Giriş
Bir Çin bağlantılı tehdit aktörüne atfedilen uzun süreli ve devam eden bir kampanya, telekom ağlarına sızarak hükümet ağlarına karşı casusluk faaliyetleri yürütmektedir. Bu tür saldırıların arka planda nasıl gerçekleştiği ve uygun önlemlerin alınmanın önemi, günümüzde siber güvenlik açısından kritik bir konu haline gelmiştir.
Saldırı Nasıl Çalışıyor?
Saldırı, Red Menshen olarak bilinen bir tehdit grubunun yaptığı stratejik konumlandırma faaliyetleri ile başlamaktadır. Bu grup, Earth Bluecrow , DecisiveArchitect ve Red Dev 18 olarak da tanımlanmaktadır ve 2021’den bu yana Orta Doğu ve Asya’daki telekom sağlayıcılarına saldırılar gerçekleştirmektedir. Rapid7, bu gizli erişim mekanizmalarını “telekomünikasyon ağlarında karşılaşılan en sinsi dijital uyku hücreleri” olarak tanımlamaktadır.
Saldırı zinciri, internetten yönetilen altyapılara ve VPN cihazları, güvenlik duvarları gibi maruz kalan kenar hizmetlerine odaklanarak başlar. Tehdit aktörü, Ivanti, Cisco, Juniper Networks, Fortinet, VMware, Palo Alto Networks ve Apache Struts ile ilişkili hizmetlerden faydalanarak ilk erişimi sağlamaktadır. İlk aşamada elde edilen başarı sonrası, Linux uyumlu CrossC2 gibi geri bildirim çerçeveleri, bir dizi post-exploitation aktivitesini kolaylaştırmak için kullanılmaktadır.
Etkilenen Sistemler
Gözlemlenen kritik araç ve teknikler arasında, BPFDoor olarak bilinen bir Linux geri kapısı, pasif arka kapılar , kimlik bilgisi toplama araçları ve platformlar arası komut çerçeveleri bulunmaktadır. BPFDoor, iki temel bileşenden oluşmaktadır:
- Pasif bir arka kapı, gelen trafiği izleyerek belirli bir “sihirli” paket aldığında uzaktan bir shell açmaktadır.
- Diğer bileşen ise, saldırgan tarafından yönetilen bir kontrol cihazıdır ve özel biçimlendirilmiş paketleri göndermektedir.
Bu yönler, BPFDoor’un sadece bir sinsi Linux arka kapısından daha öte bir işlevselliğe sahip olduğunu göstermektedir. SCTP (Stream Control Transmission Protocol) destekleyen bazı BPFDoor kalıntıları, saldırganların telekom protokollerini izlemelerine ve abonelerin davranışlarını ve konumlarını gözlemlemelerine imkân tanımaktadır.
Çözüm ve Korunma
Son gelişmeler, siber tehdit aktörlerinin yöntemlerinin evrildiğini göstermektedir. Aşağıdaki önlemleri almanız son derece önemlidir:
- Güncellemeleri uygulayın: Tüm yazılımların ve sistemlerin güncel tutulduğundan emin olun.
- Port kapatma: Hassas dış hizmetler için yalnızca gerekli portları açık tutun.
- Ağ trafiğini izleyin: Şüpheli aktiviteleri belirlemek için ağ trafiğinizi sürekli izleyin.
Sonuç
Bu tür saldırılara karşı etkili bir savunma oluşturmak için kuruluşların güvenlik politikalarını yeniden gözden geçirmeleri ve güncel tehditleri dikkate alarak gerekli adımları atmaları gerekmektedir. Sistemlerinizi sıkı bir şekilde koruyun ve mümkünse ağ yapılandırmanızı gözden geçirerek sızma risklerini minimize edin.
