- Salt Typhoon adlı hack grubu, yıllar boyunca ABD telekomünikasyon ağlarına sızarak milyonlarca kişinin hassas verisini büyük ölçekte topladı
- Bu saldırı, Amerikalıları ayrım gözetmeden hedef alan, benzeri görülmemiş ölçekte bir casusluk faaliyeti olarak tanımlanıyor
- Çin hükümetiyle bağlantılı Salt Typhoon’u destekleyen şirketler 80'den fazla ülkede ihlaller gerçekleştirdi ve ABD'de yaklaşık 200 kurum etkilendi
- Saldırı sonucunda milyonlarca cep telefonu kullanıcısının konumu izlendi, internet trafiği gözetlendi ve bazı telefon görüşmeleri dinlendi
- FBI, bundan sonra daha sofistike siber tehditlerin sürekli artacağını öngörüyor ve güvenliğin güçlendirilmesi gerektiği uyarısında bulunuyor
Salt Typhoon casusluk kampanyasına genel bakış
- Çin devlet destekli bir hack grubu olan Salt Typhoon'un yıllar boyunca ABD'nin büyük telekom ağlarına sızarak çok sayıda Amerikalının kişisel verisini büyük miktarda topladığı, ABD FBI tarafından doğrulandı
- FBI Siber Daire Başkan Yardımcısı Michael Machtinger, medya ile yaptığı röportajda bu casusluk saldırısının neredeyse tüm Amerikalıların verilerini çalmış olabileceğini söyledi
- Önceden hassas olmayan kişilerin hedef alınmayacağı yönünde bir algı vardı, ancak Salt Typhoon vakası herkesin siber saldırıların hedefi olabileceğini ortaya koydu
Saldırının kapsamı ve arka planı
- Salt Typhoon'un siber casusluk faaliyetleri en az 2019'da başladı ve 2023 sonbaharında ABD hükümeti tarafından tespit edildi
- ABD dışında 12 ülkenin devlet kurumları da bu saldırının ciddiyetine ilişkin ortak bir uyarı yayımladı
- İhlalin kapsamı, ABD'nin 9 büyük telekom operatörünü ve devlet ağlarını aşarak 80'den fazla ülkedeki kurumlara kadar uzandı
- Yaklaşık 200 ABD kuruluşu etkilendi; bunlar arasında Verizon ve AT&T gibi büyük telekom şirketleri de yer alıyor
- Arka plandaki şirketler arasında Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology ve Sichuan Zhixin Ruijie Network Technology gösteriliyor
- Bu şirketler Çin Devlet Güvenlik Bakanlığı ve Halk Kurtuluş Ordusu için siber çözümler sağlıyor
Saldırı yöntemi ve zarar türleri
"Çin'in bu tür vekiller aracılığıyla yürüttüğü faaliyetler, siber casusluk sektöründe olağan kabul edilen seviyenin çok ötesine geçen, pervasız ve tehlikeli davranışlardır"
- Machtinger, bu olayı ABD içinde eşi benzeri görülmemiş derecede ciddi bir siber casusluk ihlali olarak değerlendirdi
- Salt Typhoon, ayrım gözetmeyen büyük ölçekli hedefleme ile milyonlarca cep telefonu kullanıcısının coğrafi konum bilgilerini, internet trafiğini ve hatta bazı telefon görüşmelerinin içeriğini izledi
- Etkilenenler arasında sıradan vatandaşların yanı sıra eski ve mevcut başkanlık yönetimlerinden 100'den fazla üst düzey yetkili de bulunuyor
- Bazı medya kuruluşları, Başkan Donald Trump ve Başkan Yardımcısı JD Vance'in de hedef alındığını bildirdi
