Çin Bağlantılı Siber İstihbarat Tehditleri: Salt Typhoon ve UNC4841
Son yıllarda siber güvenlik alanında, özellikle Çin ile bağlantılı tehdit grupları dikkat çekici faaliyetler göstermiştir. Bu gruplardan biri olan Salt Typhoon, telekomünikasyon hizmet sağlayıcılarını hedef alarak önemli bilgilere erişim sağlamaktadır. 2020 yılı itibarıyla kaydedilen domainler, bu grubun yalnızca son yıllarda değil, çok daha önceki faaliyetleri hakkında da bilgi sunmaktadır.
Tespit Edilen Domainler ve Etkileri
Güvenlik araştırmacıları, Salt Typhoon ve diğer bir Çin ile bağlantılı tehdit grubu olan UNC4841 ile ilişkili olan 45 adet yeni domain tespit etmişlerdir. Bu domainlerden bazıları 2020 yılının Mayıs ayına kadar uzanmaktadır ve bu durum, Salt Typhoon’un 2024 yıllarındaki saldırılarının ilk olmadığını göstermektedir. Silent Push tarafından yapılan analizler, bu domainlerin bazılarıyla UNC4841 grubunun da örtüştüğünü göstermektedir. UNC4841, Barracuda Email Security Gateway (ESG) cihazlarındaki bir güvenlik açığını kullanarak sıfır gün (zero-day) istismarında bulunmasıyla tanınmaktadır.
Salt Typhoon’un Faaliyetleri
2019 yılından bu yana aktif olan Salt Typhoon, özellikle Amerika Birleşik Devletleri’nde telekomünikasyon hizmet sağlayıcılarını hedef almasıyla geniş bir dikkat çekmiştir. Bu grubun, Çin Devlet Güvenlik Bakanlığı (MSS) tarafından kontrol edildiğine inanılmaktadır. Salt Typhoon’un faaliyetleri, Earth Estries, FamousSparrow, GhostEmperor ve UNC5807 gibi diğer gruplarla benzerlik göstermektedir.
Siber İstihbarat Tehditlerinin Önemi
Bu tür tehditler, yalnızca gizlilik ve güvenlik açısından değil, aynı zamanda finansal olarak da ciddi sonuçlar doğurabilmektedir. Salt Typhoon’un hedef almış olduğu telekomünikasyon sektörü, büyük mali kayıplara ve müşteri güvenini kaybetmeye yol açabilir. Özellikle, veri ihlalleri sonucunda ortaya çıkan bilgiler, hem bireysel kullanıcılar hem de büyük şirketler için büyük riskler taşımaktadır.
Domain Kayıtları ve Sahiplikleri
Silent Push tarafından yapılan bir diğer önemli tespit, bu domainlerin kaydında kullanılan Proton Mail e-posta adresleridir. Bu adresler, toplamda 16 domainin kaydı için kullanılmıştır ve genellikle var olmayan adreslerle ilişkilidir. Bu durum, saldırganların kimliklerini gizlemek için sahte personas kullanarak faaliyet gösterdiklerini göstermektedir.
IP Adres Analizleri
Tespit edilen 45 domainin IP adresleri incelendiğinde, birçoğunun yüksek yoğunluklu IP adreslerine yönlendirdiği görülmüştür. Yüksek yoğunluklu IP adresleri, birçok ana bilgisayar isminin mevcut veya geçmişte yönlendirildiği adreslerdir. Düşük yoğunluklu IP adreslerine yönlendiren birkaç domainin ise en eski faaliyetlerinin 2021 yılının Ekim ayına kadar gittiği tespit edilmiştir.
Risk Altında Olan Kurumlar Ne Yapmalı?
Silent Push, depolanan domainlerin herhangi birine erişim sağlama olasılığı bulunan tüm organizasyonlara önemli bir uyarıda bulunmaktadır. DNS logları kontrol edilerek son beş yıl içerisinde bu domainlere yönelik taleplerin varlığı araştırılmalıdır. Aynı zamanda, bu saldırganların faaliyet gösterdiği dönemde listelenen IP adreslerine yönelik taleplerin de incelenmesi önerilmektedir.
Sonuç Olarak
Salt Typhoon ve UNC4841 gibi grupların ortaya çıkması, siber güvenlik alanında sürekli bir tehditin var olduğunu göstermektedir. Geleneksel güvenlik önlemleri yetersiz kalabilir; bu nedenle, her kuruluşun kendini koruma yöntemlerini sürekli olarak güncellemesi gerekmektedir. Siber güvenliğe yönelik bu tehditlerin yoğunluğu, dikkatle izlenmeli ve gerekli tedbirler zamanında alınmalıdır.
