Giriş:
Son dönem siber güvenlik raporları, devlet destekli hacker gruplarının, özellikle telekomünikasyon altyapılarına yönelik belirgin faaliyetlerini gözler önüne sermektedir. Cisco Talos tarafından tespit edilen “Salt Typhoon” adlı bu grup, 2024 yılından itibaren ABD telekomünikasyon ağlarını hedef alarak önemli güvenlik tehditleri yaratmaktadır. Çeşitli yöntemler kullanarak sistemlere sızan bu grup, uzun süreli erişim sağlayarak kritik bilgileri ele geçirme amacındadır.
Teknik Açıklamalar:
Salt Typhoon grubu, sadece kimlik bilgisi çalmayı değil, aynı zamanda Cisco’nun CVE-2018-0171 zafiyetinden de faydalanmıştır. Bu zafiyet, Cisco cihazlarının Smart Install özelliğindeki uzaktan kod yürütme ile ilgilidir. Grubun kullandığı en önemli tekniklerden biri de “living-off-the-land” (LOTL) yani sistemde mevcut araçları kullanma yöntemidir. Salt Typhoon, ağ cihazları arasındaki kötü yapılandırmaları kullanarak, birden fazla operatör sistemi arasında yayılım yapma yeteneğine sahiptir.
Bu hackerlar, zayıf şifreleme ile korunmuş SNMP topluluk dizelerini ve yerel hesap bilgilerini ele geçirerek, GRE tünelleri üzerinden lateral hareket etmektedir. Ele geçirilen yapılandırmalar üzerinden gizlice veri aktararak, diğer telekom şirketleri aracılığıyla ana hedeflerine ulaşmayı başarmaktadırlar.
Örnekler:
Salt Typhoon, saldırılarını gerçekleştirmek için JumbledPath adlı özel bir araç geliştirmiştir. Bu araç, Go dilinde yazılmış bir ELF ikili dosyasıdır ve Cisco Nexus cihazlarının Guest Shell ortamı üzerinden şifrelenmiş paket yakalama zincirleri oluşturur. Aşağıda JumbledPath kullanımına dair bir komut örneği bulunmaktadır:
“`
bash /usr/bin/sshd -p 57722
tpacap -i eth0 -w /tmp/capture.pcap
rm -f /var/log/auth.log /var/log/btmp
“`
Bu komut seti, uzaktan tcpdump oturumları başlatmakta ve sistem loglarını temizlemektedir. Ayrıca, saldırganlar, TACACS+ sunucu IP adreslerini değiştirerek kimlik doğrulama trafiğini izleme, GRE tünelleri oluşturarak gizli veri aktarımı yapma ve /etc/ altında yetkisiz SSH erişimi sağlamak için anahtar girişleri ekleme gibi çeşitli teknikler kullanmıştır.
Önlemler & En İyi Uygulamalar:
Salt Typhoon’un siber saldırılarından korunmak için bazı acil önlemler alınması gerekmektedir. Bunlar arasında, CVE-2018-0171 ve diğer ilgili zayıflıklara (CVE-2023-20198, CVE-2024-20399) yönelik hızlı bir yamanın yapılması bulunmaktadır. TACACS+/RADIUS yapılandırmalarında radikal sertleştirme gereklidir. Ayrıca, gereksiz hizmetlerin devre dışı bırakılması, NETCONF ve RESTCONF şifrelemesinin zorunlu hale getirilmesi, gelecekteki LOTL tabanlı saldırılara karşı önemli güvenlik önlemleri arasında yer almalıdır.
Sonuç & Özet:
Salt Typhoon grubunun siber casusluk amaçlı faaliyetleri, ABD telekomünikasyon altyapısını tehdit eden önemli bir güvenlik meselesi teşkil etmektedir. Bu grup, gelişmiş teknikler ve mevcut sistem zafiyetlerini kullanarak, uzun süreli erişim sağlamayı başarmaktadır. Güvenlik uzmanlarının, ilgili zafiyetleri gidermesi ve önerilen önlemleri alması gerekmektedir. Bu tür saldırılara karşı etkili bir koruma stratejisi geliştirilmeli ve sürekli olarak sistemlerin güvenliği sağlanmalıdır.
Kaynakça:
Cisco Talos Blog: https://blog.talosintelligence.com/salt-typhoon-analysis/
About the Author
