Salt Typhoon: Küresel Siber Tehditin Arka Planı
Salt Typhoon, son birkaç yıldır uluslararası siber güvenlik alanında önemli bir tehdit olarak kendini gösterdi. ABD Ulusal Güvenlik Ajansı (NSA) ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), bu siber saldırıların, Çin merkezli üç teknoloji şirketiyle bağlantılı olduğunu ortaya koydu. Bu şirketler, Çin’in Devlet Güvenlik Bakanlığı ve Halk Kurtuluş Ordusu gibi kritik devlet organlarına siber ürün ve hizmet sağlamaktadır.
Saldırıların Kapsamı ve Hedefler
Salt Typhoon kampanyaları, 2021 yılından bu yana dünya genelinde hükümet, telekomünikasyon, ulaşım, konaklama ve askeri ağlara yönelik geniş çaplı saldırılar gerçekleştirmiştir. Bu saldırıların amacı, hedeflerin iletişim ve hareketlerini izlemek için kullanılabilecek verileri çalmaktır. Özellikle son yıllarda, telekomünikasyon firmalarına yönelik yoğun saldırılarla, bireylerin özel iletişimlerini izleme faaliyetleri yürütülmüştür.
Ağ Donanımına Yönelik Saldırılar
Siber ve istihbarat ajanslarının 13 ülkedeki ortak raporu, Salt Typhoon’un ağ uç noktası cihazlarında sıklıkla bilinen ve çözülmüş zayıflıkları istismar etme konusundaki başarısını vurgulamaktadır. Saldırganlar, zero-day açıkları yerine, sistemdeki bilinen zayıflıkları kullanarak önemli başarılar elde etmiştir. Bunlar arasında:
- CVE-2024-21887 (Ivanti Connect Secure komut enjeksiyonu)
- CVE-2024-3400 (Palo Alto PAN-OS GlobalProtect uzaktan kod çalıştırma)
- CVE-2023-20273 ve CVE-2023-20198 (Cisco IOS XE kimlik doğrulama atlatma ve ayrıcalık yükseltme)
- CVE-2018-0171 (Cisco Smart Install uzaktan kod çalıştırma)
Bu zayıflıkları kullanarak, saldırganlar yönlendirme ve ağ cihazlarına erişim sağlayarak, erişim kontrol listelerini değiştirebilmekte ve SSH gibi bağlantı protokollerini etkinleştirebilmektedir. Beraberindeki rapor, bu tür cihazların hedefleri farklı olsa bile, her bir cihaza sızmanın yeni saldırı yolları açtığını belirtmektedir.
Zayıflıkların Farkında Olmak
NCSC ve NSA, bu zayıflıkların uzun süredir giderilmesine rağmen, kurumlardan patch yapma önceliğini vermeleri, ardından da cihaz yapılandırmalarını güçlendirmeleri, izinsiz değişiklikler için sürekli izleme yapmaları ve kullanılmayan hizmetleri kapatmaları konusunda uyarıda bulunmaktadır.
Ayrıca, Cisco Smart Install ve Guest Shell gibi özelliklerin gereksiz olduğunda devre dışı bırakılması önerilmektedir. CISA, daha önce yaptığı duyurularda, bu eski özelliklerin hem Çin hem de Rusya kökenli tehdit aktörleri tarafından nasıl istismar edildiğini gözlemlemiştir.
Salt Typhoon’un Geçmiş Faaliyetleri
Salt Typhoon’un faaliyetleri, telekomünikasyon sağlayıcıları ve devlet kurumlarına yıllardır süren siber saldırılarla doludur. Bu grup, AT&T, Verizon ve Lumen gibi önemli Amerikan carrier’larına sızarak, metin mesajları, sesli mesajlar ve Amerikan yasa uygulayıcılarının tel dinleme sistemlerine erişim sağlamıştır. Bu ihlaller, FCC tarafından telekomünikasyon firmalarının ağlarını güvence altına almalarını ve her yıl güncel siber güvenlik risk yönetim planı sunmalarını zorunlu kılmıştır.
Ayrıca Salt Typhoon, Cisco IOS XE’deki geciktirilmiş zayıflıklardan yararlanarak, ABD ve Kanada telekomünikasyon şirketlerine sızmış, burada GRE tünelleri oluşturarak sürekli erişim sağlamıştır. Saldırganlar, JumbledPath adında özelleştirilmiş bir zararlı yazılım kullanarak telekom ağlarından veri toplama ve izleme işlemlerini gerçekleştirmiştir.
Bunların yanı sıra, Salt Typhoon, 2024 yılında bir ABD Ordu Ulusal Muhafız ağında devasa bir ihlalin arkasında olduğu tespit edilmiştir. Bu süreçte, yapılandırma dosyaları ve yönetici sertifikaları çalarak, başka hükümet ağlarını tehlikeye atabilme potansiyeli yaratmıştır.
Sonuç
Salt Typhoon’un artan faaliyetleri, siber güvenliğin önemini bir kez daha gözler önüne sermektedir. Hem bireylerin hem de kurumların, siber tehditlere karşı daha proaktif bir yaklaşım benimsemeleri, güvenliğini sağlamak adına son derece criticaldir. Uzun süredir var olan zayıflıkların giderilmesi, siber casusluğun önlenmesi açısından kritik bir adımdır. Bu nedenle, yöneticilerin sürekli izleme yapması ve güncellemelere öncelik vermesi büyük bir önem taşımaktadır.
