2023’te tanımlandı ve 40.000’den fazla cihazı etkileyerek yaygın olarak sömürüldü.
FBI’lara göre danışmanlık (PDF), kampanya telekomünikasyon sağlayıcılarına odaklanırken, kullanılan taktikler daha geniş bir hedef yelpazesi için geçerli olabilir. Yönlendiriciler, güvenlik duvarları ve VPN aletleri gibi kenar cihazları, özellikle modası geçmiş ürün yazılımı veya zayıf konfigürasyonlar çalıştırırlarsa, özellikle savunmasızdır.
İçeri girdikten sonra, GRE (jenerik yönlendirme kapsülleme) tünelleri kullanırlar ve ağ trafiğini kontrolleri altındaki sistemler aracılığıyla sessizce yönlendirmelerine olanak tanırlar. Bu teknik, geleneksel güvenlik tespitinden kaçınırken iletişimi gözlemlemelerine veya manipüle etmelerini sağlar.
Uzun süreli casusluk, hızlı isabet değil
Farklı Smash and-grab siber saldırıları Hızlı veri hırsızlığı hedefi, tuz tayfası sessiz, uzun vadeli gözetim üzerine odaklanmıştır. Bu yaklaşım, parasal kazanç üzerinde stratejik zeka toplama önceliklendiren bilinen diğer devlet bağlantılı kampanyalarla uyumludur.
Saldırganlar sıfır gün istismarlarını kullanmıyor. Bunun yerine, genellikle bilinen güvenlik açıklarına güveniyorlar, bunlar genellikle Unwched bırakılmamış uzun süre. Bu, alarm yükseltmeden zaman içinde erişim oluşturmalarını sağlar.
Risk Altında Neler
FBI ve Siber Merkez, telekom ağlarının doğası gereği hassas kişisel ve ticari veriler taşıdığı konusunda uyarıyor. Bu trafiği ele alan cihazlardan ödün vererek, saldırganlar kullanıcı davranışı, fiziksel konumlar ve özel konuşmalar hakkında fikir sahibi olabilirler.
Danışma, bu kampanyaların devam edeceğini ve önümüzdeki iki yıl içinde daha da genişleyebileceğini öne sürüyor.
Ortak uyarı, tek tek Kanada olayı ötesinde etkilenen şirketleri adlandırmadı, ancak benzer bir faaliyetin küresel olarak gözlemlendiğini belirtti. Bu nedenle, kuruluşlar kenar cihazlarını güvence altına almaya, kötü niyetli faaliyetler için ağ etkinliğini denetlemeye ve mevcut yamaları gecikmeden uygulamaya istenir.