Telekomünikasyon Servis Sağlayıcıları (TSP), birçok kritik altyapı sektörünün iletişim, koordinasyon ve kontrolü sürdürdüğü kanal görevi gören modern teknik toplumumuzun işleyişinin temelidir. Endüstriyel kontrol sistemleri (IC’ler) tipik olarak izole operasyonel ağlar/enklavlar içinde çalışırken, bazı kritik altyapı sektörleri, uzaktan izleme, veri iletimi veya dağınık siteler arasında güvenli bağlantı için TSP’lere bağlıdır. Örneğin, bu bağımlılık iletişim, enerji, su ve atık su, ulaşım, acil servis ve kritik üretim gibi sektörlerde görülür. TSP’nin kesişimi ve kritik altyapı, kötü niyetli aktörler için cazip bir hedef sunar, çünkü telekomünikasyon altyapısındaki zayıflıklar, birçok ileri süreli tehdit (APT) kampanyalarında görüldüğü gibi iletişimleri bozma, yakalama veya manipüle etme potansiyeli için bir kanal sağlayabilir.
Rakipler tarafından giderek daha fazla hedeflenen telekomlar
TSP’ler, hem altyapı hem de istihbarat ağ geçitleri olarak ikili rolleri nedeniyle siber rakipler için merkezi bir odak noktası haline geldi. Ukrayna’da kum kurdu, ABD’de ve küresel olarak tuz tayfası ve bir Guam TSP’ye karşı Volt Typhoon kampanyası gibi gruplar, telekomların siber operasyonlarda şimdi nasıl kritik düğümler olduğunu göstermektedir. Tehdit aktörleri, hassas zeka odaklı verileri ve abone bilgilerini hasat etmek ve finansal kazanç için fidye yazılımlarını dağıtmak için telekom ortamlarından yararlanır. Kritik olarak, bu erişimi diğer sektörlere (örneğin, enerji, acil servis veya askeri iletişim) yol açan gelişmiş keşif ve erişim bağımlılıkları için de kullanabilirler. Bir telekom sağlayıcının ortamına girdikten sonra, saldırganlar, çağrıların, mesajların ve verilerin nasıl yönlendirildiğini (SS7/çap) ve müşteri hesaplarını ve ağ işlemlerini (OSS/BSS) yönetmek için kullanılan platformları yöneten sistemlerden yararlanabilir. Ayrıca, iç ve müşteri trafiğini ele alan yönetilen altyapıyı – oyuncu yönlendiricileri, anahtarlar ve diğer ağ cihazları – hedefleyebilirler. Bunlar sadece telekom özel sistemleri değil, stratejik varlıklar. Buradan, rakipler sessizce gözlemleyebilir, verileri püskürebilir veya yanal olarak diğer bağlı sektörlere taşıyabilir. İhlal telekom düzeyinde tespit edilse bile, saldırganın zaten müşteri ağlarına dönmüş veya kendilerini yönetilen altyapıya gömmüş olması, gelecekteki bir fırsat beklemesi mümkündür. Küresel gerilimler arttıkça, bu ağlar artık tarafsız bir altyapı değil – arazilere itiraz ediyorlar.
Sektörler arası siber risk: Modern kampanyalardan alınan dersler
Son kampanyalar, tehdit aktörlerinin TSP’leri bir nihai hedef olarak değil, daha geniş kritik altyapıya geçiş olarak ihlal ettiklerine dair rahatsız edici bir eğilimin altını çiziyor. 2024’te Çin bağlantılı tuz tayfası, hem kimlik bilgisi kötüye kullanımı hem de uzun süredir devam eden yönlendirici güvenlik açıklarını kullanarak, hassas meta verileri hasat ve potansiyel olarak siyasi ve ulusal güvenlik çıkarlarına bağlı sistemlere erişerek büyük telekomlara sızdı. Benzer şekilde, Volt Typhoon (en az 2021’den beri aktif), enerji, su ve ulaşım gibi sektörler arasında telekom ve altyapı ağlarının içinde devam etmek için gizli, “arazinin dışında yaşamak” tekniklerini kullandı. Bu operasyonlar sadece casusluk veya kâr odaklı operasyonlar değil, gelecekteki aksamalar için beklenmedik durum planlamasını önermektedir. 2023’te Sandworm, Ukrayna’nın en büyük TSP’si Kyivstar’a sızdı ve yaklaşık 24 milyon kullanıcı için hizmetleri bozdu. Başlıklar esas olarak bu kampanyalarda kullanılan yıkıma ve bozulmaya odaklanırken, düşmanın gömüldüğü aylar, diğer hedeflere giden yolları değerlendirmek ve sakat TSP dışındaki operasyonları korumak için kullanılmıştır.
İleriye Bakış
Tehdit manzarası gelişmeye devam ettikçe, savunucular TSP’leri nihai hedef olarak gören değil, stratejik giriş olarak daha geniş ekosistemlere işaret eden rakiplere hazırlanmalıdır. Gelecekteki kampanyalar, sektörler arasındaki çizgileri bulanıklaştırmaya devam edecek ve TSP’lerden diğer kritik altyapıya eşleştirmeye ve hareket etmeye çalışmak için güvenilir bağlantılı güçten yararlanacaktır. Olay yanıtı genellikle doğrudan uzlaşmaya (kapsam, maliyet, otorite vb.) Odaklandığından, saldırganların bu kapsam dışında olması durumunda zaten nerede dönmüş olabileceğini değerlendirmek söz konusu olduğunda genellikle kör bir nokta vardır. Bu, hem sağlayıcı hem de müşteri ortamlarında entegre tehdit avı ve bilgi paylaşımı, yönetilen altyapı üzerindeki iyileştirilmiş telemetri ve proaktif sektörler arası işbirliğinin altını çizmektedir. Savunucular, saldırganın bir sektörde başka bir sektöre ulaşmak amacıyla yuva yapma yeteneğini bozmak için uzun oyunu, düşman hareketsiz dönemleri göz önünde bulundurmak için kapsamlarını sınırlama ve eradikasyonun ötesine genişletmelidir.
Yazar hakkında
Core4CE’ye sahip kıdemli bir güvenlik mühendisi olan Trea Zemaitis ve güvenlik açığı/penetrasyon testi değerlendirmeleri, bilgisayar adli tıp ve SOC operasyonları konusunda geniş deneyime sahiptir. Kariyeri, küresel güvenlik katılımlarına yol açtığı kamu ve özel sektör, danışmanlık ve askeri rolleri, kırmızı ve mor takımları içerecek şekilde kapsıyor. Trea ayrıca, oyun teorisine odaklanarak siber güvenlik ve ekonomide ileri derecelere sahiptir ve çok çeşitli gelişmiş endüstri sertifikalarına sahiptir.