Çok faktörlü kimlik doğrulama için mobil cihazların artan kullanımı, telekom sağlayıcılarını siber suçlar için cazip bir hedef haline getirdi. “Scattered Spider” adlı Çinli bir tehdit aktörünün devam eden SIM kart değiştirme kampanyası, bu eğilimin en son örneğidir.
Scattered Spider, CrowdStrike araştırmacılarının son birkaç aydır takip ettiği bir APT grubudur. Grup, ilgili taşıyıcı ağlarına erişim elde etmek amacıyla bu telekom şirketlerini destekleyen telekom şirketlerini ve iş süreci dış kaynak kullanımı (BPO) firmalarını hedefliyor.
Taşıyıcı Ağ Üzerinden SIM-Jacking
Tehdit aktörünün bu erişimi elde ettiği en az iki durumda, SIM takas yapmak için kullandı, bir rakibin esasen başka bir kişinin telefon numarasını SIM kartına aktardığı bir işlem. Saldırganlar daha sonra ele geçirilen telefon numarasını, banka hesaplarına veya yasal kullanıcının telefonu ikinci bir kimlik doğrulama biçimi olarak kaydettirmiş olabileceği diğer herhangi bir hesaba erişmek için kullanabilir. SIM hırsızlığı ayrıca saldırganlara hileli cihazları güvenliği ihlal edilmiş ağlardaki hesaplara kaydetme ve ilişkilendirme yolu da sağlar.
Viakoo CEO’su Bud Broomhead, çok faktörlü kimlik doğrulama için mobil ağların yaygın kullanımının telekom sağlayıcıları üzerinde büyük bir hedef çizdiğini söylüyor. “Telekom sistemlerini ihlal etme çabaları her zaman olsa da, güvenlik için bunlara artan güven, onlara yönelik saldırıların sıklığını artırdı” diyor.
CrowdStrike’ın gözlemlediği kampanyalarda, Scattered Spider, BT personelinin kimliğine bürünerek ve bu kuruluşlarda çalışan kişileri kimlik bilgilerini kullanmaya veya bilgisayarlarına uzaktan erişim vermeye ikna ederek hedeflenen bir telekom veya BPO ağına ilk erişimi elde etti. Tehdit aktörleri, hedef ortamın içine girdikten sonra, taşıyıcı ağa erişim elde edene kadar – genellikle Windows Yönetim Araçları gibi meşru araçları kullanarak – yanal olarak hareket ettiler.
Grup, en az Haziran 2022’den bu yana birden fazla telekom firmasını hedef aldı ve her seferinde farklı hedeflere ilerlemeye devam etti, bu da CrowdStrike’ın kampanyayı “son derece ısrarcı ve küstah” bir tehdit olarak tanımlamasına neden oldu. Yakın zamanda CrowdStrike, Scattered Spider’ın bir güvenlik açığından yararlanarak kötü amaçlı çekirdek sürücüsü saldırı zincirinin bir parçası olarak.
CrowdStrike’ta istihbarattan sorumlu kıdemli başkan yardımcısı Adam Meyers, Scattered Spider’ın kampanyasının finansal amaçlı göründüğünü ve bu nedenle siber casusluk odaklı taşıyıcı ağlara yönelik birçok saldırıdan farklı olduğunu söylüyor.
Meyers, “Gördüklerimize göre, SIM değiştirmeye odaklanıyorlar” diyor. “İki faktörlü kimlik doğrulamanız olduğunda ve bir SIM takası yaptığınızda, bu kimlik doğrulamayı atlayabilirsiniz.”
Suç ve Casusluk
Scattered Spider gibi kampanyalar, taşıyıcı ağlara nispeten yeni bir tür saldırıyı temsil ediyor. Meyers, son yıllarda telekom şirketlerini hedef alan birçok kampanyanın bir tür istihbarat toplama faaliyetine odaklandığını ve genellikle Çin, İran ve Türkiye gibi ülkelerden gelişmiş kalıcı tehdit gruplarını içerdiğini belirtiyor. Amaç genellikle iletişimleri kesmek ve arama veri kayıtlarında (CDR’ler) bulunan ayrıntılı bilgileri toplamaktır, diyor. CDR’ler, bireyleri izlemek ve takip etmek için çok güçlü olabilir, diyor.
