Bugün Amerika Birleşik Devletleri’nin karşı karşıya olduğu siber güvenlik risklerinden çok azı, üst düzey ABD’li yetkililerin “çağı belirleyen bir tehdit” olarak tanımladığı Çin destekli bilgisayar korsanlarının oluşturduğu potansiyel sabotaj yeteneklerinden daha büyük görünüyor.
Son aylarda ABD istihbarat yetkilileri, Çin hükümeti destekli bilgisayar korsanlarının su, enerji ve ulaşım sağlayıcıları da dahil olmak üzere ABD’nin kritik altyapı ağlarının derinliklerine sızdığını söyledi. Yetkililer, amacın Çin ile ABD arasında gelecekte Çin’in Tayvan’ı işgal etmesi gibi bir çatışma durumunda potansiyel olarak yıkıcı siber saldırılara zemin hazırlamak olduğunu söylüyor.
FBI Direktörü Christopher Wray bu yılın başlarında milletvekillerine, “Çin’in bilgisayar korsanları, Çin’in saldırı zamanının geldiğine karar vermesi durumunda Amerikan vatandaşlarına ve topluluklarına zarar vermek ve gerçek dünyada zarar vermek için Amerikan altyapısı üzerinde konumlanıyor” dedi.
ABD hükümeti ve müttefikleri o zamandan beri Çinli hack gruplarının “Typhoon” ailesine karşı harekete geçti ve bunların oluşturduğu tehditler hakkında yeni ayrıntılar yayınladı.
Ocak ayında ABD, yıkıcı siber saldırılara zemin hazırlamakla görevlendirilen Çin hükümeti hackerlarından oluşan “Volt Typhoon” adlı bir grubu engelledi. Eylül ayının sonlarına doğru federaller, Pekin’de özel bir şirket gibi görünen ve rolü Çin hükümeti hackerlarının faaliyetlerini gizlemeye yardımcı olmak olan “Flax Typhoon” adlı başka bir Çinli bilgisayar korsanlığı grubu tarafından işletilen bir botnet’i ele geçirdi. O zamandan bu yana, ABD telefon ve internet sağlayıcılarının telefon dinleme sistemlerini tehlikeye atarak Amerikalılar ve ABD gözetlemesinin potansiyel hedefleri hakkında istihbarat toplayabilen “Salt Typhoon” adlı Çin destekli yeni bir bilgisayar korsanlığı grubu ortaya çıktı.
İşte savaşa hazırlanan Çinli hack grupları hakkında şu ana kadar bildiklerimiz.
Volt Tayfunu
Volt Typhoon, Çin destekli hack gruplarının yeni bir türünü temsil ediyor; FBI direktörüne göre artık sadece hassas ABD sırlarını çalmayı değil, daha ziyade ABD ordusunun “harekete geçme yeteneğini” bozmaya hazırlanmayı amaçlıyor.
Microsoft ilk tanımlandı Mayıs 2023’te Volt Typhoon, bilgisayar korsanlarının ABD’nin kritik altyapısına daha derinlemesine sızmaya yönelik devam eden ve uyumlu bir çabanın parçası olarak 2021 ortasından bu yana yönlendiriciler, güvenlik duvarları ve VPN’ler gibi ağ ekipmanlarını hedef aldığını ve tehlikeye attığını tespit etti. Gerçekte, bilgisayar korsanlarının çok daha uzun süredir faaliyet göstermesi muhtemeldir; potansiyel olarak beş yıl kadar uzun bir süre için.
Volt Typhoon, Microsoft’un raporunu takip eden aylarda internete bağlı binlerce cihazın güvenliğini tehlikeye attı ve internete bağlı cihazlardaki “kullanım ömrünün sonu” olarak kabul edilen ve bu nedenle artık güvenlik güncellemeleri almayacak olan güvenlik açıklarından yararlandı. Böylelikle, bilgisayar korsanlığı grubu daha sonra havacılık, su, enerji ve ulaşım da dahil olmak üzere çok sayıda kritik altyapı sektörünün BT ortamlarını tehlikeye atmayı başardı ve kendisini gelecekte yıkıcı olabilecek siber saldırıları harekete geçirmek için önceden konumlandırdı.
John Hultquist, “Bu aktör, ABD’de norm haline gelen sessizce istihbarat toplama ve sır hırsızlığı yapmıyor. Hassas kritik altyapıyı araştırıyor, böylece emir geldiğinde büyük hizmetleri kesintiye uğratabiliyor” dedi. Mandiant güvenlik firmasında analist.
