ABD Şokta! Salt Typhoon 9 Ay Boyunca Ağa Sızdı, Tüm Yapılandırmaları Ele Geçirdi

ABD İç Güvenlik Bakanlığı’nın (DHS) 11 Haziran 2025 tarihli bir notuna göre, Salt Typhoon adlı Çin bağlantılı siber casusluk grubu, 2024 yılı Mart ile Aralık ayları arasında bir ABD eyaletinin Ulusal Muhafız (Army National Guard) ağına sızdı. Saldırganların, söz konusu süre boyunca fark edilmeden sistemde kaldığı ve kritik veriler topladığı tespit edildi.

Salt Typhoon, Çin Devlet Güvenlik Bakanlığı (MSS) ile bağlantılı olduğu düşünülen ve daha önce dünya genelinde telekom altyapılarına yönelik saldırılarla adını duyuran bir grup. Grup, AT&T, Verizon, Viasat gibi birçok şirketi daha önce hedef almış ve ABD hükümetiyle bağlantılı haberleşme verilerine erişim sağlamayı amaçlamıştı.

Ağ yapılandırmaları ve kimlik bilgileri ele geçirildi
DHS’nin notuna göre, Salt Typhoon’un bu saldırıda elde ettiği veriler arasında:

• Ağ şemaları,
• Yapılandırma dosyaları,
• Sistem yöneticisi kimlik bilgileri,
• Ulusal Muhafız personeline ait kişisel bilgiler yer alıyor.

Bu bilgiler, yalnızca hedef alınan eyaletle sınırlı kalmadı. Ulusal Muhafız’ın diğer eyaletler ve en az dört ABD bölgesiyle olan veri trafiği de saldırganlar tarafından izlendi. Saldırganların, bu verileri kullanarak diğer eyalet ve federal ağlara da sızma amacı taşıdığı belirtiliyor.

DHS notunda, grubun daha önce benzer yapılandırma dosyalarını kullanarak başka devlet kurumlarında güvenlik açıklarını tespit ettiği ve yeni saldırılar gerçekleştirdiği bilgisi de yer aldı. Ocak–Mart 2024 döneminde ABD’de iki eyalet kurumundan daha benzer verilerin sızdırıldığı ifade edildi.

Saldırganlar eski güvenlik açıklarını hedef aldı
Saldırının nasıl gerçekleştiği belirtilmese de, Salt Typhoon’un daha önce şu güvenlik açıklarını istismar ettiği biliniyor:

• CVE-2018-0171: Cisco IOS Smart Install açığı
• CVE-2023-20198: Cisco IOS XE web arayüzüne yetkisiz erişim sağlayan sıfır gün açığı
• CVE-2023-20273: Cisco IOS XE’de ayrıcalık yükseltme zafiyeti
• CVE-2024-3400: Palo Alto PAN-OS’ta komut enjeksiyonu açığı

DHS, saldırılarda kullanılan bazı IP adreslerini de paylaştı:
43.254.132[.]118, 146.70.24[.]144, 176.111.218[.]190, 113.161.16[.]130, 23.146.242[.]131, 58.247.195[.]208

Grubun daha önce siyasi kampanyaları ve yasa koyucuları hedef alan telekom altyapılarına sızarak iletişimleri izlediği ve bu süreçte JumblePath ve GhostSpider adlı özel yazılımlar kullandığı da biliniyor.

DHS’den önlem çağrısı
İç Güvenlik Bakanlığı, federal ve eyalet düzeyindeki siber güvenlik ekiplerine şu önlemleri almaları çağrısında bulundu:

• İlgili açıkların kapatılması,
• Gereksiz servislerin devre dışı bırakılması,
• SMB trafiğinin segmentasyonu,
• SMB imzalamanın zorunlu kılınması,
• Erişim kontrollerinin sıkılaştırılması.

Ulusal Muhafız Bürosu, ihlali doğruladı ancak hangi eyaletin etkilendiği veya olayın operasyonlara etkisi hakkında ayrıntı paylaşmadı. Çin’in Washington Büyükelçiliği ise saldırıyı doğrudan reddetmedi ancak Salt Typhoon’un Çin devletiyle bağlantılı olduğuna dair “kesin ve güvenilir bir kanıt” sunulmadığını savundu.

Kaynak: CUMHA - CUMHUR HABER AJANSI