- Özellikle üst düzey isimler, gerçek içeriklerin ele geçirilmesi gibi daha derin düzeyde bilgi sızdırma zararları yaşadı
Benzer Çin kaynaklı siber tehditler
- Salt Typhoon dışında Volt Typhoon grubu da yüzlerce eski yönlendiriciyi hackleyerek bir botnet kurdu ve ABD kritik altyapı ağlarına erişti
- Daha sonra bunun yıkıcı siber saldırılara hazırlık amacı taşıdığı doğrulandı
- Silk Typhoon grubu ise 10 yılı aşkın süredir BT ve bulut sağlayıcılarını hedef alarak kamu, teknoloji, eğitim ve hukuk gibi çeşitli alanlardan veriler çaldı
Diğer küresel siber tehditler
- Machtinger, Çin dışında Rusya, İran ve Kuzey Kore'nin yanı sıra yurt içi ve yurt dışındaki siber suç örgütleri ile fidye yazılımı gruplarının da her gün saldırılarını sürdürdüğünü belirtti
- Bu aktörlerin giderek daha gelişmiş saldırı yöntemleri kullanmasının beklendiğini söyledi
- Güvenlik farkındalığının artırılması, sistemlerin güncel tutulması ve eski ekipmanların değiştirilmesi gibi aktif siber güvenlik önlemlerinin gerekliliğini vurguladı
1 yorum
Hacker News görüşü
Güvenlik topluluğu, yasal dinleme (Lawful Access) kolayca otomatikleştirilirse kötü niyetli tarafların ağı mutlaka ihlal edeceği konusunda defalarca uyardı
Şu anda da Çin, CALEA ile zayıflatılmış sistemleri kullanarak ABD genelindeki ağ verilerini topluyor
Geçmişte NSA'in Google omurgasını dinlemesi, Room 641A, MAINWAY, Poindexter ve TIA, Palantir örnekleri düşünüldüğünde ABD de istisna değildi
NSA aslında hem savunma hem saldırı yapıyordu, ama onlarca yıldır yalnızca saldırıya odaklanan bir yapıya dönüştü; bunu yalnızca ABD'nin yapabileceğine inananlar fazla saftı
Kilitli bir kapı yalnızca anahtarı olan kişi tarafından açılabilir...
Ama anahtar olmadan da kilit maymuncuklanabilir, kapı yerinden kaldırılabilir, menteşeler sökülebilir, kapı kırılabilir, altından ya da üstünden geçilebilir, anahtarı olan kişi kandırılıp açtırılabilir; biraz hayal gücüyle daha pek çok yol bulunur
Pratikte bunun nasıl aşıldığını merak ediyorum
CALEA destekli yazılım sağlayıcısı mı ihlal edildi, yoksa birden fazla telekomünikasyon şirketinin kullandığı Mediator Device satıcısı mı saldırıya uğradı diye düşünüyorum
MD (Mediator device), akış yakalama (wiretap request) ve pcap kanıt yönetimi yapan bir yazılım cihazıdır
MD genelde ağ ekipmanlarında SNMP polling ile (r)span portlarını etkinleştirir, sonra tüm veriyi emip depolar
Teknik bilgi çok az olduğu için hangi satıcının, hangi ekipmanın ihlal edildiğini merak ediyorum
LI (Lawful Intercept) hakkında ayrıntılı açıklama için buraya bakılabilir
NSA'de çalışmış pek çok kişi artık NSO Group gibi özel güvenlik şirketleri için çalışıyor
Gelinen nokta ürkütücü, ama aldıkları maaş seviyesine bakınca aynı teklif bana gelse ben de düşünürdüm
Kulise dair ayrıntılar ilgini çekiyorsa Nicole Perlroth'un 'This Is How They Tell Me the World Ends' kitabını tavsiye ederim