2019’da Cybereason, adını verdiği böyle bir kampanya hakkında rapor verdi. Operasyon Yumuşak HücreÇinli bir APT grubunun, CDR’leri çalmak için büyük bir telekomünikasyon şirketine ait operatör ağlarına sızdığı yer. Güvenlik satıcısı, o sırada kampanyanın en az 2012’den beri aktif olduğunu ve tehdit aktörüne hükümetin politikacıları, yabancı istihbarat teşkilatlarını, muhalifleri, kolluk kuvvetlerini ve diğerlerini hedef almasına yardımcı olacak verilere erişim sağladığını değerlendirdi.
2021’de CrowdStrike, Light Basin adlı bir tehdit aktörünün dünya çapında en az 13 telekom ağına girdiğini ve sistematik olarak Mobil Abone Kimliği (IMSI) verilerini ve kullanıcılara ilişkin arama meta verilerini çaldığı çok yıllı bir kampanyayı bildirdi. Tehdit aktörü, taşıyıcı ağlara arama ve metin mesajlarını, arama bilgilerini ve hedeflenen kişileri izlemek ve izlemek için kayıtları engellemesine izin veren araçlar yükledi.
Daha yakın bir zamanda, Bitdefender Çinli bir tehdit aktörünü gözlemlediğini bildirdi. Orta Doğu’daki bir telekom firmasını hedef alıyor bir siber casusluk kampanyasında. Bitdefender MDR operasyonları direktörü Danny O’Neill, “Saldırı, Çin’le bağlantılı olduğu bilinen bir APT grubu olan BackdoorDiplomacy’nin ayırt edici özelliklerini taşıyor” dedi. İlk uzlaşma, yandan yükleme tekniklerine karşı savunmasız ikili dosyaları kullandı ve muhtemelen Microsoft Exchange Server’daki ProxyShell güvenlik açığından yararlanmayı içeriyordu, diyor.
“APT içeri girdikten sonra, casusluk yapmak, ortamda yanal olarak hareket etmek ve tespit edilmekten kaçınmak için bazıları yasal ve bazıları özel olmak üzere birden fazla araç ve kötü amaçlı yazılım kullandı” diyor.
Daha Fazla Saldırı için Katalizörler?
Meyers ve diğerleri, önümüzdeki yıllarda genel olarak 5G ağlarının ve VoIP hizmetlerinin yaygınlaşmasının, tehdit aktörlerinin telekomünikasyon şirketlerine yönelik bu saldırıları gerçekleştirmesini kolaylaştıracağını düşünüyor. O’Neill, 5G gibi daha yeni telekomünikasyon hizmetlerinin siber saldırılara karşı hassas olduğunu çünkü çekirdek ağlar da dahil olmak üzere her şeyin yazılım tarafından tasarlandığını söylüyor. Bu, yazılım teknolojileriyle ilgili tüm risklerin taşıyıcı ağlarda da ortaya çıkacağı anlamına geliyor, diyor.
O’Neill, “5G’nin çok daha yüksek çalışma frekansları göz önüne alındığında, kapsama alanını sağlamak için daha fazla sayıda hücre, piko-hücre ve mikro-hücre gerekecek” diye belirtiyor. Saldırganın bakış açısına göre bu, daha fazla erişim ve giriş noktası anlamına geliyor, diyor.
Vulcan Cyber’in kıdemli teknik mühendisi Mike Parkin, “IP üzerinden ses teknolojisinin neredeyse evrensel olarak benimsenmesi, hemen hemen her ağı bir veri ağı haline getirdi ve ortamlar arasındaki çizgileri bulanıklaştırdı” diyor. “Eski usul sesli telekomünikasyonu günümüzün veri ağlarından ayırmak zor” diyor.
