Çin hükümeti adına çalıştığından şüphelenilen siber saldırganlar, Kanada'da bir telekomünikasyon sağlayıcısını, 16 ay önce yaması yayınlanmış olan en yüksek ciddiyetteki bir güvenlik açığını istismar ederek ele geçirdiği bildirildi.
Kanada hükümetinin siber güvenlikten sorumlu ana kurumu, telekomünikasyon şirketlerini hedef alan kötü niyetli siber faaliyetlerin farkında olduklarını belirten bir açıklama yaptı. Açıklamada, "Sorumlu aktörler neredeyse kesin olarak Çin Halk Cumhuriyeti destekli devlet aktörleridir," denildi. ABD'li yetkililer de benzer bir açıklama yayınladı.
Önemli Bir Güvenlik Zafiyeti
Güvenlik araştırmacıları ve devlet yetkilileri tarafından dünya genelinde Çin Halk Cumhuriyeti adına siber saldırılar düzenlediği bilinen bu siber korsan grubu, Ekim 2023'te ortaya çıkarılan ve maksimum 10 ciddiyet derecesine sahip olan CVE-2023-20198 kimlikli bir güvenlik açığını istismar etmişti. HTTP veya HTTPS sunucu özelliği etkin olan ve internete açık olan Cisco'nun iOS XE işletim sistemini çalıştıran tüm anahtarlar, yönlendiriciler veya kablosuz LAN denetleyicileri bu açıktan etkileniyordu. Bir güvenlik firmasının raporu yayınlanmasından yaklaşık bir hafta sonra Cisco bir güvenlik yaması yayınladı.
Aynı siber korsan grubunun, geçen yıl ABD merkezli birçok telekom şirketini hedef alan saldırılarla da bağlantılı olduğu belirtiliyor. Yayın organları, adı açıklanmayan yetkililere dayandırarak, saldırganların muhtemelen aylarca süren gizli erişimlerini, devlet kurumları adına kullanılan yasal dinleme sistemlerini izlemek ve diğer internet trafiği türlerine erişmek için kullandığını yazdı.
Bu yılın Şubat ayında Cisco, aynı 2024 kampanyasındaki saldırganların yalnızca CVE-2023-20198'i değil, daha önce yamalanmış olan CVE-2018-0171 ve CVE-2023-20273 gibi başka güvenlik açıklarını da kullandığını belirtmişti. Cisco ayrıca, aynı grubun Kasım ayında yamalanan CVE-2024-20399 adlı daha yeni bir güvenlik açığını da kullandığını ifade etti.
Kanada siber güvenlik kurumu Pazartesi günü yaptığı açıklamada, adı açıklanmayan bir Kanadalı telekom şirketi tarafından işletilen üç ağ cihazının "büyük olasılıkla aynı siber korsan grubu tarafından Şubat 2024 ortasında ele geçirildiğini" duyurdu. Saldırganlar, CVE-2023-20198 açığını kullanarak cihazlardaki çalışan yapılandırma dosyalarını ele geçirdiler ve en az bir dosyayı, cihazların bağlı olduğu ağdan trafik toplamak için bir GRE tüneli oluşturacak şekilde değiştirdiler.
Pazartesi günü yayınlanan uyarılar, "Ayrı soruşturmalarda, kurumumuz, ortaklarımızdan ve endüstri raporlarından gelen, bu siber korsan grubuyla ilişkili kötü niyetli göstergelerle örtüşmeler tespit etti, bu da bu hedeflenmenin yalnızca telekomünikasyon sektörüyle sınırlı olmadığını göstermektedir," şeklinde ifade edildi. "Kanada'daki cihazların hedeflenmesi, tehdit aktörlerinin kurbanın dahili ağından bilgi toplamasına veya kurbanın cihazını başka hedefleri ele geçirmek için kullanmasına olanak tanıyabilir." Kurum yetkilileri, siber faaliyetlerin bazılarının "ağ keşfi/istihbaratı ile sınırlı olabileceğini" ekledi.
Hem Kanada hem de ABD'li yetkililer, saldırganların CVE-2023-20198'i istismar ettiğini doğruladı ancak yamanın Ekim 2023'ten beri mevcut olduğu gerçeğine değinmediler. Açığın ciddiyeti ve aktif olarak istismar edildiğinin bilinmesi göz önüne alındığında, Kanadalı telekom şirketinin bu açığı yamamış olmaması, kullanıcılar ve bağlı sistemler üzerinde potansiyel zarara yol açabilecek önemli bir güvenlik zafiyetidir. Kanadalı yetkililer, Çin devlet destekli siber saldırganların önümüzdeki iki yıl içinde de telekomünikasyon hizmet sağlayıcıları ve onların müşterileri dahil olmak üzere Kanadalı kuruluşları bu casusluk kampanyasının bir parçası olarak hedef almaya devam edeceğini neredeyse kesin olarak beklediklerini söyledi.
