Çinli Hackerlar ABD’deki İnternet Sağlayıcılarını Hedef Alıyor

Lumen Black Lotus Labs’tan araştırmacılar, Çin hükümetiyle bağlantılı hackerların bir ağ yazılımındaki güvenlik açığını kullanarak Amerika Birleşik Devletleri’ndeki internet servis sağlayıcıları (ISP) hedeflediğini açıkladı.

Salı günü paylaşılan rapora göre, araştırma ekibi, kötü niyetli aktörlerin daha önce tanınmamış bir güvenlik açığı olan bir zero-day açığını, ülkedeki birçok ISP’ye hizmet veren Versa Networks tarafından sağlanan Versa Director sunucularında kullandığını keşfetti.

Şimdi CVE-2024-39717 olarak tanımlanan zafiyet, 22 Ağustos’ta kamuoyuna duyuruldu ve yeni bir güvenlik güncellemesi başlatıldı. 22.1.4’ten daha eski Versa Director sürümleri risk altında olabilir.

Araştırmalarına dayanarak, uzmanlar saldırıyı Volt Typhoon ve Bronze Silhouette adlı, Çin devleti tarafından desteklenen iki bilinen tehdit unsuruyla ilişkilendiriyor.

TechCrunch’a göre Volt Typhoon, “kritik altyapıları hedef almayı” amaçlıyor, görevi ise “gerçek dünyada zarar vermek”. Bu organizasyon ABD ordusunu aksatmak istiyor.

Araştırmacılar, “VersaMem” olarak adlandırdıkları bir güvenlik açığına bağlı, modüler yapılı özel bir web kabuğu keşfettiler. Bu web kabuğu, “kimlik bilgilerini ele geçirip aşağı akıştaki müşteri ağlarına yetkili bir kullanıcı olarak erişimi sağlamak” için kullanılıyor.

Araştırma, etkilenen cihazların küçük ofislerde ve ev ofislerinde bulunduğunu da ayrıntılarıyla belirtti. Black Lotus Labs, Haziran ayında dört ABD’li ve bir ABD dışı mağdur tespit etti. Kötü niyetli aktörler yönetici erişimini elde etti ve VersaMem web kabuğunu konuşlandırmayı ve sömürmeyi başardı.

Hackerlar, daha sonra Versa Network’e bağlı diğer ağlara erişmeye çalışıyordu. “Bu sadece telekomünikasyonlarla sınırlı değildi, aynı zamanda yönetilen hizmet sağlayıcıları ve internet servis sağlayıcılarını da içeriyordu,” dedi Mike Horka, TechCrunch’a konuşan güvenlik araştırmacılarından biri. “Daha fazla erişim sağlayan bu merkezi lokasyonlara saldırabilirler.”

Black Lotus Labs ve ABD hükümetinin Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) kuruluşlara hizmetlerini güncellemelerini, kötü niyetli aktiviteleri aramalarını ve herhangi bir bulguyu rapor etmelerini önerir.