ABD Adalet Bakanlığı (DoJ) Pazartesi günü, yaklaşık 14 yıl boyunca ABD’li ve yabancı eleştirmenleri, gazetecileri, işletmeleri ve siyasi yetkilileri hedef alan bir bilgisayar korsanlığı grubuna dahil olmaları nedeniyle yedi Çin vatandaşına yönelik iddianameleri açıkladı.
Sanıklar arasında Ni Gaobin (倪高彬), Weng Ming (翁明), Cheng Feng (程锋), Peng Yaowen (彭耀文), Sun Xiaohui (孙小辉), Xiong Wang (熊旺) ve Zhao Guangzong (赵光宗) yer alıyor.
Şüpheli siber casuslar, Altaire olarak da bilinen, APT31 olarak takip edilen devlet destekli bir tehdit grubuyla bağlantılı olarak bilgisayara izinsiz giriş yapmak için komplo kurmak ve elektronik dolandırıcılık yapmak üzere komplo kurmakla suçlandı. Bronz Asma Ağacı, Judgment Panda ve Violet Typhoon (eski adıyla Zirconium). Bilgisayar korsanlığı topluluğu en az 2010’dan beri aktif.
Federal savcılar, özellikle sorumluluklarının, izinsiz girişleri gerçekleştirmek için kullanılan kötü amaçlı yazılımları test etmeyi ve bunlardan yararlanmayı, saldırı altyapısını yönetmeyi ve belirli ABD varlıklarını gözetlemeyi gerektirdiğini belirtti ve kampanyaların Çin’in ekonomik casusluk ve dış istihbarat hedeflerini ilerletmek için tasarlandığını ekledi.
Hem Gaobin hem de Guangzong’un, Devlet Güvenlik Bakanlığı (MSS) için çeşitli kötü amaçlı siber operasyonlar yürüttüğüne inanılan bir paravan şirket olan Wuhan Xiaoruizhi Science and Technology Company Limited (Wuhan XRZ) ile bağlantılı olduğu iddia ediliyor.
İzinsiz Giriş Gerçeği rapor Mayıs 2023’te yayınlanan bir makale, Wuhan XRZ’yi “Wuhan’da güvenlik açığı madencileri ve yabancı dil uzmanları arayan yarım yamalak görünümlü bir şirket” olarak nitelendirdi.
Bir duyuru yapmanın yanı sıra 10 milyon dolara kadar ödül APT31 ile bağlantılı kişilerin kimliğinin veya nerede olduğunun belirlenmesine yol açabilecek bilgiler için Birleşik Krallık ve ABD de uygulanan yaptırımlar Gaobin, Guangzong ve Wuhan XRZ’ye ulusal güvenliği tehlikeye atmaları ve dünya çapında parlamenterleri hedef almaları nedeniyle dava açıldı.
“Bu iddialar, Çin’in ABD’li seçilmiş yetkililer ve hükümet yetkilileri, gazeteciler ve akademisyenlerden gelen hassas verileri, Amerikan şirketlerinden gelen değerli bilgileri ve Amerika’daki ve yurtdışındaki siyasi muhalifleri hedef alan geniş yasa dışı hackleme operasyonunun perdesini geri çekiyor.” belirtilmiş ABD Başsavcısı Breon Peace.
“Onların uğursuz planları dünya çapında binlerce insanı ve kuruluşu mağdur etti ve on yıldan fazla sürdü.”
Yaygın hackleme operasyonu, sanıkların ve APT31’in diğer üyelerinin, ilgilenilen hedeflere, kurbanların konumunu, internet protokolü (IP) adreslerini, ağ şemalarını ve erişim için kullanılan cihazları sızdıran gizli izleme bağlantılarıyla birlikte gelen 10.000’den fazla e-posta göndermesini içeriyordu. e-posta hesapları, mesajları açtıktan hemen sonra.
Bu bilgiler daha sonra tehdit aktörlerinin, alıcıların ev yönlendiricilerini ve diğer elektronik cihazlarını ele geçirmek de dahil olmak üzere, belirli kişilere göre daha hedefli saldırılar gerçekleştirmesine olanak sağladı.
Tehdit aktörlerinin ayrıca kurban bilgisayar ağlarına kalıcı erişimi sürdürmek için sıfır gün açıklarından yararlandıkları ve bunun sonucunda telefon görüşmesi kayıtlarının, bulut depolama hesaplarının, kişisel e-postaların, ekonomik planların, fikri mülkiyetin ve ticari sırların doğrulanmış ve potansiyel olarak çalınmasına neden olduğu söyleniyor. ABD’deki işletmelerle bağlantılı.