Kitap çıktıktan sonra daha birçok olay yaşandı ama sahayı anlamak için hâlâ iyi bir kaynak
Belki de bu saçma karar, iktidardakilerin dış tehditlerden çok kendi vatandaşlarından korkmasından kaynaklanıyordur
Bunlar ahlaki üstünlük taslayan aptallar
Saldırgan operasyonları unutmuş değiller; büyük ihtimalle ya bunların hiç yaşandığını bilmiyorlardı ya da umurlarında değildi
Ben 3G GGSN düğümleri için yasal dinleme spesifikasyonu yazmış biriyim
Eski bir hikâye ama o dönemdeki spesifikasyon, ağ yönetim sistemlerinde dinleme kaydı bırakmayacak şekilde tasarlanmıştı
Bu yüzden operatör, dinleme yapıldığını bilemezdi; kolluk kuvvetleri de LI konsolundan doğrudan dinleme emri verebilirdi
O zamanki standartta trafiğin en fazla %3'ü dinlenebiliyordu ve buna hedef dahil, operatörün kendisinin de dinlemeden habersiz olduğu durumlar giriyordu
Yasal dinleme sistemleri kolay hackleniyor demiyorum, ama bir kez ihlal edilince kötüye kullanılıp kullanılmadığını tespit etmek çok zor
İhlalin ne zaman ve nasıl başladığından kimsenin emin olamamasının nedeni de bu
Biri içeri sızsa kimsenin haberi olmayacak gibi
Ağ altyapısına zorunlu devlet arka kapıları yerleştirmenin sonucu işte bu
Bu kadar kritik altyapıda güvenliğin böylesine zayıf olması inanılmaz
OPM hack'i ya da CIA'in çevrimiçi drop site yönetimindeki başarısızlığı düşünülünce, devletin güvenlik beceriksizliği artık hiç şaşırtmıyor
Telefon numarası kullanmayı tamamen bırakmayı ciddi ciddi düşünüyorum
Güvenlik çok zayıf ve telefon numarası sosyal güvenlik numarası kadar kimlik doğrulama aracı gibi kullanılıyor, ama aslında mutlaka sahip olunması gereken bir şey değil
En üst düzey devlet destekli saldırganlar, arka kapı olmasa bile teknik kapasite, kaynak ve ısrar sayesinde çoğu sisteme sızabilir
Suçu sadece koşulsuz biçimde arka kapılara atmak yerine, daha güçlü siber dayanıklılık ve daha iyi savunma kabiliyetleri gerekiyor
Çin'in ulusal ölçekte bir zafiyet toplama sistemi kurmasına ABD'nin nasıl karşılık verebileceğine dair Atlantic Council'ın son raporu okunmaya değer
Rapor bağlantısı
Bilgisayarlar asla %100 güvenli olamaz; özellikle devlet düzeyinde fiziksel donanım erişimi kolay olduğundan güvenlik eninde sonunda para meselesidir, sadece sıfırların sayısı artar
Salt Typhoon vakasında sıra dışı olan şey, 2024'te büyük çapta ortaya çıkmasına rağmen hâlâ tamamen kontrol altına alınmamış ve sürüyor olması
Çoğu olayda dersler sonradan yapılan analizlerle paylaşılır, ama bu olayda saldırganlar hâlâ ağın içinde ve veri sızıntısı devam ediyor
İlgili haber
CISA'nın resmî açıklaması burada görülebilir
Doge ve MAGA'nın o kurumun (CISA) personelini %30 azalttığı söyleniyor
Siber güvenlik ve altyapı güvenliğinin daha da önemli olduğu bir dönemde bürokratları kapı dışarı etmek gerçekten tam zamanında(!)
