Çin bağlantılı Salt Typhoon grubunun ABD’nin büyük telekom ağlarını ihlal etmesi medyanın geniş ilgisini çekti ancak ikinci bir tehdit aktörü de son aylarda telekom hizmet sağlayıcılarını hedef alıyor ve Başkan seçilen Donald Trump ve Trump’ın çağrı kayıtlarına sahip olduğunu iddia ediyor. Başkan Yardımcısı Kamala Harris.
Cyble karanlık web araştırmacıları, bu yılın başlarında İngilizce ve Rusça konuşulan siber suç forumlarında ortaya çıktıklarından beri “kiberphant0m” olarak bilinen bir tehdit aktörünün (TA) faaliyetlerini izliyor.
Ağustos ayının sonundan bu yana kiberphant0m, Verizon ve AT&T’den elde edildiği iddia edilen verileri ve erişimi satıyor; ayrıca TA’nın bu yılın başlarında gerçekleşen büyük Snowflake veri ihlalinden kaynaklandığını iddia ettiği ABD Ulusal Güvenlik Ajansı’na (NSA) ait olduğu iddia edilen “casus şemasına” ek olarak .
Bizi bu noktaya getiren telekom ağ güvenliğinin durumuna ek olarak kiberphant0m’in faaliyetlerine, güvenilirliğine ve olası bağlantılarına bakacağız.
kiberphant0m’in Arka Planı ve Bağları
kiberphant0m ilk olarak Ocak 2024’te İngilizce İhlal Forumlarında göründü. Mart ayında diğer konulara verilen birkaç yanıtın ardından TA, Çin kripto kumarhane veritabanından başlayarak ilk olarak Nisan ayında veri satmaya başladı. Aynı sıralarda bir Telegram kanalı da faaliyete geçti.
Diğer faaliyetler arasında satış yer almaktadır:
- Ukrayna hükümetinin araştırma sunucusuna erişim
- Bir savunma yüklenicisine erişim
- 175 TB’lık uygulama ihlali
- Bazı kritik altyapı sektörleri de dahil olmak üzere 95 alan adına sahip bir Çin sunucusuna kök erişimi
- Birleşik Krallık banka sunucusu erişimi
- Hint ve Asya telekom verileri ve erişimi
- Avrupalı bir biyomedikal şirketine erişim
- Mobil sosyal medya uygulamasına erişim
- SSH bot ve sunucu erişimi
- Linux DDoS botnet kaynak kodu
Yakın zamanda kiberphant0m, Snowflake ihlalinin arkasındaki mali motivasyonlu tehdit grubu olan UNC5537 ile bağlantı kurduğunu iddia etti. Bazı gönderilerde yakın zamanda tutuklanan ve Kanadalı yetkililer tarafından Snowflake ihlaliyle suçlanan Alexander “Connor” Moucka’nın takma adına atıfta bulunan #FREEWAIFU hashtag’i yer alıyor.
Tehdit istihbaratı araştırmacıları, kiberphant0m’in teknik konularda yeterlilik sergileyen bir komisyoncudan daha fazlası olduğuna inanıyor. UNC5537 ile iddia edilen bağlantı daha yakın zamanda ortaya çıktı ve ilişkinin kesinleşmesi için ek göstergelere ihtiyaç var. FREEWAIFU kampanyası diğer bağlantıları maskeleyen bir kılıf olabilir. Telekom ağı ihlallerinin Çin bağlantılı kampanyaya yakın zamanlaması da ilgi çekici.
Güvenlikten Krebs, dün kiberphant0m’in “Güney Kore’de görev yapan veya yakın zamanda konuşlanmış bir ABD Ordusu askeri” olabileceğini ve faaliyetin diğer takma adlarla 2022’ye kadar uzandığını bildirdi.
Kiberphant0m’in güvenilir olduğuna ve inandırıcı bir iddia geçmişine sahip olduğuna dair bir dereceye kadar güven vardır ve Breach Forums itibar puanı olumludur ve hiçbir tarafsız veya olumsuz geri bildirim yoktur.
Trump ve Harris Günlükleri Dahil Telekom İhlali İddiaları
5-6 Kasım tarihlerinde kiberphant0m, İhlal Forumlarında dört başlık oluşturdu; bunların üçü Verizon, AT&T ve NSA gönderisiyle ilgiliydi.
Trump ve Harris’in arama kayıtları, Harris’in 2022’deki aramalarının bir örneğini içeriyordu ve AT&T’yi (ATNT) kendileriyle iletişime geçmeye çağırdı (aşağıdaki resim). Başka bir gönderide, SQL veritabanı, sunucu günlükleri ve kimlik bilgileri de dahil olmak üzere, muhtemelen üçüncü taraf bir hizmet sağlayıcıdan alınan Verizon Wireless PTT (bas-konuş) günlükleri sunuldu.
Üçüncü gönderi Verizon Wireless SIM takas hizmetlerini sunuyordu ve dördüncüsü, NSA’ya ait olduğu iddia edilen Snowflake teknik veritabanı şeması gibi görünüyor (aşağıdaki resim).
Bu son ihlaller son derece hassas bilgiler içermiyor gibi görünüyor, ancak yine de özellikle telekom ağ güvenliğinin gevşek durumu göz önüne alındığında endişe verici.
Lax Telekom Ağ Güvenliği
Senato İstihbarat Komitesi Başkanı Mark R. Warner’ın (D-Virginia) geçen hafta Washington Post’a söylediği gibi, büyük ABD telekom ağları “eski ağların bir karışımıdır… bir dizi satın almanın birleşimidir ve orada çok eski ekipmanlara sahipsiniz” düzeltilemez.”
Muhtemelen bunların çoğu, yönlendiriciler ve anahtarlar gibi kullanım ömrünün sonuna gelmiş ekipmanlardır. Warner, Post’a, ağların hala tehlikede olduğunu ve bunları düzeltmenin “ülke çapında kelimenin tam anlamıyla binlerce, binlerce ve binlerce parça ekipmanın” fiziksel olarak değiştirilmesini gerektirebileceğini söyledi.
Üst düzey ulusal güvenlik yetkilileri, soruna ortak bir çözüm bulmak üzere geçen hafta sonlarında telekom sektörü yöneticileriyle bir araya geldi.
İlgili