Siber Muhbir

Vol Typhoon, aslında yeni bir isim değil. 2021’den bu yana aktif olduğu bilinen ve Çin hükümeti tarafından desteklenen bir tehdit aktörü. Ancak asıl şöhretini, 2023’te Microsoft’un tesadüfen fark etmesiyle kazandı. Bu tehdit, klasik kötü amaçlı yazılımlar gibi açıkça iz bırakmıyor. Bunun yerine, sistemlerin kendi araçlarını kullanarak (bir başka deyişle “living off the land” teknikleriyle) güvenlik duvarlarını ustalıkla atlıyor. Bu durum, yalnızca saldırıların tespit edilmesini zorlaştırmakla kalmıyor, aynı zamanda güvenlik ekiplerinin işini kabusa çeviriyor.

İlk Erişim ve Sızma Taktikleri

Vol Typhoon’un yöntemi oldukça etkileyici ve bir o kadar da tehlikeli:

• İnternete bağlı cihazlar: Yönlendiriciler, modemler ve IP kameralar gibi cihazlarda sıfır gün açıklarından faydalanıyorlar. Bu sayede ağlara sızma şansı elde ediyorlar.

• OT ağlarına erişim: Elde ettikleri bu erişimi, kritik altyapı sistemlerine kadar genişletiyorlar. Ulaşım, enerji, limanlar ve su hizmetleri gibi sektörler, doğrudan hedefte.

• Windows araçları ve PowerShell: Kalıcılık sağlamak ve keşif yapmak için sistemin kendi araçlarını kullanıyorlar.

Stratejik Hedefler: Kritik Altyapılar

Vol Typhoon’un hedefleri tesadüf değil. ABD hükümetiyle ilişkili kamu hizmetlerini ve özel sektör tedarikçilerini hedef alarak, ulusal güvenliği tehdit ediyorlar. Hükümetin endişesi ise açık: Çin’in Tayvan’ı işgal etmesi gibi bir çatışma durumunda, Vol Typhoon’un kritik altyapı sistemlerini felç edebilecek kapasiteye sahip olması.

FBI Müdahalesi ve KV Botnet Operasyonu

2024’te dikkat çeken bir diğer gelişme, FBI’ın KV botnet’i etkisiz hale getirme çabasıydı. Olağandışı bir mahkeme kararı ile FBI, müşterilerin yönlendiricilerine uzaktan müdahale ederek botnet’i temizlemeye çalıştı. Ancak bu operasyonun başarı oranı hala tartışmalı.

Singapur ve Yeni Saldırı Dalgası

Vol Typhoon, yalnızca ABD sınırlarında değil, Asya-Pasifik bölgesinde de tehdit oluşturmaya devam etti. Haziran 2024’te Singapur’un dev telekom şirketi Singtel’i hedef aldı. SD-WAN yönetim yazılımındaki bir açık sayesinde saldırganlar, web kabukları yerleştirerek sistemlere sızmayı başardılar.

Eski Donanımlarda Gizlenen Tehdit

Kasım 2024’te ise, kullanım ömrü sona ermiş Cisco ve Netgear yönlendiricilerde KV botnet enfeksiyonları tespit edildi. Bu, saldırganların yalnızca modern sistemleri değil, “unutulmuş” cihazları da etkili bir şekilde kullanabildiğini gösteriyor.

Siber Güvenlik Savunmalarına Dair Dersler

Vol Typhoon’un hikayesi, yalnızca bir siber saldırı vakası değil, aynı zamanda güvenlik önlemlerimizin sınırlarını test eden bir meydan okuma. Geleneksel yöntemlerle tamamen temizlenmiş gibi görünen sistemlerde bile, bu tehdit aktörü gizlenmeye devam edebilir. Bu, siber güvenlik stratejilerimizin daha esnek ve yenilikçi olmasını gerektiriyor.

Sonuç: Gölgelerden Gelen Tehdit

Vol Typhoon, yalnızca kritik altyapılar için bir tehdit oluşturmakla kalmıyor, aynı zamanda sistemlerin en temel güvenlik mekanizmalarını sorgulatıyor. Bu olay, OT ve IC siber güvenlik alanında 2024’ün en önemli hikayelerinden biri olarak kayda geçiyor. Peki, bu kadar karmaşık bir tehdide karşı sektör olarak ne kadar hazırlıklıyız? Bu sorunun yanıtı, siber güvenlik dünyasında önümüzdeki yıllarda şekillenecek yeni stratejilerin temelini oluşturacak gibi görünüyor.