Salt Typhoon: Çinli bilgisayar korsanları ve ABD telekomünikasyon ağlarına saldırıları
Salt Typhoon: Çinli bilgisayar korsanları ve ABD telekomünikasyon ağlarına saldırıları
Salt Typhoon nedir? Bir güvenlik uzmanı Çinli bilgisayar korsanlarını ve ABD telekomünikasyon ağlarına yaptıkları saldırıyı açıklıyor.
Amerikan telekomünikasyon ağının büyük bir bölümünü hedef alan, Çin hükümetiyle bağlantılı siber saldırılar (cyberattacks), ABD hükümetini alarma geçirdi. Senato İstihbarat Komitesi Başkanı Senatör Mark Warner (D-VA) bunu “ulusumuzun tarihindeki en kötü telekomünikasyon saldırısı” olarak nitelendirdi ve Rus ajanlar tarafından gerçekleştirilen önceki siber saldırıların bunun yanında “çocuk oyuncağı” gibi kaldığını belirtti.
Salt Typhoon adı verilen bir grup Çinli bilgisayar korsanının gerçekleştirdiği karmaşık siber saldırılar, 2022 yılına kadar uzanıyor. ABD’li yetkililere göre saldırının amacı, AT&T, Verizon, Lumen ve diğer şirketler tarafından işletilen yönlendiriciler (routers) ve anahtarlar (switches) gibi cihazları tehlikeye atarak Çinli operatörlere ABD genelindeki telekomünikasyon ağlarına kalıcı erişim (persistent access) sağlamaktı.
Bu saldırı, FBI (Federal Bureau of Investigation) ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (Cybersecurity and Infrastructure Security Agency- CISA)’nın, telefon şirketlerine ağlarının Çin bağlantılı diğer ihlallere karşı koymalarında yardımcı olduğu haberlerinin hemen ardından geldi. Önceki saldırı ise, 2024 başkanlık seçim adayları dahil Washington bölgesindeki hükümet veya siyasi görevlerde bulunan kişileri hedef alan bir operasyonun parçasıydı.
Ancak Salt Typhoon yalnızca Amerikalıları hedef almıyor. Güvenlik tedarikçisi Trend Micro’nun araştırması, Salt Typhoon tarafından gerçekleştirilen saldırıların son yıllarda dünyanın dört bir yanındaki diğer kritik altyapıları da tehlikeye attığını gösteriyor. ABD’li yetkililer de bu bulguları doğrulayarak endişe düzeyinin kayda değer olduğunu belirtti.
Çinli yetkililer, daha önceki siber saldırılarla ilgili iddialara yanıt verirken olduğu gibi, bu operasyonun arkasında kendilerinin olduğu iddialarını yalanladılar.
Bir siber güvenlik araştırmacısı olarak bu saldırının kapsamı ve ciddiyetinin gerçekten nefes kesici olduğunu düşünüyorum. Ancak böyle bir olayın gerçekleşmiş olması şaşırtıcı değil. Her büyüklükteki pek çok kuruluş hala iyi siber güvenlik uygulamalarını (cybersecurity practices) takip edemiyor, sınırlı kaynaklara sahip ya da etkin bir şekilde izlenmesi, yönetilmesi ve güvenliğinin sağlanması için çok karmaşık olan BT altyapılarını (IT infrastructures) işletiyor.
Ne kadar kötü?
Salt Typhoon, büyük kuruluşları korumak için kullanılan güvenlik duvarları (firewalls) gibi bazı siber güvenlik ürünlerindeki teknik açıklardan (technical vulnerabilities) yararlandı. Saldırganlar, ağa girdikten sonra erişim alanlarını genişletmek, bilgi toplamak, gizli kalmak ve ileride kullanmak üzere kötü amaçlı yazılım (malware) dağıtmak için geleneksel araçlar ve yöntemler kullandılar.
FBI’a göre Salt Typhoon, Çinli yetkililerin belirli kişilerin nerede, ne zaman ve kiminle iletişim kurduğunu gösteren büyük miktarda kayıt elde etmesini sağladı. Bazı durumlarda Salt Typhoon’un telefon görüşmelerinin (phone calls) ve kısa mesajların (text messages) içeriğine de erişim sağladığı belirtildi.
Salt Typhoon ayrıca, telefon şirketlerinin soruşturmalar kapsamında telefon numaralarının mahkeme kararıyla izlenmesini (court-ordered monitoring) talep etmek için kolluk kuvvetlerine sağladığı özel portalları veya arka kapıları (backdoors) da tehlikeye attı. Bu aynı zamanda ABD istihbaratı tarafından ABD içindeki yabancı hedefleri izlemek için kullanılan portalın aynısıdır.
Sonuç olarak Salt Typhoon saldırganları, karşı istihbarat kurumlarının (counterintelligence agencies) hangi Çinli casusları ve muhbirleri izlediği hakkında bilgi edinmiş olabilirler- bu bilgi, söz konusu hedeflerin bu tür bir izlemeden kaçmaya çalışmasına (evade surveillance) yardımcı olabilir.
Ne yapılabilir?
ABD’li yetkililer, Salt Typhoon’un hedeflerine ulaşma yollarının birçoğunun altyapıdaki mevcut zayıflıklardan geçtiğini söylediler. Daha önce de yazdığım gibi, en iyi siber güvenlik uygulamalarının hayata geçirilmemesi her ölçekteki kuruluş için yıpratıcı olaylara yol açabilir. Dünyanın ağa bağlı bilgi sistemlerine (networked information systems) ne kadar bağımlı olduğu göz önüne alındığında, özellikle telefon şebekesi gibi kritik altyapılar için saldırıların başarılı olmasını zorlaştıran siber güvenlik programlarının sürdürülmesi her zamankinden daha önemlidir.
Bu hafta başında Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından yayınlanan en iyi uygulamalar kılavuzunu takip etmenin yanı sıra, kuruluşlar tetikte olmalıdır.
Arka kapılar ve kötü adamlar
Hikâyenin gürültüsü içinde kaybolan şey, Salt Typhoon’un internet güvenliği topluluğunun onlarca yıldır yaptığı uyarıların doğru olduğunu kanıtlamış olmasıdır. Teknoloji ürünlerine zorunlu kılınan hiçbir gizli ya da özel erişimin keşfedilmeden kalması ya da sadece “iyi adamlar” tarafından kullanılması olası değildir- ve bunları zorunlu kılma çabaları muhtemelen geri tepecektir.
Bu nedenle, hükümetin Salt Typhoon casusluğuna karşı önerdiği önlemlerden birinin, telefon görüşmeleri (phone calls) ve kısa mesajlar (text messages) için güçlü şifreleme hizmetlerinin (strongly encrypted services) kullanılması olması, bir ironi olarak dikkat çekiyor. Çünkü hükümet, bu tür şifreleme yeteneklerini (encryption capabilities) yalnızca “iyi adamların” kullanabilmesi amacıyla onlarca yıl zayıflatmaya çalışmıştır.
Yazar Hakkında
Richard Forno, 2010 yılından bu yana sürdürdüğü akademik kariyeri boyunca Ulusal Bilim Vakfı (National Science Foundation- NSF), Savunma Bakanlığı (Department of Defense – DOD) ve ABD Ordusu (U.S. Army) tarafından siber güvenlikle ilgili araştırma fonları (cybersecurity research funding) almıştır.
Tercüme: Yavuz Aslan