Salt Typhoon adlı tehdit aktörü, küresel ölçekte telekomünikasyon, hükümet, ulaşım, konaklama ve askeri altyapı sektörlerinde kritik ağ cihazlarını hedef almaya devam ediyor. Bu grup, özellikle büyük telekomünikasyon sağlayıcılarının ana omurga yönlendiricileri ile sağlayıcı ve müşteri kenarı yönlendiricilerine odaklanıyor ve ele geçirilen cihazlar üzerinden diğer ağlara geçiş yaparak kalıcı erişim sağlıyor.
Çin Bağlantılı Üç Kuruluş ve Küresel İşbirliği
13 ülkenin istihbarat ve siber güvenlik birimlerinin ortak uyarısında, Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology ve Sichuan Zhixin Ruijie Network Technology adlı üç Çinli şirketin bu faaliyetlerle bağlantılı olduğu belirtildi. Bu şirketlerin Çin istihbarat servislerine telekom ve internet servis sağlayıcılarına yönelik saldırılardan elde edilen verilerle küresel çapta hedeflerin iletişim ve hareketlerini izleme imkanı sunduğu ifade edildi.
Teknik Yöntemler ve Kullanılan Açıklar
Salt Typhoon, Cisco (CVE-2018-0171, CVE-2023-20198, CVE-2023-20273), Ivanti (CVE-2023-46805, CVE-2024-21887) ve Palo Alto Networks (CVE-2024-3400) gibi kritik açıklardan yararlanarak ilk erişimini sağlıyor. Ayrıca Fortinet, Juniper, Microsoft Exchange, Nokia yönlendiriciler ve Sonicwall gibi çeşitli cihazları da hedefleyebiliyor. Ele geçirilen cihazlarda yapılandırma değişiklikleri, GRE tünelleri ve ACL modifikasyonları ile kalıcı erişim ve veri sızdırma sağlanıyor. Terminal Access Controller Access Control System Plus (TACACS+) protokolü kullanılarak ağ cihazları arasında yatay hareket ve kimlik bilgisi yakalama gerçekleştiriliyor.
Operasyonel Farklılıklar ve Tehdit Kümeleri
Google’ın Mandiant ve Tehdit İstihbarat Grubu (GTIG) tarafından yapılan analizler, Salt Typhoon’un UNC5807 tehdit kümesiyle örtüştüğünü ancak UNC2286 ve GhostEmperor gibi diğer gruplardan operasyonel ve motivasyon açısından farklı olduğunu ortaya koyuyor. UNC5807, sınırlı bir kötü amaçlı yazılım ailesi kullanırken, UNC2286 daha geniş bir araç yelpazesiyle finansal saldırılar ve fidye yazılımı faaliyetleri yürütüyor. Salt Typhoon’un faaliyetleri ise daha çok siber casusluk amaçlıdır.
Sonuç ve Değerlendirme
Salt Typhoon’un telekomünikasyonun yanı sıra konaklama ve ulaşım sektörlerini hedef alması, bireylerin iletişim ve hareket bilgilerinin izlenmesine olanak tanıyor. Bu durum, yüksek ayrıcalıklı ağ yöneticisi hesaplarının ele geçirilmesi ve ağlarda yatay hareketle geniş çaplı sızmaların gerçekleşmesi riskini artırıyor. Siber güvenlik profesyonelleri için bu tehdit aktörünün kullandığı teknikler ve hedef cihaz çeşitliliği yakından takip edilmelidir.