Kritik Altyapı Güvenliği, Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Çinli Hackerlar Microsoft, Sophos, Fortinet ve Ivanti’nin Yamasız Ürünlerini Ele Geçiriyor
Mathew J. Schwartz (euroinfosec) •
24 Ocak 2025
Uzmanlar, ABD ve diğer telekomünikasyon ağlarına gizlice erişim sağlayan Çinli ulus-devlet bilgisayar korsanlarının, kurbanların yamamayı başaramadığı ağ donanımlarındaki bilinen kusurlardan düzenli olarak yararlandıkları konusunda uyardı.
Siber güvenlik firması Tenable, tarama verilerinin, grubun düzenli olarak yararlandığı kusurlardan biri nedeniyle potansiyel olarak risk altında olan 30.000 Microsoft Exchange Sunucusundan, 2021’de yayınlanan bir yamaya rağmen savunmasız sistemlerin %91’inin yamasız kaldığını gösterdiğini söyledi.
Saldırı kampanyasının arkasındaki, Çin hükümetine bağlı ve Salt Typhoon olarak takip edilen grubun yanı sıra Earth Estries, FamousSparrow, GhostEmperor ve UNC2286 da saldırıya uğradı. Dokuz ABD telekomünikasyon kuruluşunun yanı sıra düzinelerce başka ülkedeki telekomünikasyon tesislerine yapılan izinsiz girişlerle bağlantılı.
ABD Hazine Bakanlığı, 17 Ocak’ta kampanyaya katılımı nedeniyle kiralık özel bir Çin firmasını ve Çin’in sivil istihbarat teşkilatı Devlet Güvenlik Bakanlığı’na bağlı bir Çin vatandaşını tespit edip onayladı.
Grubun taktikleri, teknikleri ve prosedürleri hakkında kamuoyuna açık ayrıntılar gün ışığına çıkmaya devam ediyor. Tenable’da güvenlik müdahalesi personel araştırma mühendisi Scott Caveza Perşembe günkü bir blog yazısında, “Salt Typhoon genellikle kurban ağlarına ilk erişimi, bilinen güvenlik açıklarını kullanarak dışarıya bakan varlıkları hedef alarak elde ediyor” dedi.
Salt Typhoon tarafından kullanıldığı bilinen ve Tenable tarafından ayrıntılı olarak açıklanan kusurların kapsamlı olmayan listesi şunları içerir:
- Microsoft Exchange Server sunucu tarafı istek sahteciliği güvenlik açığı, diğer adıyla ProxyLogon, CVE-2021-26855;
- Sophos Güvenlik Duvarı kod ekleme güvenlik açığı, CVE-2022-3236;
- FortiClient Kurumsal Yönetim Sunucusu – FortiClientEMS – SQL enjeksiyon güvenlik açığı, CVE-2023-48788;
- Ivanti Connect Secure ve Ivanti Policy Secure komut ekleme güvenlik açığı, CVE-2024-21887;
- Ivanti Connect Secure ve Ivanti Policy güvenli kimlik doğrulama atlama güvenlik açığı, CVE-2023-46805.
İlk üç CVE’nin CVSS puanı 10 üzerinden 9,8 iken dördüncüsü 9,1’dir. Rakamlar, kusurların “ciddi” olduğunu ve güvenlik açıklarından bir cihazın kontrolünü ele geçirmek için uzaktan yararlanılabileceğini ve saldırganların ağın diğer bölümlerine yönelme potansiyeline sahip olabileceğini gösteriyor.
Tenable, “Bu beş CVE’den dördü sıfır gün güvenlik açığı olarak vahşi ortamda istismar edildi” dedi. “Salt Typhoon’un bu kusurlardan herhangi birini sıfır gün olarak kullanıp kullanmadığı bilinmemekle birlikte, grubun karmaşıklık düzeyi, saldırılarında sıfır gün kusurlarını geliştirip bunlardan yararlanma konusunda teknik yeteneğe sahip olduğunu gösteriyor.”
İyi bir siber savunmanın çeşitli saldırganlara ve niyetlere karşı koruma sağladığı gerçeğini vurgulayan Tenable, siber casusluk veya engelleme yürüten ulus devlet grupları, yasa dışı kar peşinde koşan suç grupları veya hacktivist niyetleri olan herkes olsun, beş CVE’den dördünün bu saldırılara karşı koruma sağladığını söyledi. ayrıca hem ulus devlet hem de fidye yazılımı gruplarının diğer saldırılarıyla da bağlantılıdır.
Yama Eksiklikleri
Tenable, Salt Typhoon ve benzerlerinin oluşturduğu tehdide rağmen birçok kuruluşun henüz güvenlik açıklarını ele almadığını, ProxyLogon nedeniyle risk altında olan 30.000 sistemin %91’inin sabit kalmadığını söyledi. Daha iyi haber, vurgulanan iki Ivanti güvenlik açığından savunmasız sistemlerin %92’sinin yamalı göründüğünün bulunmasıyla geliyor.
