Team Cymru güvenlik analisti Stephen Campbell, ABD savunma sanayi tabanının (DIB) devlet destekli hacker gruplarının birincil hedefi haline geldiğini ancak küçük savunma yüklenicilerinin bu tehditleri tespit etmek için kritik ağ telemetrisinden yoksun olduğunu savunuyor. 29 Nisan'da yayınlanan bir makalede Campbell, son zamanlarda en kötü şöhretli devlet destekli siber casusluk gruplarının keşif ve ön konumlandırma operasyonlarına geçmişe kıyasla çok daha fazla zaman ayırmaya başladığını vurguladı.
Campbell tarafından tanımlanan gruplar arasında Çin'in Volt ve Salt Typhoon'u, Rusya'nın Fancy Bear'ı (GRU Unit 26165) ve İran'ın UNC1549'u yer alıyor. Analiste göre, bu hackleme birimleri büyük ölçüde tek bir giriş noktasına güveniyor: internet yönlendiricileri, güvenlik duvarları ve VPN ağ geçitlerini içeren kenar altyapısı. Analist, 2025'te bu tür cihazlarda 14'ten fazla sıfır gün açığının gözlemlendiğini belirtti.
Campbell, 'Volt Typhoon net bir örnek. Kamuoyuna açıklanmadan önce beş yıldan fazla bir süre ABD kritik altyapısına erişimi sürdürdüler. Bu bir saldırı değil. Savaş alanının siber uzayda yürütülen istihbarat hazırlığıdır' yazdı. Bu kenar cihazların hedef alınmasının, bazı siber casusluk kampanyalarının başarılı olmasının ana nedeni olduğunu savundu. ABD savunma sanayi tabanının yaklaşık %80'inin küçük ve orta ölçekli yüklenicilerden oluştuğuna dikkat çeken Campbell, bu şirketlerin hassas verilere sahip olduğunu ancak büyük firmalar kadar savunma yapacak kaynaklara sahip olmadığını, bunun da 'bir uyumsuzluk' yarattığını söyledi.
Teknik Analiz
Küçük DIB yüklenicilerinin uç nokta tespit yeteneklerine sahip olma ve katı kenar cihaz yama politikaları uygulama olasılıklarının daha düşük olduğunu belirten analist, bu varlıkların düzenli güvenlik izlemenin kapsamı dışında kalabileceğini ifade etti. Campbell, devlet destekli grupların giderek artan bir şekilde özel kötü amaçlı yazılım yerine 'yerel sistem araçlarına' güvendiğini ve bu 'arazide yaşama' (LOTL) yaklaşımının, geleneksel uç nokta uyarıları oluşturmadan çalışmalarına olanak tanıdığını, bu nedenle ağ düzeyindeki izlemenin kritik olduğunu vurguladı. Bu yapısal boşluğu doldurmak için Campbell, küçük DIB yüklenicilerine kenar cihazlarda NetFlow desen tanıma ve altyapı haritalama dağıtarak ağ telemetrisine öncelik vermelerini, anında yama ve segmentasyon yoluyla altyapıyı güçlendirmelerini ve anormal DNS ile yanal hareketi izleyerek ön konumlandırma avı yapmalarını önerdi.