Avustralya, Kanada, Yeni Zelanda ve ABD tarafından yayınlanan ortak bir tavsiye niteliğindeki bildiride, Çin Halk Cumhuriyeti’ne (PRC) bağlı tehdit aktörlerinin telekomünikasyon sağlayıcılarını hedef alan geniş bir siber casusluk kampanyasına karşı uyarıda bulunuldu.
Devlet kurumları, “Bu tehdit aktörlerinin faaliyetleriyle ilişkili belirlenen istismarlar veya uzlaşmalar, kurban altyapısıyla ilişkili mevcut zayıflıklarla uyumlu; yeni bir faaliyet gözlemlenmedi.” söz konusu.
ABD yetkilileri söylenmiş Salı günü, tehdit aktörlerinin, izinsiz girişlerle ilgili soruşturmanın başlamasından yaklaşık altı ay sonra hala ABD telekomünikasyon ağlarında gizlendiğini bildirdi.
Saldırılar, Earth Estries, FamousSparrow, GhostEmperor ve UNC2286 olarak takip edilen faaliyetlerle örtüşen, Salt Typhoon olarak takip edilen Çin’deki bir ulus devlet grubuna atfedildi. Grubun en az 2020’den beri aktif olduğu biliniyor ve bazı eserler 2019 gibi erken bir tarihte geliştirildi.
Geçtiğimiz hafta T-Mobile, kötü aktörlerin sistemlerine sızma girişimlerini tespit ettiğini kabul etti ancak hiçbir müşteri verisine erişilmediğini kaydetti.
Saldırı kampanyasının haberi ilk kez Eylül ayı sonlarında Wall Street Journal’ın, bilgisayar korsanlığı ekibinin hassas bilgileri toplama çabalarının bir parçası olarak bir dizi ABD telekomünikasyon şirketine sızdığını bildirmesiyle duyuldu. Çin ise iddiaları reddetti.
Saldırılara karşı koymak için siber güvenlik ve istihbarat teşkilatları, kurumsal ağları güçlendirmek için uyarlanabilecek en iyi uygulamalara ilişkin kılavuz yayınladı:
- Anahtarlar, yönlendiriciler ve güvenlik duvarları gibi ağ cihazlarındaki tüm yapılandırma değişikliklerini veya değişikliklerini inceleyip araştırın
- Güçlü bir ağ akışı izleme çözümü ve ağ yönetimi yeteneği uygulayın
- Yönetim trafiğinin internete maruz kalmasını sınırlayın
- Anormallikler için kullanıcı ve hizmet hesabı girişlerini izleyin
- Farklı kaynaklardan gelen büyük miktarda veriyi analiz etme ve ilişkilendirme becerisiyle güvenli, merkezi günlük kaydı uygulayın
- Cihaz yönetiminin müşteri ve üretim ağlarından fiziksel olarak izole edildiğinden emin olun
- Gelen ve çıkan trafiği kontrol etmek için katı, varsayılan olarak reddedilen bir ACL stratejisi uygulayın
- Yönlendirici ACL’ler, durum bilgisi olan paket incelemesi, güvenlik duvarı özellikleri ve askerden arındırılmış bölge (DMZ) yapılarının kullanımı yoluyla güçlü ağ bölümlendirmesi kullanın
- Harici maruziyeti sınırlandırarak sanal özel ağ (VPN) ağ geçitlerini güvenli hale getirin
- Trafiğin mümkün olan en üst düzeyde uçtan uca şifrelendiğinden ve ağ üzerinden aktarılan verilerin güvenliğini sağlamak için TLS özellikli tüm protokollerde Aktarım Katmanı Güvenliği (TLS) v1.3 kullanıldığından emin olun
- Cisco Keşif Protokolü (CDP) veya Bağlantı Katmanı Keşif Protokolü (LLDP) gibi tüm gereksiz keşif protokollerinin yanı sıra Telnet, Dosya Aktarım Protokolü (FTP), Önemsiz FTP (TFTP), SSH v1, Köprü Metni Aktarımı gibi yararlanılabilir diğer hizmetleri devre dışı bırakın Protokol (HTTP) sunucuları ve SNMP v1/v2c
- İnternet Protokolü (IP) kaynak yönlendirmesini devre dışı bırakın
- Varsayılan şifrelerin kullanılmadığından emin olun
- Varsa güvenilir bir karma hesaplama yardımcı programını kullanarak kullanımdaki yazılım görüntüsünün bütünlüğünü doğrulayın.
- Ağ üzerinden veya internetten hiçbir ek hizmetin erişilebilir olmadığından emin olmak için bağlantı noktası taramasını ve internete açık olduğu bilinen altyapının taranmasını gerçekleştirin
- Donanım cihazları, işletim sistemi sürümleri ve yazılımlar için satıcının kullanım ömrü sonu (EOL) duyurularını izleyin ve mümkün olan en kısa sürede yükseltin
- Şifreleri güvenli karma algoritmalarla saklayın
- Şirket sistemlerine erişen tüm hesaplar için kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılın
- Oturum belirteci sürelerini sınırlayın ve oturum sona erdiğinde kullanıcıların yeniden kimlik doğrulaması yapmasını zorunlu kılın
- Rol Tabanlı Erişim Kontrolü (RBAC) stratejisi uygulayın ve gereksiz hesapları kaldırın ve ihtiyaç duyulmaya devam ettiğini doğrulamak için hesapları düzenli aralıklarla inceleyin.
Uyarıya göre, “Savunmasız cihazlara ve hizmetlere yama uygulanması ve genel olarak ortamların güvenliğinin sağlanması, izinsiz giriş fırsatlarını azaltacak ve aktörlerin faaliyetlerini hafifletecektir.”
Gelişme, Çin ile ABD ve Pekin arasındaki ticari gerilimlerin arttığı bir dönemde geldi ihracatın yasaklanması Çin’in yarı iletken endüstrisine yönelik baskılarına yanıt olarak Amerika’ya kritik mineraller olan galyum, germanyum ve antimonun gönderilmesi,
Bu hafta başında ABD Ticaret Bakanlığı duyuruldu 140 kuruluşa ihracatın kısıtlanmasının yanı sıra, Çin’in askeri uygulamalarda kullanılabilecek gelişmiş düğüm yarı iletkenleri üretme yeteneğini sınırlamayı amaçlayan yeni kısıtlamalar.
Çinli çip firmaları o zamandan beri taahhüt edilmiş Tedarik zincirlerini yerelleştirmek için ülkedeki endüstri birlikleri uyardı yerli şirketler ABD çiplerinin “artık güvenli olmadığını” söyledi.