İlgili haber bağlantısı
Doğrudan devlet tavsiye bağlantısı: buraya bakın
“Çin bu tür eylemlerle casusluk alanındaki yerleşik normların ötesine geçen pervasız ve tehlikeli davranışlar sergiliyor” denmişti; casusluğun ‘standart’ı tam olarak ne demek, merak ediyorum
ABD istihbaratının PRISM, Upstream vb. ile dünya çapındaki iletişimi topladığı düşünülürse
buradaki ‘standart’ sanırım şimdiye kadar bunu yalnızca ABD'nin yapabildiği anlamına geliyor
Artık Çin de aynı seviyede bir rakip olmuş durumda
Sanırım kastedilen ‘standart’, yalnızca ABD hükümetinin kendi vatandaşlarına karşı yasa dışı kitlesel dinleme yapabilmesi
Çin bunu yapınca verilen tepki biraz “bunlar da kim oluyor?” gibi
Sanırım kast edilen şey, hedef gözetmeden saldıran ‘indiscriminate targeting’
FBI siber bölüm başkan yardımcısına göre, “Çin artık hassas alanlarda çalışmayan insanların bile hedef olmayacağından emin olamayacağı bir döneme girildi”
Ben casusların normları ya da bir kural kitabı olduğunu hiç sanmıyordum
Benim anlayışıma göre tek kural “yakalanmamak”tı
Belki de benim bilmediğim bir şey vardır
Sonuçta sadece insanların kafasında var olan yumuşak kurallar gibi duruyor
Bu haberle ilgili, hükümet dışında güvenilir başka kaynaklar olup olmadığını merak ediyorum
Bunun yaşanmış olması gayet olası görünüyor, ama geçmişte fazla yalan söylendiği için
şu an sadece hükümet açıklamasına dayanarak güvenmek zor; partizan olmayan üçüncü taraf kaynaklar daha ikna edici olurdu
Verizon belirli siyasetçilerin hedef alındığını söylüyor
İlgili bağlantı
Avustralya'daki güvenlik alanında çalışan bir arkadaşım, Çin'in ABD verilerinin neredeyse tamamına zaten sahip olduğunu söylüyor
ABD hükümeti bundan sonra da gözetimi giderek artırmaya devam edecek
ABD Beyaz Sarayı ve FBI'a göre Çinli hackerlar ayrım gözetmeden saldırarak milyonlarca kişinin cep telefonu konumunu takip etti, internet trafiğini izledi ve bazı durumlarda telefon görüşmelerini bile kaydetti
Kurbanlar arasında eski Başkan Donald Trump ve Başkan Yardımcısı JD Vance de vardı
Ben bu gözetimin baz istasyonlarına ya da altyapıya doğrudan bağlanılarak yapıldığını hayal etmiştim, ama Wikipedia sayfasına bakınca asıl yolun sunucu ihlalleri olduğu anlaşılıyor
AT&T sunucuları gibi yerler mi hacklendi diye merak ediyorum
Böyle durumlarda verilerimin çalınmasını önlemenin bir yolu var mı diye düşünüyorum
VPN kullansam bile, konum bilgisi üçgenleme ile alınabiliyorsa telefonu tamamen kapatmadıkça çare yok gibi görünüyor
Kaynak - Salt Typhoon metodolojisi
Böyle bir durumda verilerimin daha az çalınmasının tek yolu, telefon numarasını hiçbir yerde kullanmamak ve SIM kartı yalnızca veri için ayarlayıp sık sık değiştirmek/döndürmek olur
GDPR benzeri veri satışı/veri broker'lığı düzenlemelerinin en azından en kötü senaryoyu bir miktar engellediğini yeniden fark ediyorum
Bu hack'de de sonuçta bilgi kaynağı ihlal edilen taraftan gelmiş gibi görünüyor
Ama verilerin büyük kısmı zaten ‘gri olmayan piyasadan’ yasal olarak satın alınabildiği için, asıl sorun sektörün yapısında
Bir gazeteci, herkese açık konum verilerini satın alıp istihbarat çalışanlarını bulma deneyi bile yapmıştı
Daha az satılsa bile, kolayca hacklenebilecek yerlerde tutulduğu sürece bunun da sınırı var
Trump Başkan ve Başkan Yardımcısı JD Vance'in de kurbanlar arasında olduğundan söz edilmiş
Gazeteci, biraz daha neşeli olup Angela Merkel'den de yorum istese eğlenceli olurdu
Bununla bağlantılı olarak, İsrail'in de ABD telekom dinlemelerine karıştığını söyleyen bir haber var
İsrail hükümeti de Çin'le aynı yöntemlerle ABD ağlarına erişebilecek durumda gibi görünüyor