Sitüasyonun Analizi: Telekomünikasyon Sektöründeki Tehditler
Son yıllarda, Güneydoğu Asya‘da yer alan telekomünikasyon kuruluşları, CL-STA-0969 adı altında tanımlanan bir devlet destekli siber tehdit aktörü tarafından hedef alınmıştır. Bu tür saldırılar, uzaktan kontrol sağlamayı amaçlarken, daha geniş bir siber güvenlik sorununu da gözler önüne sermektedir. Palo Alto Networks’un Unit 42 bölümü, 2024 yılı içerisinde bu bölgede meydana gelen çok sayıda olayı rapor etmiştir.
Saldırıların Karakteristikleri
Saldırılar, çeşitli araçların kullanılmasını ve Cordscan gibi özel yazılımların dağıtımını içeriyor. Cordscan, mobil cihazlardan konum verisi toplamak için tasarlanmış bir araçtır. Ancak araştırmacılar, incelenen ağlardan veya sistemlerden veri sızdırıldığına dair herhangi bir bulguya ulaşamadıklarını belirtmiştir. Aynı zamanda, saldırganların mobil ağlarda hedef cihazlarla iletişim kurma veya izleme çabasında bulunmadıkları vurgulanmıştır.
Renzon Cruz, Nicolas Bareil ve Navin Thomas‘ın belirttiği gibi, CL-STA-0969’un arkasındaki tehdit aktörleri, yüksek seviyede operasyon güvenliği (OPSEC)yle faaliyet göstermekte ve tespit edilmekten kaçınmak için çeşitli savunma aşındırma teknikleri kullanmaktadır.
Tehdit Gruplarının İlişkileri
Unit 42’nin tespitlerine göre, CL-STA-0969’un, CrowdStrike tarafından takip edilen ve Çin bağlantılı bir istihbarat grubu olan Liminal Panda ile önemli örtüşmeleri bulunmaktadır. Liminal Panda, 2020 yılından beri telekomünikasyon şirketlerini hedef alarak istihbarat toplama amacıyla saldırılar düzenlemektedir. İlginç bir şekilde, Liminal Panda’nın bazı operasyon teknikleri daha önce başka bir tehdit aktörü olan LightBasin ile ilişkilendirilmiştir.
LightBasin, 2016’dan beri telekom sektörünü hedef almış ve dolayısıyla başka bir grup olan UNC2891 ile örtüşen farklı suçlamalara maruz kalmıştır. UNC2891, ATMs üzerinde saldırılar gerçekleştiren finansal amaçlı bir çeteyi temsil etmektedir.
Topluluğun Güvenliği: Saldırı Yaklaşımları
Saldırıların analizine göre, CL-STA-0969’un en az bir kez SSH kimlik doğrulama mekanizmalarına karşı kaba kuvvet saldırıları gerçekleştirdiği düşünülmektedir. Bu girişimler, çeşitli zararlı yazılımların yüklenmesine olanak sağlamıştır. Bu yazılımlar arasında şunlar bulunmaktadır:
AuthDoor: Kimlik bilgisi çalmaya ve sürekli erişim sağlamaya yarayan bir kötü niyetli Pluggable Authentication Module (PAM).
Cordscan: Ağ taraması ve paket yakalama aracı.
GTPDOOR: Telekomünikasyon ağlarında özel olarak kullanılmak üzere tasarlanmış bir malware.
ChronosRAT: Uzaktan erişim, dosya işlemleri ve anahtar kaydı gibi işlevler sunan modüler bir yazılım.
Bu araçların yanı sıra, araştırmacılar, CL-STA-0969’un saldırgan shell script‘leri kullanarak ters SSH tünelleri kurduğunu ve günlükleri temizleyerek yüksek derecede OPSEC sürdürdüğünü tespit etmiştir.
Siber Güvenlik Stratejileri
Tehdit aktörleri, özellikle DNS tünelleme, mobil operatörler aracılığıyla yönlendirme, kimlik doğrulama günlüklerini silme ve güvenlik güçlerini devre dışı bırakma gibi stratejileri benimseyerek izlenmemek için çeşitli yöntemler geliştirmiştir. Aynı zamanda, işlem adlarını hedef ortam ile uyumlu olacak şekilde gizlemeye yönelik çabaları da dikkat çekmektedir.
Unit 42, CL-STA-0969’un telekom protokolleri ve altyapısına dair derin bir anlayışa sahip olduğunu vurgulamaktadır. Kullanılan yazılımlar ve teknikler, sürekli ve gizli bir erişimin sağlanmasına yönelik hesaplı bir çabayı ortaya koymaktadır. Bu hedeflere ulaşmada, Proxy kullanımı ve daha az denetlenen protokollerle veri tünelleme gibi yöntemler öne çıkmaktadır.
Uluslararası İlişkiler ve Siber Güvenlik
Tüm bu gelişmeler, global siber güvenlik ortamında büyük bir etki yaratmaktadır. Özellikle Çin’in siber saldırılarla ilgili iddiaları ve bunun yanındaki uluslararası gerilimler, bu durumu daha da karmaşık hale getirmektedir. CNCERT, ABD istihbarat ajanslarının Microsoft Exchange sıfır-gün açıklarını kullanarak önemli verileri elde etmeye çalıştığına dair suçlamalar ortaya koymuştur. Bu bağlamda, iki ülke arasındaki siber güvenlik ve veri güvenliği meseleleri daha görünür hale gelmiştir.
Tüm bu bilgiler ışığında, telekomünikasyon sektörü üzerindeki tehditler, siber güvenlik alanındaki gelişmeler ve ülkelerin stresi, uzmanların dikkatle takip etmesi gereken hususlar haline gelmiştir. Her ne kadar birçok siber tehdit tespit edilse de, bu mücadelede önlemler almak ve savunma mekanizmalarını güçlendirmek, gelecekteki saldırılara karşı en etkili yöntemlerden biri olarak öne çıkmaktadır.