ABD hükümeti Ocak ayında söyledi Volt Typhoon tarafından kullanılan, ele geçirilen binlerce ABD merkezli küçük ofis ve ev ağı yönlendiricisinden oluşan ve Çinli bilgisayar korsanlığı grubunun ABD’nin kritik altyapısını hedeflemeyi amaçlayan kötü niyetli faaliyetlerini gizlemek için kullandığı bir botnet’i başarıyla bozduğunu söyledi. FBI, kötü amaçlı yazılımı ele geçirilen yönlendiricilerden kaldırabildiğini ve Çinli bilgisayar korsanlığı grubunun botnet ile bağlantısını kesebildiğini söyledi.
Keten Tayfunu
Flax Typhoon ilk kez piyasaya çıktı Microsoft’tan Ağustos 2023 tarihli bir raporyetkililerin söylediğine göre Pekin merkezli halka açık bir siber güvenlik şirketi kisvesi altında faaliyet gösteren Çin destekli bir başka hack grubu. ABD’li yetkililere göre Integrity Technology Group şirketi, Çin hükümetiyle olan bağlantılarını kamuoyu önünde kabul etti.
Eylül ayında ABD hükümeti, Flax Typhoon tarafından kullanılan ve internete bağlı yüzbinlerce cihazdan oluşan kötü şöhretli Mirai kötü amaçlı yazılımının özel bir versiyonunu kullanan başka bir botnet’in kontrolünü ele geçirdiğini açıklamıştı.
ABD’li yetkililer o dönemde Flax Typhoon tarafından kontrol edilen botnet’in “virüs bulaşmış tüketici cihazlarından rutin internet trafiği gibi görünen kötü amaçlı siber faaliyetler yürütmek” için kullanıldığını söylemişti. Savcılar, Flax Typhoon tarafından yönetilen botnet’in, Çin hükümeti destekli diğer bilgisayar korsanlarının “bilgi çalmak ve altyapımızı riske atmak için ABD’deki ve dünya çapındaki ağlara sızmasına” olanak sağladığını söyledi.
Microsoft’un hükümet destekli grup profiline göre Flax Typhoon, 2021’in ortasından bu yana faaliyet gösteriyor ve ağırlıklı olarak “Tayvan’daki devlet kurumları ve eğitim, kritik üretim ve bilgi teknolojisi kuruluşlarını” hedefliyor. Adalet Bakanlığı, Microsoft’un bulgularını doğruladığını ve Flax Typhoon’un aynı zamanda “çok sayıda ABD’li ve yabancı şirkete saldırdığını” söyledi.
Tuz Tayfunu
Çin’in hükümet destekli siber ordusunda son aylarda ortaya çıkarılan en son ve potansiyel olarak en kaygı verici grup Salt Typhoon’dur.
Salt Typhoon, Ekim ayında çok daha karmaşık bir operasyonla manşetlere çıktı. Gibi İlk kez Wall Street Journal tarafından bildirildiÇin bağlantılı bilgisayar korsanlığı grubunun, AT&T, Lumen (eski adıyla CenturyLink) ve Verizon dahil olmak üzere birçok ABD telekom ve internet sağlayıcısının telefon dinleme sistemlerini tehlikeye attığına inanılıyor.
Buna göre bir raporSalt Typhoon, güvenliği ihlal edilmiş Cisco yönlendiricilerini kullanarak bu kuruluşlara erişim sağlamış olabilir. ABD hükümetinin soruşturmanın ilk aşamalarında olduğu söyleniyor.
İnternet sağlayıcısının uzlaşmasının boyutu bilinmezken Journal, ulusal güvenlik kaynaklarına atıfta bulunarak ihlalin “potansiyel olarak felaket” olabileceğini söyledi. Salt Typhoon, kolluk kuvvetlerinin mahkeme onaylı müşteri verileri toplamak için kullandığı sistemleri hackleyerek, Çin’in ABD gözetimindeki hedeflerinin potansiyel kimlikleri de dahil olmak üzere ABD hükümetinin taleplerinin çoğunu barındıran veri ve sistemlere potansiyel olarak erişim elde etti.
İhlalin ne zaman gerçekleştiği henüz bilinmiyor ancak WSJ, bilgisayar korsanlarının internet sağlayıcılarının telefon dinleme sistemlerine “aylarca veya daha uzun süre” erişime sahip olabileceğini bildiriyor.