Çin Hükümeti Destekli Hacking Grubu: Salt Typhoon
Son yıllarda, siber güvenlik alanında yaşanan vakalar, devlet destekli hackerların ne denli sinsi saldırılar gerçekleştirdiğini gözler önüne seriyor. Bu bağlamda, Salt Typhoon adlı Çin merkeze bağlı hacking grubu, özellikle 2024 yılında Amerikan askeri ağlarına sızarak süregelen tehditlerin önemli bir örneğini oluşturdu. Bu yazıda, Salt Typhoon’un gerçekleştirdiği saldırı ve sonuçları ele alınacak.
Salt Typhoon’un Faaliyetleri
Salt Typhoon, Çin’in Devlet Güvenlik Bakanlığı ile ilişkili olduğu düşünülen bir hacking grubudur. Bu grup son iki yılda, dünya genelindeki telekomünikasyon ve broadband sağlayıcılarına yönelik gerçekleştirdiği saldırılarla adını duyurmuştur. AT&T, Verizon, Lumen, Charter, Windstream ve Viasat gibi büyük firmalara yönelik düzenlenen saldırılar, hassas çağrı kayıtları, özel iletişimler ve ABD hükümeti tarafından kullanılan dinleme sistemlerine erişim sağlama amacını taşımaktaydı.
Ulusal Muhafız Ağına Sızma
6 Haziran 2024 tarihli bir İç Güvenlik Bakanlığı (DHS) notuna göre, Salt Typhoon, bir ABD eyaletinin Ulusal Muhafız ağını dokuz ay boyunca istismar etti. Bu süre içinde, ağ diyagramları, yapılandırma dosyaları ve yönetici kimlik bilgileri çalındı. Bu bilgiler, diğer devlet ağlarını tehlikeye atmak için kullanılabilecek potansiyele sahipti.
Sızmanın Detayları
Notta, “Mart ile Aralık 2024 arasında Salt Typhoon, bir ABD eyaletinin Ulusal Muhafız ağını kapsamlı bir şekilde hedef aldı ve bu süreçte, ağ yapılandırmasını ve diğer eyaletlerdeki eşdeğerlerinin ağlarıyla olan veri trafiğini topladı,” ifadeleri yer almaktadır.
Salt Typhoon’un sızma yöntemleri arasında geçmişte kullanılmış daha önceki ağ topolojilerinin ve yapılandırma dosyalarının kullanılması dikkat çekmektedir. Bu dosyalar, kritik altyapıya erişim sağlamak ve hükümet ajanslarını tehdit etmek için kullanılmaktadır.
Ağ Yapılandırma Dosyalarının Önemi
Ağ yapılandırma dosyaları, yönlendiriciler, güvenlik duvarları ve VPN geçitleri gibi cihazlarda yapılandırılmış ayarları, güvenlik profillerini ve kimlik bilgilerini içermektedir. Bu bilgiler, bir saldırgan için son derece kıymetlidir; çünkü genellikle internete kapalı olan hassas ağlara erişim yollarını ve kimlik bilgilerini belirlemekte yardımcı olabilir.
DHS, 2023-2024 yılları arasında Salt Typhoon’un, 12 sektörde yaklaşık 70 ABD hükümeti ve kritik altyapı kuruluşuna ait 1.462 ağ yapılandırma dosyası çaldığını rapor etmiştir.
Hedef Alınan Zayıf Noktalar
Salt Typhoon’un Ulusal Muhafız ağını nasıl ihlal ettiğine dair kesin bir bilgi verilmemesine rağmen, bu grubun eski yüksek açık (vulnerability) olan ağ cihazlarını hedef aldığı bilinmektedir. Özellikle Cisco yönlendiricilerindeki zayıflıkları kullanarak saldırılar gerçekleştirmektedir.
DHS belgesinde, geçmişte bu tür ağlara sızmak için kullanılan bazı zayıflıklar detaylandırılmıştır:
- CVE-2018-0171: Cisco IOS ile ilgili uzaktan kod yürütmeye olanak tanıyan kritik bir açık.
- CVE-2023-20198: Cisco IOS XE web arayüzünde kimlik doğrulaması gerektirmeyen uzaktan erişim imkanı sağlayan sıfırıncı gün açığı.
- CVE-2023-20273: IOS XE‘ı hedef alan, saldırganların kök olarak komut yürütmesine imkan tanıyan ayrıcalık yükseltme açığı.
Saldırıların Etkileri ve Alınacak Önlemler
DHS notu, Ulusal Muhafız ve hükümet siber güvenlik ekiplerine, yukarıda belirtilen açıkların yamanması ve gereksiz hizmetlerin kapatılması, SMB trafiğinin bölünmesi, SMB imzasının uygulanması ve erişim kontrollerinin güçlendirilmesi gerektiğini vurgulamaktadır.
Bir Ulusal Muhafız İdaresi sözcüsü, NBC’ye sızmayı doğrulamış, ancak federal veya eyalet misyonlarını kesintiye uğratacak herhangi bir bilgi vermekten imtina etmiştir.
Sonuç
Siber güvenlik, devletler ve özel sektör için kritik bir alandır ve devlet destekli siber tehditler, her geçen gün daha da karmaşık hale gelmektedir. Salt Typhoon örneğinde olduğu gibi, siber saldırganlar, eski açıkları kullanarak önemli altyapılara sızma potansiyeline sahiptir. Özellikle ABD gibi ülkeler, sürekli olarak bu tür tehditlere karşı tetikte olmalı ve güvenlik önlemlerini en üst seviyede tutmalıdır.
