ABD Adalet Bakanlığı (DoJ) Pazartesi günü, yaklaşık 14 yıl boyunca ABD'li ve yabancı eleştirmenleri, gazetecileri, işletmeleri ve siyasi yetkilileri hedef alan bir bilgisayar korsanlığı grubuna dahil olmaları nedeniyle yedi Çin vatandaşına yönelik iddianameleri açıkladı.
Sanıklar arasında Ni Gaobin, Weng Ming, Cheng Feng, Peng Yaowen, Sun Xiaohui, Xiong Wang ve Zhao Guangzong yer alıyor.
Şüpheli siber casuslar, Altaire, Bronze Vinewood, Judgment Panda ve Violet Typhoon (eski adıyla) olarak da bilinen, APT31 olarak takip edilen devlet destekli bir tehdit grubuyla bağlantılı olarak bilgisayarlara izinsiz giriş yapmak için komplo kurmak ve elektronik dolandırıcılık yapmak üzere komplo kurmakla suçlandı. Zirkonyum). Bilgisayar korsanlığı topluluğu en az 2010'dan beri aktif.
Federal savcılar, özellikle sorumluluklarının, izinsiz girişleri gerçekleştirmek için kullanılan kötü amaçlı yazılımları test etmeyi ve bunlardan yararlanmayı, saldırı altyapısını yönetmeyi ve belirli ABD varlıklarını gözetlemeyi gerektirdiğini belirtti ve kampanyaların Çin'in ekonomik casusluk ve dış istihbarat hedeflerini ilerletmek için tasarlandığını ekledi.
Hem Gaobin hem de Guangzong'un, Devlet Güvenlik Bakanlığı (MSS) için çeşitli kötü amaçlı siber operasyonlar yürüttüğüne inanılan bir paravan şirket olan Wuhan Xiaoruizhi Science and Technology Company Limited (Wuhan XRZ) ile bağlantılı olduğu iddia ediliyor.
Intrusion Truth, Mayıs 2023'te yayınlanan bir raporda Wuhan XRZ'yi “Wuhan'da güvenlik açığı madencileri ve yabancı dil uzmanları arayan yarım yamalak görünümlü bir şirket” olarak nitelendirdi.
Birleşik Krallık ve ABD, APT31 ile bağlantılı kişilerin kimliğinin veya nerede olduğunun belirlenmesine yol açabilecek bilgiler için 10 milyon dolara kadar ödül vereceğinin duyurulmasının yanı sıra, ulusal güvenliği tehlikeye atmaları ve Dünyanın her yerindeki parlamenterleri hedef alıyor.
ABD'li Avukat Breon Peace, “Bu iddialar, Çin'in ABD'li seçilmiş yetkililer ve hükümet yetkilileri, gazeteciler ve akademisyenlerden gelen hassas verileri, Amerikan şirketlerinden gelen değerli bilgileri ve Amerika'daki ve yurtdışındaki siyasi muhalifleri hedef alan geniş yasa dışı hackleme operasyonunun perdesini geri çekiyor” dedi.
“Onların uğursuz planları dünya çapında binlerce insanı ve kuruluşu mağdur etti ve on yıldan fazla sürdü.”
Yaygın hackleme operasyonu, sanıkların ve APT31'in diğer üyelerinin, ilgilenilen hedeflere, kurbanların konumunu, internet protokolü (IP) adreslerini, ağ şemalarını ve erişim için kullanılan cihazları sızdıran gizli izleme bağlantılarıyla birlikte gelen 10.000'den fazla e-posta göndermesini içeriyordu. e-posta hesapları, mesajları açtıktan hemen sonra.
Bu bilgiler daha sonra tehdit aktörlerinin, alıcıların ev yönlendiricilerini ve diğer elektronik cihazlarını ele geçirmek de dahil olmak üzere, belirli kişilere göre daha hedefli saldırılar gerçekleştirmesine olanak sağladı.
Tehdit aktörlerinin ayrıca kurban bilgisayar ağlarına kalıcı erişimi sürdürmek için sıfır gün açıklarından yararlandıkları ve bunun sonucunda telefon görüşmesi kayıtlarının, bulut depolama hesaplarının, kişisel e-postaların, ekonomik planların, fikri mülkiyetin ve ticari sırların doğrulanmış ve potansiyel olarak çalınmasına neden olduğu söyleniyor. ABD'deki işletmelerle bağlantılı.
APT31 tarafından düzenlenen diğer hedef odaklı kimlik avı kampanyalarının ayrıca Beyaz Saray'da, Adalet, Ticaret, Hazine ve Dışişleri Bakanlıklarında çalışan ABD hükümeti yetkililerini, ABD Senatörlerini, Temsilcilerini ve her iki siyasi partinin seçim kampanyası personelini hedef aldığı tespit edildi.
