Devlet destekli Çinli bilgisayar korsanları kritik ABD altyapı ağlarına, Amerika Birleşik Devletleri’ne, Batılı müttefiklerine sızdı ve Microsoft Çarşamba günü yaptığı açıklamada, benzer casusluk saldırılarının küresel olarak meydana gelebileceği konusunda uyarıda bulundu.
Microsoft, Pasifik Okyanusu’nda hayati bir askeri karakola sahip bir ABD bölgesi olan Guam’ı hedeflerden biri olarak vurguladı, ancak ABD’nin başka yerlerinde de “kötü niyetli” etkinlik tespit edildiğini söyledi.
“Volt Typhoon” olarak adlandırılan bilgisayar korsanlığının 2021’in ortalarında başladığı ve muhtemelen bölgede bir çatışma olması durumunda ABD’yi engellemeyi amaçladığı söylendi.
Bildiride, “Microsoft, bu Volt Typhoon kampanyasının gelecekteki krizler sırasında Amerika Birleşik Devletleri ile Asya bölgesi arasındaki kritik iletişim altyapısını kesintiye uğratabilecek yetenekler geliştirmeyi amaçladığına dair ılımlı bir güvenle değerlendiriyor” denildi.
“Bu kampanyada, etkilenen kuruluşlar iletişim, üretim, hizmet, ulaşım, inşaat, denizcilik, hükümet, bilgi teknolojisi ve eğitim sektörlerini kapsamaktadır.
“Gözlemlenen davranış, tehdit aktörünün casusluk yapmayı ve mümkün olduğu kadar uzun süre tespit edilmeden erişimi sürdürmeyi planladığını gösteriyor.”
Microsoft’un açıklaması, ABD, Avustralya, Kanada, Yeni Zelanda ve Birleşik Krallık yetkilileri tarafından yayınlanan bir danışma belgesiyle aynı zamana denk geldi.
Volt Typhoon’un arkasında Çin’den “devlet destekli bir siber aktörün” olduğunu ve bilgisayar korsanlığının muhtemelen küresel olarak gerçekleştiğini söylediler.
Danışmanlık, “Bu faaliyet, ABD’nin kritik altyapı sektörlerindeki ağları etkiliyor ve yazar ajanslar, aktörün dünya çapında bu ve diğer sektörlere aynı teknikleri uygulayabileceğine inanıyor” dedi.
Amerika Birleşik Devletleri ve müttefikleri, faaliyetlerin normal Windows sistemleriyle uyum sağlamak için yerleşik ağ araçlarından yararlanan “karadan yaşama” taktiklerini içerdiğini söyledi.
Daha sonra bilgisayar korsanlığının “iyi huylu” görünen meşru sistem yönetimi komutlarını içerebileceği konusunda uyardı.
-‘Son derece gelişmiş’- Microsoft, Volt Typhoon’un trafiği, yönlendiriciler, güvenlik duvarları ve VPN donanımı da dahil olmak üzere güvenliği ihlal edilmiş küçük ofis ve ev ofis ağ ekipmanları aracılığıyla yönlendirerek normal ağ etkinliğine uyum sağlamaya çalıştığını söyledi.
Microsoft, “Açık kaynaklı araçların özel sürümlerini kullandıkları da gözlemlendi” dedi.
Microsoft ve güvenlik kurumları, kuruluşların bilgisayar korsanlığını denemesi, algılaması ve karşı koyması için yönergeler yayınladı.
ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi başkanı Jen Easterly de Volt Typhoon ile ilgili bir uyarı yayınladı.
Easterly, “Çin, yıllardır dünyanın dört bir yanındaki kritik altyapı kuruluşlarından fikri mülkiyet ve hassas verileri çalmak için dünya çapında operasyonlar yürüttü” dedi.
“ABD’li ve uluslararası ortaklarımızla birlikte hazırlanan bugünkü danışma belgesi, Çin’in ulusumuzun kritik altyapısını hedeflemek için nasıl son derece gelişmiş araçlar kullandığını yansıtıyor.
“Bu ortak danışma belgesi, ağ savunucularına bu kötü niyetli etkinliğin nasıl tespit edilip azaltılacağı konusunda daha fazla bilgi verecek.”
Çin, iddialara hemen yanıt vermedi. Ancak rutin olarak devlet destekli siber saldırılar gerçekleştirildiğini reddediyor.
Buna karşılık Çin, ABD’yi düzenli olarak siber casusluk yapmakla suçluyor.
ABD siber güvenlik şirketi Mandiant’ın baş analisti John Hultquist’e göre, Çin ve Rusya uzun süredir kritik altyapıyı hedefliyor olsa da, Volt Typhoon Çin’in bilgisayar korsanlığına ilişkin yeni içgörüler sundu.
“Çinli siber tehdit aktörleri, düzenli olarak yıkıcı ve yıkıcı siber saldırılara başvurmadıkları için akranları arasında benzersizdir” dedi.
“Sonuç olarak, yetenekleri oldukça belirsiz. Bu açıklama, bu tehdide araştırmak ve hazırlanmak için ender bulunan bir fırsat.”