Yıkıcı Siber Saldırılar Neden Nadir Kalıyor?
Taşıyıcı ağlara yapılan saldırıların dikkate değer bir yönü, şimdiye kadar çok azının yaygın hizmet kesintilerine veya sabotajlara neden olma girişiminde bulunmasıdır – bu, diğer kritik altyapı sektörlerindeki kuruluşlara yönelik saldırılarda büyük bir endişe kaynağıdır. Cybereason, 2019 raporunda aslında saldırganların telekom ağındaki erişimlerini istedikleri hemen hemen her şeyi yapmak için nasıl kullanabileceklerine dikkat çekmişti: “Burada olduğu gibi, bir telekomünikasyon sağlayıcısına tam erişimi olan bir tehdit aktörü, pasif olarak istedikleri şekilde saldırın ve ayrıca ağı sabote etmek için aktif olarak çalışın.”
Bu, Meyers’in Scattered Spider kampanyası hakkında da paylaştığı bir değerlendirme.
Telekom altyapısına yönelik yıkıcı siber saldırıların şimdiye kadar gerçekleşmemiş olmasının bir nedeni, gerçekten gerekli olmamasıdır.
Netenrich’in baş tehdit avcısı John Bambenek, “Sinyal taşıyan ağlara yapılan saldırıların birincil motivasyonu casusluktur” diyor. “Kesinlikle sabotaj çıkarları var, ancak bunlar genellikle fiziksel çatışmanın yakınlığıyla ilişkilendiriliyor.” Örnek olarak, savaşın başlangıcında Ukrayna’nın telekom altyapısına yönelik Rus saldırılarına işaret ediyor.
Bir telekom ağına yıkıcı bir siber saldırı düzenlemek genellikle gerekli değildir çünkü daha basit başka seçenekler de mevcuttur. “Pek çok örneğini fiziksel nedenlerden kaynaklanan kesintiler görüyoruz. Yanlış yerde bir beko ile biraz kontrolden çıkmak, tüm metropol alanları için iletişimi kesintiye uğrattı” diyor.
Parkin, VoIP’ye geçişin, DDoS saldırıları gibi eski usul taktiklerin yakında bir operatör ağını bozmanın etkili bir yolu haline gelebileceği anlamına geldiğini ekliyor. Öyle olsa bile, diğer yöntemler daha kolay, diyor.
Parkin, “Bir levye, bir kablo kanalına erişebilir ve bir çift cıvata kesici, içerideki kabloları kısa sürede çalıştırabilir,” diyor. “Kablosuz iletişimleri devre dışı bırakmak daha gelişmiş ekipman gerektirir, ancak birkaç sinyal bozucu şaşırtıcı derecede geniş bir alanı kapatabilir.”
Kurtarmak için Regs
İleriye dönük olarak, hükümetler ve düzenleyici kurumlar telekom sektörünün siber saldırılara karşı güvenliğini sağlamada daha aktif bir rol üstlenmek zorunda kalacak. Parkin, gelecekte nelere ihtiyaç duyulacağına bir örnek olarak, ABD, Birleşik Krallık ve diğer hükümetlerin telekomünikasyon ağlarının merkezinde yer alan “yüksek riskli” satıcılar ve ekipman üreticilerine karşı önlemleri azaltmak için son adımlarına işaret ediyor.
O’Neill, “Uçtan uca siber güvenliğe ulaşmada hükümetin etkisi, en başta yönetişim ve düzenleyici gerekliliklere odaklanmalıdır” diyor. “5G gibi yeni hizmetleri dahil etmek için mevcut politikaların ve standartların geliştirilmesi ve güçlendirilmesi gerekiyor.”
Operatörlerin, kontrol edilmediği takdirde, güvenlik pahasına kullanılabilirliğe ve rahatlığa odaklanmaya karar vermelerinden korkuyor.