Salt Typhoon: Çin Destekli Siber Saldırı Grubu
Kanada merkezli Siber Güvenlik Merkezi ile FBI, Çin devlet destekli Salt Typhoon siber saldırı grubunun Kanada’daki telekomünikasyon firmalarını hedef aldığını doğruladı. Bu grubun, Şubat 2025’te bir telekom sağlayıcısına sızdığı bildirildi. Salt Typhoon’ın bu saldırısı, çok sayıda güvenlik açığına dayanan karmaşık bir stratejinin parçası olarak görülebilir ve siber güvenlik alanında alarm zilleri çalmaktadır.
Şubat 2025 Olayı: CVE-2023-20198 Açığı
Şubat 2025’te meydana gelen olayda, Salt Typhoon CVE-2023-20198 adı verilen kritik bir Cisco IOS XE güvenlik açığını kullandı. Bu açık, uzaktan doğrulanmamış saldırganların keyfi hesaplar oluşturmasına ve yönetici seviyesinde ayrıcalıklara erişmesine imkân tanıyordu. Açık, Ekim 2023’te ortaya çıktı ve o zamandan itibaren 10.000’den fazla cihazın bu zafiyetten etkilendiği rapor edildi. Ancak, Kanada’daki bazı büyük telekom sağlayıcılarından biri, hâlâ bu açığı yamamıştı, bu da Salt Typhoon’a cihazlara sızma imkanı sağladı.
Saldırıların Detayları: Ağ Cihazlarının Ele Geçirilmesi
Bir güvenlik bülteni, Şubat 2025 ortalarında bir Kanada telekomünikasyon şirketine kayıtlı üç ağ cihazının muhtemelen Salt Typhoon tarafından ele geçirildiğini belirtti. Saldırganlar, CVE-2023-20198 açığını kullanarak bu cihazların çalıştırılan yapılandırma dosyalarını ele geçirdi ve en az bir dosyayı, ağdan trafik toplamak üzere bir GRE tüneli yapılandıracak şekilde değiştirdi.
Bu tür saldırılar, hem veri güvenliği hem de kullanıcı gizliliği açısından büyük bir tehdit oluşturmaktadır. Telekomünikasyon sektöründe gerçekleştirilen bu tür saldırılar, yalnızca şirketlerin değil, aynı zamanda bu şirketlerden hizmet alan kullanıcıların da güvenliğini tehdit etmektedir.
Kanada’daki Diğer Hedefler ve Tehditler
Ekim 2024’te, Salt Typhoon’ın çok sayıda Amerikan genişbant sağlayıcısına yönelik saldırılarından sonra, Kanada’daki yetkililer, ülke genelindeki önemli kuruluşlara yönelik keşif faaliyetleri tespit ettiler. O dönemde herhangi bir gerçek ihlal onaylanmadı ancak, yetkililer, güvenlik önlemlerinin artırılması yönündeki çağrılarına rağmen bazı kritik hizmet sağlayıcılarının gerekli adımları atmadığını belirtti.
Siber Güvenlik Merkezi, Salt Typhoon’a bağlı olabilecek faaliyetin telekomünikasyon sektörünün ötesine geçtiğini, çok sayıda diğer sektörü hedef aldığını vurguladı. Çoğu durumda, bu faaliyetler keşif ile sınırlı kalsa da, iç ağlardan çalınan verilerin kapsamlı saldırılarda kullanılabileceği uyarısını yaptı.
Kritik Altyapılar ve Güvenlik Önlemleri
Kanada’daki siber saldırılar, önümüzdeki iki yıl boyunca neredeyse kesinlikle devam edecektir. Bu yüzden kritik kuruluşların ağlarını korumak için gerekli önlemleri almaları gerekmektedir. Telekomünikasyon hizmet sağlayıcıları, çağrı meta verileri, abone konum verileri, SMS içeriği ve hükümet/politik iletişim gibi kritik verileri işlediklerinden, devlet destekli casusluk grupları için birincil hedefler arasında yer almaktadır.
Saldırılar genellikle ağın sınırındaki kenar cihazlarını, yönlendiricileri, güvenlik duvarlarını ve VPN cihazlarını hedef almakta, ayrıca MSP’ler ve bulut hizmetleri sağlayıcıları da dolaylı saldırılara maruz kalmaktadır.
Salt Typhoon’ın Etkileri ve Sonuçları
Salt Typhoon’ın birçok telekom şirketine etkisi, dünya genelinde ciddi boyutlarda hissedilmektedir. AT&T, Verizon, Lumen, Charter Communications, Consolidated Communications ve Windstream gibi büyük firmalar bu saldırılardan etkilenmiştir. Geçtiğimiz hafta, Viasat da Salt Typhoon’un kendilerini tehdit ettiğini ancak müşteri verilerinin etkilenmediğini doğruladı.
Sonuç
Salt Typhoon ve benzeri grupların siber saldırıları, yalnızca belirli sektörlerde değil, geniş bir yelpazedeki kuruluşlar için büyük bir tehdit oluşturmaktadır. Bu tür saldırıları önlemek için, hem kamu hem de özel sektörün iş birliği yaparak güvenlik önlemlerini artırması gerekmektedir. Modern teknolojinin yarattığı olanaklardan faydalanarak, otomatik yama ve güncellemeler gibi proaktif yaklaşımlar geliştirmek, bu tehditlere karşı koymada kritik bir rol oynayacaktır.
