Sızan belgeler, Çin hükümetinin yabancı hükümetler ve şirketler, yerli muhalifler, etnik azınlıklar ve daha fazlası hakkında casusluk yapmak için özel sektör hackerlarıyla birlikte çalıştığını ortaya çıkardı.
16 Şubat’ta, kimliği bilinmeyen bir kişi, dışarıdan siber güvenlik eğitim kursları sağlamasıyla tanınan, Şangay merkezli bir şirket olan iSoon olarak da bilinen Anxun Bilgi Teknolojisi’ndeki perdeyi geri çekti.
Perde arkasında şirket, Kamu Güvenliği Bakanlığı, Devlet Güvenlik Bakanlığı ve Halk Kurtuluş Ordusu (PLA) dahil olmak üzere Çin Halk Cumhuriyeti’nin (PRC) devlet kurumlarına hizmet veren bir hack-for-hire operasyonu gibi görünüyor. .
Analistler, iSoon ile bilinen birçok Çin APT’si arasında örtüşmeler olduğunu ortaya çıkardı. CrowdStrike’ın karşı düşman operasyonları başkanı Adam Meyers, Dark Reading’e grubun özellikle Su Pandası (diğer adıyla Budworm, Charcoal Typhoo, ControlX, RedHotel, BRONZE ÜNİVERSİTESİ).
Arasında 500’den fazla belge sızdırıldı pazarlama materyalleri, ürün kılavuzları, müşteri ve çalışan listeleri, bu müşteriler ve çalışanlar arasındaki WeChat anlık mesajları ve çok daha fazlasıdır. Analistler hala Çin devletinin siber uzaydaki birincil hedef ve hedeflerinin bir resmini çizmeye başlayan materyali gözden geçirmeye (ve doğrulamaya) devam ediyor.
iSoon Kimi Hackliyor?
iSoon’un hedefleri arasında Hong Kong’daki demokrasi yanlısı örgütler gibi yerel hedefler ve Çin’in Sincan eyaletindeki Uygurlar gibi etnik azınlık üyeleri yer alıyor.
En az 14 hükümetin kurumlarını kapsıyorlar – örneğin yalnızca Vietnam’da, İçişleri Bakanlığı, Ekonomi Bakanlığı, Devlet İstatistik Ofisi ve Trafik Kontrol Polisi – ve muhtemelen (henüz doğrulanmamış) Kuzey Atlantik Antlaşma Örgütü (NATO).
Ayrıca kumardan havayolu şirketlerine ve telekomünikasyon şirketlerine kadar Asya çapındaki özel kuruluşlara da sızdı.
SentinelOne danışmanı ve Atlantik Konseyi’nin Küresel Çin Merkezi’nde yerleşik olmayan bir araştırmacı olan Dakota Cary’ye göre, bu siber saldırı ekibinin geniş hedef yelpazesinden alınacak önemli bir ders var.
“Önceki hedefleme geçmişleri gelecekteki ilginin göstergesi olmamalıdır” diyor, “çünkü çok sayıda ilgili tarafın olduğu bir pazarda teklifler için rekabet ediyorlar. Talep sinyalleri, işlerini kimin talep ettiğine ve bunun için herhangi bir noktada değişebilir. Bu nedenle, gelecekteki performansın bir göstergesi olarak geçmiş faaliyetlere aşırı derecede odaklanmamalıyız.”
Devlet İstismarlarına Yönelik Ucuz Fırsatlar
Hafta sonu sızdırılan belgeler aynı zamanda Çin hükümetinin kurbanlarına erişim için iSoon’a ödediği oranların çok farklı olduğunu da ortaya koyuyor.
Örneğin, Vietnam trafik polislerinin özel web sitesine erişim 15.000 $’a yükselirken, Ekonomi Bakanlığı’ndan gelen veriler 55.000 $ olarak faturalandırıldı. The New York Times’a göre, sosyal medya hesaplarından toplanan bazı kişisel bilgilerin, uzun süredir iktidar partisinin bireysel muhaliflerini hedef aldığı bilinen hükümet için değeri 278.000 dolara kadar çıkıyordu.
Cary, “Fiyat noktası, pazarın olgunluğunun gerçekten ilginç bir göstergesi” diye düşünüyor. Özellikle bunun aksine güvenlik açığı pazarında getirilen fiyatlar.
“Vietnam Ekonomi Bakanlığı’na sızma kontrat oranının 55.000 dolar olması kesinlikle arzla ilgili bir şeyler söylüyor. Bu müteahhit-hacker pazarında çok sayıda sağlayıcı var, öyle ki 55.000 dolar bir şirketin dışarı çıkması için yeterli ve bu görevleri yapın” diyor.
Pek Çok Yeni Bilgi Ama Hiçbir Şey Değişmiyor
iSoon eğlenceli kötü amaçlı araçlardan oluşan bir cephaneliğe sahiptir: Twitter bilgi hırsızı, kalem test araçları ve özel pil bağlantıları ve güç bankası gibi görünmek üzere tasarlanmış bir araç dahil olmak üzere daha gelişmiş donanım cihazları; her ikisi de kurban ağından bilgisayar korsanlarına bilgi aktarmaya hizmet eder. .
Ancak kullandığı şeylerin çoğu, Winnti arka kapısı ve eski antivirüs yazılımı gibi Çin APT ekosisteminde zaten bilinen kötü amaçlı yazılımlardır. PlugX uzaktan erişim Truva Atı (RAT).
Meyers, “Aslında büyük resim açısından daha önce bilmediğimiz çok fazla şey yok” diyor. Ona göre, sızıntıların en ilginç yönü, perde arkası saçmalıklardı; çalışanların düşük maaşla ilgili şikayetleri, ofiste mahjong üzerinden kumar oynanması ve benzeri. “Bunu görmek gerçekten çok güzel ama bu, her gün yaptığımız hiçbir şeyi değiştirmeyecek.”
Hey patron
Naber?
Mahjong oynamak 🀄️
Ofiste?
Ne yani ofiste para için oynayamayacak mıyız? Patron, Şef Li binlerce Rmb’yi temizliyor, gelin bize katılın pic.twitter.com/7VgOqVg22o— Dakota Cary (@DakotaInDC) 19 Şubat 2024
Cary için sonuç, bazı kuruluşların siber casusluk pazarında ne kadar az şey elde ettiğidir.
“Özellikle şirketlerin maaşlara, aletlere vb. ne kadar harcadığı göz önüne alındığında, kuruluşunuz için çıta bu kadar düşük olamaz” diyor. “Şirketinizle sözleşmesi olan kişinin bir milyon dolar ödemesini istiyorsunuz; mümkün olduğu kadar yüksek bir miktar.”
“Asıl ders şu: Eğer bir bakanlığın peşine 55.000 dolar karşılığında gidebilirlerse, fiyatınızın ne olacağını düşünüyorsunuz?” O sorar.