Filipinler’e karşı siber yanlış bilgilendirme ve hackleme kampanyalarında yakın zamanda yaşanan büyük artış, ülke ile süper güç komşusu Çin arasında artan gerilimle aynı zamana denk geliyor.
Kampanyaları takip eden Resecurity araştırmacılarına göre siber saldırılar, hack ve sızıntı (%55), dağıtılmış hizmet reddi (%10) ve yanlış bilgilendirme ve etkileme kampanyalarından (%35) oluşuyor. Filipinler’de ana hedefler hükümet (%80) ve eğitim kurumları (%20) olup, araştırmacılara göre polis teşkilatlarına, bakanlıklara ve üniversitelere yönelik bu saldırılar ve ilgili veri sızıntıları ülkede hoşnutsuzluk tohumları ekiyor.
Bu, araştırmacıların 2024’ün ilk çeyreğinde Filipinler’i hedef alan kötü niyetli siber casusluk faaliyeti olarak tanımladığı faaliyetlerde geçen yılın aynı dönemine kıyasla dört kat (%325) bir artışı temsil ediyor. Resecurity COO’su Shawn Loveland, “Filipin nüfusu aynı zamanda dijital medya kanallarına bağımlı olduğundan ve sosyal medya ağlarında aktif olduğundan, bu faaliyetin amacı hükümeti itibarsızlaştırmak ve siber uzay yoluyla kaos yaratmaktır” diyor.
Resecurity, Çin ve Vietnam’daki çevrimiçi altyapılara yönelik saldırıların kaynağını bulmak için Filipinler’deki yetkililerle birlikte çalıştı. Resecurity’e göre bu “sahte bayrak” ve “diğer bölgeler” bu tür kampanyalarda Çin’in müttefiki olabilir veya onlara bunun için altyapı sağlayabilir.
Sahte Haberler
Siber saldırıların amacı, Güney Çin Denizi’ndeki bölgelerle ilgili bölgesel anlaşmazlıklar gibi konularda Çin anlatılarını çarpıtan dezenformasyon kampanyalarıyla bağlantılı.
İçinde Blog yazısı Bu ay, Resecurity bu kolektif faaliyetle ilişkili sayısız farklı grubu ayrıntılarıyla anlattı. Dikkate değer bir saldırıda, “KryptonZambie” takma adını kullanan bir tehdit aktörü, Filipin vatandaşı kimlik kartlarını içeren 152 gigabayttan fazla çalıntı veriyi isimsiz kaynaklardan elde ettiğini iddia etti. Resecurity, bir Dark Web sitesi olan Breach Forums’daki bir gönderiyle ilgili olan bu iddiayı araştırdı, ancak asılsız olduğunu tespit etti. Tehdit aktörü, Güvenlik Güvenliği müfettişlerinin sözde ihlali duyurmak için kullanılan bir Telegram hesabına gönderdiği hiçbir mesaja yanıt vermedi.
Kampanyanın diğer unsurları, Filipinler Devlet Başkanı Ferdinand Marcos Jr.’ın Çin’e karşı askeri harekat emri verdiği iddia edilen bir “sesli deepfake”in yayınlanmasını içeriyordu. Böyle bir direktif mevcut değilFilipinler’deki yetkililere göre.
Ancak bunların hepsi sahte değil. Filipinler Exodus Security ve DeathNote Hacker’ları da dahil olmak üzere Resecurity’nin raporunun kapsadığı grupların birçoğu, doğrulanmış bir veri ihlaline yol açan saldırılar gerçekleştirdi.
Gerçek Hacktivistler Değil
Bu faaliyetlerin bir kısmı bilgisayar korsanlarının faaliyetlerine benzese de Resecurity, Çin’den veya muhtemelen Kuzey Kore’den (Filipinler’in bir başka bölgesel düşmanı) ulus devlet destekli bilgisayar korsanlarının asıl suçlu olduğuna inanıyor.
Resecurity, Filipinler’de aynı zaman diliminde 12’den fazla hükümet kuruluşunun hedef alındığını bildirdi; bu, bağımsız hacktivistlerden ziyade ulus devlet aktörleri tarafından yapılan iyi organize edilmiş, koordineli bir saldırının ayırt edici özellikleridir.
Resecurity’e göre “Hacktivistlerle ilgili takma adlardan yararlanmak, tehdit aktörlerinin çevrimiçi olarak yerel sosyal çatışma algısı yaratırken atıf yapmaktan kaçınmasına olanak tanıyor.”