Saldırılar, RAWDOOR, Trochilus, EvilOSX, DropDoor/DropCat gibi özel kötü amaçlı yazılımlar ve kurban makinelerde komutlar almak ve yürütmek için düşman kontrolündeki sunucularla güvenli bağlantılar kuran diğerleri aracılığıyla kolaylaştırıldı. Ayrıca, sömürü sonrası faaliyetleri yürütmek için Cobalt Strike Beacon'ın kırık bir versiyonu da kullanıldı.
Grubun hedeflediği öne çıkan sektörlerden bazıları savunma, bilgi teknolojisi, telekomünikasyon, imalat ve ticaret, finans, danışmanlık, hukuk ve araştırma endüstrileridir. APT31 ayrıca dünya çapındaki muhalifleri ve onları desteklediği düşünülen diğer kişileri de seçti.
Hazine, “APT31, Hubei Devlet Güvenlik Departmanı (HSSD) adına kötü niyetli siber operasyonlar yürüten Çin devleti destekli istihbarat görevlileri, sözleşmeli bilgisayar korsanları ve destek personelinden oluşan bir koleksiyondur” dedi.
“2010 yılında HSSD, siber operasyonları yürütmek üzere bir paravan şirket olarak Wuhan XRZ'yi kurdu. Bu kötü niyetli siber faaliyet, ABD'li ve yabancı politikacıların, dış politika uzmanlarının, akademisyenlerin, gazetecilerin ve demokrasi yanlısı aktivistlerin ve ayrıca ABD'li ve yabancı politikacıların gözetlenmesiyle sonuçlandı. Ulusal öneme sahip alanlarda faaliyet gösteren kişi ve şirketler.”
“Çin devleti destekli siber casusluk yeni bir tehdit değil ve Adalet Bakanlığı'nın bugünkü açıklanmış iddianamesi, Çin Halk Cumhuriyeti (PRC) gündemini ilerletmek amacıyla siber operasyonlarının tüm kapsamını ortaya koyuyor. Bu yeni bir tehdit olmasa da, kapsamı Secureworks Karşı Tehdit Birimi hükümet ortaklıkları direktörü Alex Rose, casusluk ve uygulanan taktiklerin endişe verici olduğunu söyledi.
“Çinliler son birkaç yılda tespit edilmekten kaçınmak ve belirli siber saldırıların kendilerine atfedilmesini zorlaştırmak için tipik MO'larını geliştirdiler. Bu, Çin'in uygulayabileceği daha geniş bir stratejik çabanın parçası. Beceriler, kaynaklar ÇHC'nin elindeki taktikler ve taktikler, onları dünya çapındaki hükümetler, işletmeler ve kuruluşlar için sürekli ve sürekli bir tehdit haline getiriyor.”
Suçlamalar, Birleşik Krallık hükümetinin, ülkenin Seçim Komisyonu ve politikacılarını hedef alan “kötü niyetli siber kampanyalar” için APT31'i işaret etmesinden sonra geldi. Seçim Komisyonunun ihlali, 40 milyon kişiye ait seçmen verilerine yetkisiz erişime yol açtı.
Tehdit aktörlerinin sistemlere bundan iki yıl önce eriştiğine dair kanıtlar olmasına rağmen olay, düzenleyici kurum tarafından Ağustos 2023'te açıklandı.
Ancak Çin, suçlamaları “tamamen uydurma” ve “kötü niyetli iftiralar” olarak nitelendirerek reddetti. Washington DC'deki Çin büyükelçiliğinin bir sözcüsü BBC News'e ülkelerin “temelsiz suçlamalarda bulunduğunu” söyledi.
“Siber saldırıların kökeninin izlenmesi son derece karmaşık ve hassastır. Siber vakaların doğasını araştırırken ve belirlerken, gerçekler mevcut olmadığında diğer ülkeleri karalamak yerine, siber güvenlik konularını daha az siyasallaştırmak yerine yeterli ve objektif kanıtlara sahip olmak gerekir.” Dışişleri Bakanlığı Sözcüsü Lin Jian şunları söyledi.
“İlgili tarafların dezenformasyon yaymayı bırakmasını, sorumlu bir tutum sergilemesini ve siber uzayda barışı ve güvenliği ortaklaşa korumasını umuyoruz. Çin, yasa dışı ve tek taraflı yaptırımlara karşı çıkıyor ve yasal hak ve çıkarlarını sıkı bir şekilde koruyacak.”