Salt Typhoon: Çin Kaynaklı Gelişmiş Sürekli Tehdit
Gelişmiş sürekli tehdit (APT) aktörü Salt Typhoon, dünya genelindeki çeşitli sektördeki ağları hedef almaya devam ediyor. Bu saldırılar, telekomünikasyon, hükümet, ulaşım, konaklama ve askeri altyapı gibi kritik sektörlerde yer alan kuruluşlara yöneliyor. Son günlerde yapılan ortak bir siber güvenlik uyarısında, Salt Typhoon’un faaliyetleri detaylandırıldı ve bu tehditlerin üç Çinli şirketle, Sichuan Juxinhe Network Technology Co., Ltd., Beijing Huanyu Tianqiong Information Technology Co., Ltd. ve Sichuan Zhixin Ruijie Network Technology Co., Ltd., bağlantılı olduğu bildirildi.
Salt Typhoon’un Taktikleri ve Hedefleri
Bu aktörler, büyük telekomünikasyon sağlayıcılarının kritik yönlendirme cihazlarına saldırarak çalışıyor. Özellikle, sağlayıcı köprü (PE) ve müşteri köprü (CE) yönlendiricilerinin yanı sıra, başka ağlara geçiş yapmak için kırılmış cihazlar ve güvenilir bağlantılardan faydalanıyorlar. Ulaşılan bilgilere göre, Salt Typhoon, 2019’dan bu yana sürekli bir casusluk kampanyası yürütmekte ve küresel telekomünikasyon gizlilik ve güvenlik normlarını ihlal etmeyi hedefliyor.
Bağlantılı Sektörler ve Küresel Etkiler
Yapılan araştırmalara göre, Salt Typhoon’un son hedefleri arasında 600’den fazla kuruluş bulunuyor. Bunların 200’ü ABD’de, diğerleri ise 80 ülkede faaliyet gösteren kurumlar. Hollanda istihbarat ve güvenlik hizmetleri, Salt Typhoon’un daha küçük internet servis sağlayıcıları ve barındırma sağlayıcılarının yönlendiricilerine erişim sağladığını, ancak bunların daha derin bir penetrasyon yaşamadığını belirtti.
Çin İstihbarat Servisleriyle İlişki
Bu üç şirket, Çin’in istihbarat servislerine siber ile ilgili ürün ve hizmetler sunmakta ve saldırılar sonucunda çalınan veriler, Beijing’in hedeflerin iletişimlerini ve hareketlerini global ölçekte takip etmesine yardımcı olmaktadır. ABD Federal Soruşturma Bürosu (FBI) Siber Bölümü Başkanı Brett Leatherman, Salt Typhoon’un faaliyetlerinin, dünya çapında telekomünikasyon ağları üzerinde kalıcı bir etkisi olduğuna dikkat çekti.
Salt Typhoon’un Kullanılan Zafiyetler
Salt Typhoon, ilk erişimini sağlamak için Cisco, Ivanti ve Palo Alto Networks gibi büyük teknoloji sağlayıcılarına ait yönlendiricilerdeki zafiyetlerden faydalanmakta. Örneğin, CVE-2018-0171 ve CVE-2023-20198 gibi açıklar, bu tehdit grubunun hedeflerine ulaşmasında önemli bir rol oynamaktadır.
Ayrıca, bu APT aktörleri, cihazların yapılandırmalarını değiştirerek ve GRE tünelleri oluşturarak ağlar içinde kalıcı erişim sağlamakta. Erişim Kontrol Listeleri (ACL) üzerinde değişiklik yaparak hukuki ip adreslerini eklemek, standart ve standart dışı portları açmak ve çalıştırılabilir komutlar ile ağ içinde hareket etmek için Linux konteynerleri kullanmaktadırlar.
Kimlik Doğrulama Protokolleri ve Ağ İçi Hareket
Salt Typhoon ayrıca, TACACS+ gibi kimlik doğrulama protokollerini de kullanarak ağ cihazları arasında yön değiştiriyor. Bu süreçte, ağ trafiği içindeki kimlik bilgilerini ele geçirerek derinlemesine sızma gerçekleştiriyorlar.
PCAP formatında veri toplama eylemleri, özellikle TACACS+ trafiğini yakalama amacıyla gerçekleştiriliyor. Bu, yönlendirici yönetimine ilişkin çok yetkili yönetici hesaplarının ve kimlik bilgələrinin ele geçirilmesini sağlıyor.
Tehdit İstihbaratı ve Küresel Etkiler
Google’a ait Mandiant, Salt Typhoon’un telekomünikasyon sistemlerine olan aşinalığının onlara önemli bir avantaj sağladığını belirtiyor. Bu tür tehdit grupları, akademisyenler, yükleniciler ve diğer destekleyicilerden oluşan bir ekosistemle birlikte hareket ediyor. Bu ekosistem, hem saldırı araçları geliştirmek hem de saldırı operasyonlarının yürütülmesinde önemli rol oynamaktadır.
John Hultquist, Google Tehdit İstihbaratı Grubu’nun Baş Analisti, konaklama ve ulaşım sektörlerinin hedef alınmasının, bireylerin detaylı takibini sağlamayı amaçladığını belirtiyor. Bu bilgiler, kişilerin kimlerle görüştüğünü ve nerelerde bulunduğunu anlamak için kullanılmaktadır.
Salt Typhoon’un böylesine büyük bir siber tehdit oluşturması, uluslararası güvenlik iş birliğinin önemini de artırıyor. Özellikle, bu tür gelişmiş tehditlerin engellenmesi ve bunlara karşı stratejilerin geliştirilmesi, tüm ülkeler için hayati bir öneme sahiptir. Gelecekte, bu tür siber saldırılara karşı daha proaktif yaklaşım ve uluslararası standartların geliştirilmesi bekleniyor.