CISA, belirli CVE’leri belirtmeden Salt Typhoon’un Cisco donanımını hedef aldığı konusunda uyardı ve kullanıcıları, “tüm ağ cihazlarında Akıllı Kurulum otomatik yükleme özelliğini” devre dışı bırakmak da dahil olmak üzere ekipmanlarını kilitlemeye çağırdı.
Tenable’dan Caveza, saldırganların sabrı ve kararlılığının “kuruluşların halka açık cihazlara rutin olarak yama yapması ve bilinen ve istismar edilen güvenlik açıklarını hızlı bir şekilde azaltması hayati önem taşıyor” anlamına geldiğini söyledi. “Salt Typhoon’un kurban ağlarında gizli varlığını sürdürmesi ve önemli bir süre boyunca tespit edilmeden kalmasıyla biliniyor.”
Grubun kurbanı olduğu bildirilen ABD telekomünikasyon şirketleri arasında AT&T, Charter Communications, Consolidated Communications, Lumen Technologies, T-Mobile ve Verizon Communications ve Windstream yer alıyor. Yetkililer, hepsinin olmasa da bazılarının saldırganları altyapılarından çıkarmayı başardığını söyledi.
Geçen ay, o zamanın siber ve gelişen teknolojilerden sorumlu ulusal güvenlik danışman yardımcısı Anne Neuberger, tek bir Çin gelişmiş kalıcı tehdit grubunun o zamanki Başkan seçilen Donald Trump’ı, seçilen Başkan Yardımcısı JD Vance’i ve üst düzey olaylara karışan diğer bireyleri hedef aldığını söyledi. siyasi faaliyet”, geniş miktarda meta veri çaldı ve mahkeme tarafından yetkilendirilen telefon dinlemelerini işleyen sistemlere sızdı.
Telekom Savunmasını İyileştirme Çağrıları
Bazı telekomünikasyon şirketleri, keşfedilene kadar aylarca süren bu tür saldırılara karşı koruma sağlayacak yeterince sağlam savunmaya sahip olmayabilir. Biden yönetimindeki üst düzey yetkililer, bazı telekomünikasyon şirketlerinin zayıf siber güvenlik duruşunu eleştirerek bunun hack saldırılarının etkisini artırdığını öne sürdü.
Neuberger, Aralık 2024’te gazetecilere verdiği demeçte, “Çinliler teknikleri konusunda çok dikkatliydi. Günlükleri sildiler ve çoğu durumda şirketler yeterli sayıda günlük tutmuyordu” dedi. “Çinliler teknikleri konusunda çok dikkatliydi. Günlükleri sildiler ve Çoğu durumda şirketler yeterli günlük tutmuyordu.”
Biden yönetiminin son günlerinde üst düzey yetkililer daha çok şey yapılması gerektiğini söyledi. Jessica Rosenworcel geçen hafta Federal İletişim Komisyonu’nun başkanlığını sürdürürken, “Salt Typhoon’un ortaya çıkardığı güvenlik açıkları ışığında, ağlarımızı güvence altına almak için harekete geçmemiz gerekiyor” dedi.
Pazartesi günü Donald Trump’ın ikinci dönem başkanlığına başlamasıyla istifa eden Rosenworcel, “Mevcut kurallarımız modern değil” dedi. “Devlet destekli siber saldırıların başarılı olmamasını sağlamak için mücadele şansımız olsun diye bunları mevcut tehditleri yansıtacak şekilde güncellemenin zamanı geldi. Bu eylemi gerçekleştirmenin zamanı şimdi. Bekleme lüksümüz yok.”
Son eylemlerinden biri telekom şirketlerine siber güvenlik ve tedarik zinciri risk yönetimi planları oluşturmalarını söyleyen açıklayıcı bir karardı.
Bundan sonra hangi eylemin geleceği belli değil. Trump yönetimi Pazartesi günü tamamı gönüllülerden oluşan Siber Güvenlik İnceleme Kurulu da dahil olmak üzere İç Güvenlik Bakanlığı’nın tüm danışma komitelerini dağıttı. Sivil havacılık kazalarını araştıran Ulusal Ulaşım Güvenliği Kurulu’ndan esinlenerek tasarlanan Biden’ın oluşturduğu CSRB’nin görevi, “önemli siber olayları incelemek ve değerlendirmek ve özel ve kamu sektörlerinde iyileştirmelere yol açacak somut önerilerde bulunmak” oldu.
Pazartesi günü yayınlanan bir mektupta DHS, ayrılan danışma kurulu üyelerine şunları söyledi: “Yeniden başvurabilirsiniz.”
Dağıtılmadan önce CSRB, Salt Typhoon saldırılarını araştırıyordu. CSRB’nin yeniden oluşturulup oluşturulmayacağı, Trump’ın CISA planlarında olduğu gibi açık bir soru olmaya devam ediyor.