Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Savcılar, Çin'in Jeopolitik Hack'ler İçin Wuhan Cephesi Şirketi Kurduğunu Söyledi
David Perera (@daveperera) •
25 Mart 2024
ABD federal savcıları, operasyonları jeopolitik eğilimlere tepki veren Pekin'deki bir ekonomik ve istihbarat casusluk grubu adına hack yapmakla suçladıkları yedi Çin vatandaşını suçladı.
Ayrıca bakınız: İsteğe Bağlı | Hileli URL Hileleriyle Mücadele: En Son Kimlik Avı Saldırılarını Nasıl Hızlı Bir Şekilde Tanımlayabilir ve Araştırabilirsiniz?
Yedi şüphelinin, Çin'in sivil istihbarat teşkilatı olan Devlet Güvenlik Bakanlığı'nın eyalet hükümeti kolu tarafından kurulan bir paravan şirkette yüklenici olarak görev yaptığı iddia edilen iddianamenin düzeltilmiş hali görülüyor. Hubei Devlet Güvenlik Departmanı, 2010 yılında Wuhan şehrinde Wuhan Xiaoruizhi Science & Technology'yi kurdu. APT31 ve Violet Typhoon olarak bilinen tehdit aktörü, başka bir şirket olan Wuhan Liuhe Tiangong Science & Technology ile de sözleşme imzaladı. Sahibi Sun Xiaohui, New York'un Doğu Bölgesi'nde suçlanan yedi kişiden biri.
ABD Hazine Bakanlığı Pazartesi günü Wuhan Xiaoruizhi Bilim ve Teknoloji ile iki yüklenici Zhao Guangzong ve Ni Gaobin'e yaptırım uyguladı.
ABD, sanıklardan hiçbirinin Amerikan adliyesinin içini göremeyeceği ihtimalinin yüksek olmasına rağmen, 2014'ten bu yana Çinli hackerları suçlama stratejisi uyguluyor. Yetkililer başlangıçta, hackleme metodolojisinin isimleri ve detaylarıyla dolu olan iddianamelerin, Çin'i kötü niyetli siber faaliyetleri durdurma konusunda baskı altına alacağını düşündüler, ancak bu gerçekleşmemiş gibi görünüyor. İddianamelerin çok az somut etkisi olduğu görüldüğünden, strateji etkisiz olduğu ve Çin korsanlığını cesaretlendirdiği için eleştirilere maruz kaldı.
Diğer siber analistler, iddianamelerin Çinli bilgisayar korsanlarının yeniden düzenlenip organize olmasına ve operasyon temposunu yavaşlatmasına neden olduğunu ileri sürerek stratejiyi savundu. İddianameler aynı zamanda özel sektörü ve müttefik ülkeleri Çin tehdidinin ciddiyetine ikna etme çabasının yapı taşları olarak da hareket edebilir ve “ileri savunma” operasyonları için bir temel oluşturabilir.
Başsavcı Merrick, “Bu dava, Çin hükümetinin, ABD ve müttefiklerimizin ulusal güvenliğini tehdit etmeyi amaçlayan kötü niyetli siber operasyonlar başlatmak da dahil olmak üzere kendisini eleştirenleri hedef almak ve korkutmak için gitmek istediği sonuçların bir hatırlatıcısı olarak hizmet ediyor” dedi. Çelenk.
İddianame, APT31'i, görünüşe göre önde gelen Amerikalı gazetecilerden gelen ve ağ şemaları ve son kullanıcı cihazları gibi verileri çıkaran kötü amaçlı bağlantılar içeren binlerce izleme e-postası aracılığıyla hedeflerden teknik ayrıntıları toplamakla suçluyor. İddianamede, “Komplocular bu yöntemi, üst düzey ABD hükümet yetkilileri ve politikacıları ile her iki büyük ABD siyasi partisinden seçim kampanyası personeli de dahil olmak üzere alıcıların ev yönlendiricileri ve diğer elektronik cihazlarının daha doğrudan ve karmaşık bir şekilde hedeflenmesini sağlamak için kullandı.” ifadesine yer veriliyor.
