Çin devlet destekli Tuz Typhoon Hacking Group, ağ trafiğini gizlice izlemek ve ABD telekomünikasyon sağlayıcılarındaki siber saldırılarda hassas verileri potansiyel olarak yakalamak için Jumblathy adlı özel bir yardımcı program kullanıyor.
Salt Typhoon (aka Earth Astries, Ghostempor ve UNC2286), en az 2019'dan bu yana, öncelikle devlet kurumlarını ve telekomünikasyon şirketlerini ihlal etmeye odaklanan sofistike bir hack grubudur.
Son zamanlarda, ABD yetkilileri, tuz tayfunun ABD'deki Verizon, AT&T, Lumen Technologies ve T-Mobile dahil olmak üzere birkaç başarılı telekomünikasyon hizmeti sağlayıcının arkasında olduğunu doğruladılar.
Daha sonra Salt Typhoon'un bazı ABD hükümet yetkililerinin özel iletişimine girmeyi başardığı ve mahkeme yetkilendirilmiş telekleme talepleriyle ilgili bilgileri çaldığı ortaya çıktı.
Geçtiğimiz hafta, kaydedilen Future's Insikt Group, Salt Typhoon'un Aralık 2024 ile Ocak 2025 arasında ABD, Güney Amerika ve Hindistan'dan yarısından fazlası olan 1.000'den fazla Cisco Network cihazını hedeflediğini bildirdi.
Bugün, Cisco Talos, bazı durumlarda üç yıldan fazla süren ABD'deki büyük telekomünikasyon şirketlerini ihlal ettiklerinde tehdit oyuncunun faaliyeti hakkında daha fazla ayrıntı açıkladı.
Cisco, tuz typhoon hackerlarının temel ağ altyapısına öncelikle çalınan kimlik bilgileri ile sızdığını söyledi. Siber güvenlik şirketi, Cisco CVE-2018-0171 Kusurunun sömürülmesini içeren tek bir davanın yanı sıra, bu kampanyada sömürülen bilinen veya sıfır günleri başka hiçbir kusur görmedi.
Raporunda Cisco Talos, "Bu kampanya sırasında yeni Cisco güvenlik açıkları bulunmadı." Diyerek şöyle devam etti: "Salt Typhoon'un bilinen diğer üç Cisco güvenlik açığını kötüye kullandığına dair bazı raporlar olsa da, bu iddiaları doğrulamak için herhangi bir kanıt belirlemedik."
Salt Typhoon öncelikle çalınan kimlik bilgilerini kullanarak hedeflenen ağlara erişim kazanırken, kimlik bilgilerini elde etmenin kesin yöntemi belirsizliğini koruyor.
İçeri girdikten sonra, ağ cihazı yapılandırmalarından ek kimlik bilgilerini çıkararak ve kimlik doğrulama trafiğini (SNMP, TACACS ve RADIUS) ele geçirerek erişimlerini genişlettiler.
Ayrıca, hassas kimlik doğrulama verileri, zayıf şifreli şifreler ve ağ eşleme detayları içeren yanal hareketi kolaylaştırmak için TFTP ve FTP üzerinden cihaz yapılandırmalarını da eksiyorlar.
Saldırganlar, izlerini gizlemek için farklı ağ cihazları arasında sık sık dönme ve ortak telekom ağlarına pivot kullanmak için uzlaşmacı kenar cihazlarını kullanmak da dahil olmak üzere, kalıcı erişim ve kaçırma için gelişmiş teknikler gösterdiler.
Tehdit aktörleri ayrıca ağ yapılandırmalarını değiştirerek, konuk kabuk erişiminin komutları yürütmesini sağlayan, erişim kontrol listelerini (ACL'ler) değiştirmesini ve gizli hesaplar oluşturmayı gözlemledi.
Tuz tayfun saldırılarının birincil bileşeni, TCPDUMP, TPACAP, gömülü paket yakalama ve Jumblathy adlı özel bir araç gibi paket yakalama araçlarını kullanarak ağ etkinliğini izlemek ve verileri çalmaktı.
JumpedPath, X86_64 Linux tabanlı sistemler için inşa edilmiş GO tabanlı bir ELF ikili, Cisco Nexus cihazları da dahil olmak üzere farklı üreticilerden çeşitli kenar ağ cihazlarında çalışmasına izin veriyor.
Jumbledpath, tuz tayfunun, bir atlama konağı aracılığıyla hedeflenen bir Cisco cihazında paket yakalamasını başlatmasına izin verdi, yakalama isteklerinin ağ içindeki güvenilir bir cihazdan kaynaklanıyor ve aynı zamanda saldırganın gerçek konumunu gizliyormuş gibi bir aracı sistem.
Aynı araç, etkinliğinin izlerini silmek ve adli araştırmaları daha zor hale getirmek için mevcut günlükleri devre dışı bırakabilir ve mevcut günlükleri temizleyebilir.
Cisco, standart olmayan bağlantı noktalarında yetkisiz SSH aktivitesinin izlenmesi, eksik veya alışılmadık derecede büyük '.bash_history' dosyaları da dahil olmak üzere günlük anomalilerinin izlenmesi ve beklenmedik konfigürasyon değişikliklerini denetleme gibi tuz tayfun aktivitesini tespit etmek için çeşitli önerileri listeler.
Geçtiğimiz birkaç yıl boyunca, Çin tehdit aktörleri, ağ iletişimlerini izlemelerini, kimlik bilgilerini çalmalarını veya aktarılan saldırılar için proxy sunucuları olarak hareket etmelerine olanak tanıyan özel kötü amaçlı yazılımlar yüklemek için giderek daha fazla hedef alan ağ cihazlarını hedefliyorlar.
Bu saldırılar Fortinet, Barracuda, Sonicwall, Check Point, D-Link, Cisco, Juniper, Netgear ve Sophos gibi tanınmış üreticileri hedef aldı.
Bu saldırıların çoğu sıfır gün güvenlik açıklarından yararlanırken, diğer cihazlar tehlikeye atılmış kimlik bilgileri veya eski güvenlik açıkları ile ihlal edildi. Bu nedenle, yöneticiler, kullanılabilir oldukları anda ağ cihazlarını kenara koymalıdır.
Çinli hackerlar daha fazla ABD telekomunu ihlal etmemiş Cisco yönlendiricileri aracılığıyla ihlal ediyor
Beyaz Saray, dokuzuncu telekom ihlalini Çinli bilgisayar korsanlarına bağlar
Yeni FinalDraft Kötü Yazılım, gizli iletişimler için Outlook Posta Hizmetini Kötüye Kullanıyor
RA World Ransomware Saldırısı'nda konuşlandırılan Çin casusluk araçları
FCC, Salt Tyhpoon Hacks'den sonra ağlarını güvence altına almak için telekom sipariş ediyor
Kaynak: Bleeping Computer