Tuz Tayfunu, Yönlendirici Kusurları Aracılığıyla Telekom Şirketlerini Hedef Alıyor, FBI ve Kanada Uyardı
FBI ve Kanada Siber Merkezi'nden yeni yayınlanan bir duyuru, dünya çapında telekomünikasyon ağlarını hedef alan Çin bağlantılı bir grup tarafından yürütülen devam eden bir siber casusluk kampanyası konusunda uyarıyor. 20 Haziran 2025'te yayınlanan rapor, hassas verileri çalmak için yönlendiricilerdeki ve diğer uç ağ cihazlarındaki bilinen güvenlik açıklarını kullanan kötü şöhretli bir Çin APT grubu olan " Salt Typhoon "a işaret ediyor.
En azından Şubat ayından beri izlenen etkinlik, gizli erişim elde etmek, iletişim verilerini çalmak ve uzun vadeli kontrolü sürdürmek için ağ çevresindeki cihazları istismar etmeyi içeriyor. Belgelenen bir olayda, Kanada'daki bir telekomünikasyondaki üç ağ cihazı tehlikeye atıldı ve saldırganların arama kayıtlarını ve kullanıcı konumlarını ele geçirmesine olanak tanıdı.
Grup, hedeflenen cihazlardan yapılandırma dosyalarını çıkarmak için CVE-2023-20198 gibi güvenlik açıklarını kullanıyor. Bu Cisco Web UI açığı ilk olarak Ekim 2023'te tespit edildi ve yaygın olarak istismar edilerek 40.000'den fazla cihazı etkiledi.
FBI'ın tavsiyesine (PDF) göre, kampanya telekomünikasyon sağlayıcılarına odaklansa da, kullanılan taktikler daha geniş bir hedef yelpazesine uygulanabilir. Yönlendiriciler, güvenlik duvarları ve VPN cihazları gibi uç cihazlar, özellikle güncel olmayan aygıt yazılımları veya zayıf yapılandırmalar çalıştırıyorlarsa, özellikle savunmasızdır.
İçeri girdiklerinde, GRE (Genel Yönlendirme Kapsülleme) tünelleri dağıtırlar ve bu da ağ trafiğini kontrolleri altındaki sistemler üzerinden sessizce yönlendirmelerine olanak tanır. Bu teknik, geleneksel güvenlik tespitinden kaçınırken iletişimleri gözlemlemelerine veya manipüle etmelerine olanak tanır.
Hızlı veri hırsızlığını hedefleyen vur-kaç siber saldırılarının aksine, Salt Typhoon sessiz, uzun vadeli gözetlemeye odaklanmış görünüyor. Bu yaklaşım, parasal kazançtan ziyade stratejik istihbarat toplamayı önceliklendiren diğer bilinen devlet bağlantılı kampanyalarla uyumludur.
Saldırganlar sıfır günlük istismarları kullanmıyor. Bunun yerine, genellikle uzun süreler boyunca yamalanmamış halde bırakılan , genel olarak bilinen güvenlik açıklarına güveniyorlar. Bu, alarmları çalmadan zaman içinde erişim oluşturmalarına olanak tanır.
FBI ve Siber Merkez, telekomünikasyon ağlarının doğaları gereği hassas kişisel ve ticari veriler taşıdığı konusunda uyarıyor. Saldırganlar, bu trafiği yöneten cihazları tehlikeye atarak kullanıcı davranışları, fiziksel konumlar ve özel konuşmalar hakkında bilgi edinebilirler.
Duyuruda, bu kampanyaların devam etme olasılığının yüksek olduğu ve önümüzdeki iki yıl içinde daha da genişleyebileceği belirtiliyor.
Ortak uyarı, tek Kanada olayının ötesinde etkilenen şirketlerin adını vermedi ancak benzer faaliyetlerin küresel olarak gözlemlendiğine dikkat çekti. Bu nedenle, kuruluşlar uç cihazları güvence altına almaya, kötü amaçlı faaliyetler için ağ etkinliğini denetlemeye ve mevcut yamaları gecikmeden uygulamaya teşvik edilmektedir.
HackRead
