Team Cymru güvenlik analisti, ABD savunma sanayi üssünün (DIB) ulus-devlet bilgisayar korsanlığı grupları için birincil hedef haline geldiğini, ancak küçük savunma müteahhitlerinin bu tehditleri tespit edecek ağ telemetrisinden kritik derecede yoksun olduğunu savundu.
Team Cymru'nun kıdemli tehdit istihbarat danışmanı Stephen Campbell, 29 Nisan'da yayınlanan bir makalede, son zamanlarda en kötü şöhrete sahip devlet destekli siber casusluk gruplarından bazılarının keşif ve ön konumlandırma operasyonlarına geçmişe kıyasla önemli ölçüde daha fazla zaman ayırmaya başladığını vurguladı.
Campbell tarafından açıklanan gruplar arasında Çin'in Volt ve Salt Typhoon'u, Rusya'nın Fancy Bear'ı (aka GRU Unit 26165) ve İran'ın UNC1549'u yer alıyor.
Uzmanların Görüşleri
Analiste göre, bu bilgisayar korsanlığı birimleri ağırlıklı olarak tek bir giriş noktasına güveniyor: İnternet yönlendiricilerini, güvenlik duvarlarını ve VPN ağ geçitlerini içeren uç altyapı.
Önemli Gelişmeler
Analist, 2025 yılında bu tür cihazlarda 14'ün üzerinde sıfır gün güvenlik açığının gözlemlendiğini kaydetti.
Campbell, "Volt Typhoon açık bir örnek. Kamuya açıklanmadan önce beş yıldan fazla bir süre boyunca ABD'nin kritik altyapısına erişimi sürdürdüler. Bu bir saldırı değil. Bu, savaş alanının siber uzayda gerçekleştirilen istihbarat hazırlığıdır" diye yazdı.
Uç cihazların bu şekilde hedef alınmasının, bu siber casusluk kampanyalarından bazılarının başarılı olmasının ana nedeni olduğunu öne sürdü.
Detaylar ve Etkileri
İnsanların ABD savunma sanayii üssüne ilişkin ortak imajı Raytheon veya Northrop Grumman gibi güçlü şirketleri içeriyor olsa da Campbell, DIB'nin yaklaşık %80'inin küçük ve orta ölçekli yüklenicilerden oluştuğunu kaydetti.
"Bu şirketler hassas veriler taşıyor. Sözleşmeler, teknik şartnameler ve izinlerle bağlantılı personel bilgileri" dedi.
Sonuç ve Değerlendirme
Bu küçük savunma firmalarının ABD DIB için ne kadar kritik olabileceğine rağmen Campbell, birçoğunun "asal oyuncularla aynı seviyede savunma yapacak kaynaklara sahip olmadığını", bunun da ellerinde tuttukları ile koruyabilecekleri arasında "bir uyumsuzluk" ortaya çıkardığını belirtti.
Analist özellikle, küçük DIB yüklenicilerinin uç nokta algılama yeteneklerine ve katı uç cihaz yama politikalarına sahip olma ihtimalinin daha düşük olduğunu, bunun da bu varlıkların "düzenli güvenlik izleme kapsamı dışında kalabileceği" anlamına geldiğini savundu.
Teknik Analiz
"Edge altyapısından elde edilen telemetri ayrıca, bu cihazların daha önce görülmemiş veya kısa ömürlü harici altyapılarla sıklıkla iletişim kurduğunu ve genellikle bu uç noktaların kötü amaçlı olarak kamuya açıklanmasından önce olduğunu gösteriyor" diye yazdı.
Ayrıca Campbell, Volt Typhoon gibi ulus devlet gruplarının özel kötü amaçlı yazılım dağıtmak yerine giderek daha fazla "yerel sistem araçlarına" güvendiğini söyledi. Bu "toprak dışında yaşama" (LOTL) yaklaşımı, bu aktörlerin geleneksel uç nokta uyarıları oluşturmadan çalışmasına olanak tanır ve genellikle "gözlemlenebilir tek göstergelerin" bulunduğu ağ düzeyini izlemeyi kritik hale getirir.
Nasıl Önlem Alınmalı?
Ulus devlet aktörleri ayrıca kötü amaçlı sunuculara güvenmek yerine bulut platformları, kod depoları ve ticari sanal özel sunucu (VPS) sağlayıcıları gibi meşru hizmetlerden giderek daha fazla yararlanıyor; bu da trafik kalıplarının normal kurumsal kullanıma benzemesi ve dolayısıyla tespitin daha da zorlaşması anlamına geliyor.
Bu "yapısal boşluğu" doldurmak için Campbell, küçük DIB yüklenicilerine uç cihazlarda NetFlow model tanımayı dağıtarak ağ telemetrisine öncelik vermelerini ve ulus devlet tehditlerini tespit etmek için altyapı haritalama yapmalarını, anında yama uygulama ve segmentasyon yoluyla altyapıyı güçlendirmelerini, anormal DNS ve yanal hareketi izleyerek ön konumlandırmayı aramalarını önerdi.