Geçen yıl Çin devletine bağlı gelişmiş kalıcı tehdit (APT) grubu olarak bilinen Mustang Panda hacklendi basit bir yandan yükleme tekniği yoluyla bir Filipin hükümeti hedefi. “Bu grubun Filipinler’e güçlü bir odağı var ve [is] Resecurity’e göre hala aktif. Grubun Filipin devlet kurumlarına yönelik hacklemeleri sosyal medya aracılığıyla aktif olarak tanıtıldı.
Nisan 2023’te, Filipin Ulusal Polisi (PNP), Ulusal Soruşturma Bürosu (NBI), İç Gelir Bürosu (BIR) ve Özel Harekat Gücü (SAF) dahil olmak üzere birçok devlet kurumundan 800 gigabayttan fazla hem başvuru sahibi hem de çalışan kaydı ) – tehlikeye atıldı.
Bunu Eylül ayında Filipin Sağlık Sigortası Kurumu’na (PhilHealth) yönelik bir ihlal ve fidye yazılımı saldırısı izledi; bu saldırı, hastane faturalarının, dahili notların ve kimlik belgelerinin açığa çıkmasına yol açtı. Siber tehdit tespit firması Gatewatcher’a göre sızıntının tüm boyutuna ilişkin devam eden bir soruşturma sürüyor.
Neden Casus?
Hem Resecurity’e hem de diğer tehdit istihbaratı uzmanlarına göre, Çin (ve daha az ölçüde Kuzey Kore), bu suiistimallerin çoğunda baş şüpheli.
Tehdit istihbaratı firması Cyjax’ın CISO’su Ian Thornton-Trump, “Çin, genel olarak tasvir edilenden çok daha karmaşık ve incelikli bir bölge. Çin’in iç baskıları muhtemelen onu yavaşlatmak yerine siber casusluk faaliyetinin artmasına yol açacak” diyor.
Thornton-Trump, “ÇHC’nin siber uzaya yaklaşımı her zaman onu ticari çıkarlarını ilerletmek, Batılı şirketlerden teknolojiler çıkarmak ve bu endüstriler için korumalı bir iç pazar yaratmak ve onlara küresel pazarda avantaj sağlamak için kullanmak olmuştur.” diye belirtiyor.
Çin ile Filipinler arasındaki ilişkiler son aylarda kötüleşti. Pekin, Filipin Devlet Başkanı Ferdinand Marcos Jr.’ın Tayvan’ın yeni cumhurbaşkanı seçilen Lai’nin son seçimlerinin ardından onu tebrik etmesini kınadı. Çin, Tayvan’ı dönek bir eyalet olarak görüyor.
Filipinler yakın zamanda ABD ve müttefikleriyle “daha sağlam” askeri faaliyetlere yönelik planlarını açıklayarak ABD ile güçlü ittifakını yeniden teyit etti; bu da Çin’i üzdü. Ayrıca Filipinler ve Çin, Güney Çin Denizi’ndeki adalar ve sularla ilgili toprak iddiaları konusunda da anlaşmazlık içinde.
Olay Müdahalesi
ABD, Japonya ve Filipinler yakın zamanda bir siber tehdit paylaşımı düzenlemesi Çin, Kuzey Kore ve Rusya’nın artan saldırılarının ardından, bu gelişme muhtemelen Filipinler’in büyüyen siber tehdit dalgasının üstesinden gelmesine yardımcı olacak.
Uzmanlar, kötü niyetli siber faaliyetlerdeki artış modelini anlamanın, bununla mücadeleye yönelik ilk adım olduğunu söylüyor. “[With] Cyjax’tan Thornton-Trump, “Ülkenin iç güçlerini ve bunların siber stratejisiyle ilişkisini daha iyi anlayarak ÇHC’nin siber casusluğuna karşı daha iyi savunma planlayabiliriz” diyor.
Resecurity, hem halkı hem de Filipin ticaretini siber saldırılardan korumak için önerilerde bulundu:
Hack ve sızıntı faaliyetleri kişisel verilerinin açığa çıkma riskiyle karşı karşıya kaldığından Filipin vatandaşlarının dijital kimlik korumasını hızlandırın.
WAF’leri (web uygulaması güvenlik duvarları) uygulayarak ve kötü aktörler onları kullanmadan önce güvenlik açıklarını tespit etmek ve kontrol altına almak için devam eden güvenlik açığı değerlendirmesi ve pen-test otomasyon prosedürlerini uygulayarak Web uygulaması güvenliğini sıkılaştırın.
Dezenformasyonla mücadele etmek ve kampanyaları etkilemek için çevrimiçi bilgi doğrulama hizmetleri oluşturun. Vatandaşlara şüpheli çevrimiçi etkinlikleri bildirmeye yönelik bir süreç sunulmalıdır.