APT31 tarafından düzenlenen diğer hedef odaklı kimlik avı kampanyalarının ayrıca Beyaz Saray’da, Adalet, Ticaret, Hazine ve Dışişleri Bakanlıklarında çalışan ABD hükümeti yetkililerini, ABD Senatörlerini, Temsilcilerini ve her iki siyasi partinin seçim kampanyası personelini hedef aldığı tespit edildi.
Saldırılar, RAWDOOR, Trochilus, EvilOSX, DropDoor/DropCat gibi özel kötü amaçlı yazılımlar ve kurban makinelerde komutlar almak ve yürütmek için düşman kontrolündeki sunucularla güvenli bağlantılar kuran diğerleri aracılığıyla kolaylaştırıldı. Ayrıca, sömürü sonrası faaliyetleri yürütmek için Cobalt Strike Beacon’ın kırık bir versiyonu da kullanıldı.
Grubun hedeflediği öne çıkan sektörlerden bazıları savunma, bilgi teknolojisi, telekomünikasyon, imalat ve ticaret, finans, danışmanlık, hukuk ve araştırma endüstrileridir. APT31 ayrıca dünya çapındaki muhalifleri ve onları desteklediği düşünülen diğer kişileri de seçti.
Hazine Müsteşarlığı, “APT31, Hubei Devlet Güvenlik Departmanı (HSSD) adına kötü niyetli siber operasyonlar yürüten Çin devleti destekli istihbarat görevlileri, sözleşmeli bilgisayar korsanları ve destek personelinden oluşan bir koleksiyondur” dedi. söz konusu.
“2010 yılında HSSD, siber operasyonları yürütmek üzere bir paravan şirket olarak Wuhan XRZ’yi kurdu. Bu kötü niyetli siber faaliyet, ABD’li ve yabancı politikacıların, dış politika uzmanlarının, akademisyenlerin, gazetecilerin ve demokrasi yanlısı aktivistlerin ve ayrıca ABD’li ve yabancı politikacıların gözetlenmesiyle sonuçlandı. Ulusal öneme sahip alanlarda faaliyet gösteren kişi ve şirketler.”
“Çin devleti destekli siber casusluk yeni bir tehdit değil ve Adalet Bakanlığı’nın bugünkü açıklanmış iddianamesi, Çin Halk Cumhuriyeti (ÇHC) gündemini ilerletmek amacıyla siber operasyonlarının tüm kapsamını gözler önüne seriyor. Bu yeni bir tehdit olmasa da, kapsamı Secureworks Karşı Tehdit Birimi hükümet ortaklıkları direktörü Alex Rose, casusluğun ve uygulanan taktiklerin endişe verici olduğunu söyledi.
“Çinliler son birkaç yılda tespit edilmekten kaçınmak ve belirli siber saldırıların kendilerine atfedilmesini zorlaştırmak için tipik MO’larını geliştirdiler. Bu, Çin’in uygulayabileceği daha geniş bir stratejik çabanın parçası. Beceriler, kaynaklar ÇHC’nin elindeki taktikler ve taktikler, onları dünya çapındaki hükümetler, işletmeler ve kuruluşlar için sürekli ve sürekli bir tehdit haline getiriyor.”
Suçlamalar İngiltere hükümetinin ardından geldi sivri parmaklar Ülkenin Seçim Komisyonuna ve politikacılarına yönelik “kötü niyetli siber kampanyalar” nedeniyle APT31’de. Seçim Komisyonunun ihlali, 40 milyon kişiye ait seçmen verilerine yetkisiz erişime yol açtı.
Tehdit aktörlerinin sistemlere bundan iki yıl önce eriştiğine dair kanıtlar olmasına rağmen olay, düzenleyici kurum tarafından Ağustos 2023’te açıklandı.
Ancak Çin’in suçlamaları reddetti, bunların “tamamen uydurma” olduğunu ve “kötü niyetli iftiralar” anlamına geldiğini belirtti. Washington DC’deki Çin büyükelçiliği sözcüsü söylenmiş BBC News’e göre ülkeler “temelsiz suçlamalarda bulundu.”
“Siber saldırıların kökeninin izlenmesi son derece karmaşık ve hassastır. Siber vakaların doğasını araştırırken ve belirlerken, gerçekler mevcut olmadığında diğer ülkeleri karalamak yerine, siber güvenlik konularını daha az siyasallaştırmak yerine yeterli ve objektif kanıtlara sahip olmak gerekir.” Dışişleri Bakanlığı Sözcüsü Lin Jian söz konusu.
“İlgili tarafların dezenformasyon yaymayı bırakmasını, sorumlu bir tutum sergilemesini ve siber uzayda barışı ve güvenliği ortaklaşa korumasını umuyoruz. Çin, yasa dışı ve tek taraflı yaptırımlara karşı çıkıyor ve yasal hak ve çıkarlarını sıkı bir şekilde koruyacak.”