Grubun faaliyetleri, en az 2017'den bu yana, dönemin Başkan Donald Trump'ın Mart 2018'de ithal çeliğe vergi uygulaması gibi jeopolitik olaylara yanıt verdi. Duyurudan birkaç saat sonra APT31, bilgisayar korsanlarının kimliği belirsiz bir Amerikan çelik şirketinin ağına yüklenen kötü amaçlı yazılımlarla iletişim kurmak için kullandığı, uluslararası bir çelik ticareti birliğini taklit eden bir web alan adını kaydetti.
Dışişleri Bakanlığı'nın Temmuz 2020'de Çin'in Güney Çin Denizi'ndeki toprak iddialarını reddetmesinin ardından APT31 bilgisayar korsanları, Asya-Pasifik bölgesine odaklanan ordu ve düşünce kuruluşu yetkililerine kötü amaçlı e-postalar göndermek için Estonya merkezli bir e-posta hesabı kullandı. E-postalar kötü amaçlı yazılım düşürücü içeriyordu.
APT31 ayrıca, 2019 yılında Hong Kong milletvekilleri de dahil olmak üzere Hong Kong'daki demokrasi yanlısı protestolarla bağlantılı aktivistleri hedef alan “geniş çaplı bilgisayar korsanlığı faaliyetleri” gerçekleştirdi. ABD'li milletvekillerinin 2018'de Hong Kong aktivistlerini o yılki Nobel Barış Ödülü'ne aday göstermelerinin ardından Norveçli çok uluslu bir BT hizmetleri sağlayıcısını ve Oslo hükümetini hacklediler.
Mandiant Intelligence baş analisti John Hultquist, “APT31 gibi aktörler, toplamakla görevlendirildikleri jeopolitik istihbaratı bulmak için siyasi örgütlere başvuruyor” dedi. “Politikacılar, partiler ve seçim örgütleri, koleksiyonculara nadir jeopolitik bilgilerden devasa veri hazinelerine kadar her şeyi sunan zengin istihbarat kaynaklarıdır.” Hultquist, Rus devletinin hackleme operasyonlarından farklı olarak, Çinli devlet aktörleri tarafından çalınan bilgilerin “illa aktif müdahalede kullanılması anlamına gelmediğini” ekledi.
Adalet Bakanlığı yaptığı açıklamada, iddianamenin “hacklemenin herhangi bir Çin hükümetinin ABD'ye karşı operasyonlarını etkilemesini ileri sürdüğünü iddia etmediğini” belirtti ancak aynı zamanda Pekin'in, Çin'i eleştirenleri kenara itmek veya ABD'yi yüceltmek için bu yıl Amerikan seçimlerini etkilemeye çalışabileceği konusunda da uyardı. toplumsal bölünmeler.
Bu tehdit grubu, son zamanlarda ABD'nin “isim verme ve utandırma çabaları”nın odağında olan bir başka Çinli hack grubu olan Volt Typhoon'un aksine, kötü amaçlı yazılım kullanıyor. İddianamede grubun araçları olarak Rawdoor, Trochilus, EvilOSX ve DropDoor/DropCat listeleniyor. APT31 ayrıca Cobalt Strike Beacon'ın kırık bir versiyonunu kullanmıştır.
APT31'in hackleme faaliyetleri arasında sıfır gün güvenlik açığından yararlanma da yer alıyor. Savcılar, grubun 2016 yılının sonlarında bir savunma yüklenicisine sızmak için bu yöntemi kullandığını ve yüklenicinin bir yan kuruluşunun ağında yeni bir hesap oluşturmak için SQL enjeksiyon saldırısı yoluyla ilk erişimi temel aldığını söylüyor.
Yönetilen hizmet sağlayıcılar favori hedef olmuştur. İddianamede, APT31'in müşterilerin verilerine erişmenin bir yolu olarak 2017'den 2019'a kadar bunlardan yedisini hedef aldığı belirtiliyor.