Cuma günü, ABD Hazine Bakanlığı, Flax Typhoon olarak bilinen devlet destekli bir bilgisayar korsanlığı topluluğuna yardım etmekle suçlanan Pekin merkezli bir siber güvenlik firması olan Integrity Technology Group’a karşı yaptırımları duyurdu.
Bilgisayar korsanlarının, kritik altyapı, devlet kurumları ve özel şirketlerdeki hedefler de dahil olmak üzere çok sayıda Amerikan ve uluslararası kuruluşun güvenliğini tehlikeye atmak için Integrity Tech’in hizmetlerinden ve altyapısından yararlandıkları iddia ediliyor.
Hazine Müsteşarlığı Yabancı Varlıklar Kontrol Ofisi (OFAC), değiştirilmiş şekliyle 13694 sayılı Başkanlık Emri (EO) uyarınca Integrity Tech’i belirledi ve şirketin ABD yargı yetkisi altındaki varlıklarını etkin bir şekilde bloke etti.
Yaptırımlar aynı zamanda Amerikalı kuruluşların ve bireylerin de firmayla işlem yapmasını yasaklıyor. Ayrıca Integrity Tech ile iş yapan yabancı şirketler, işlemlerinin ABD pazarlarını veya finansal sistemlerini kapsaması durumunda cezalandırılma riskiyle karşı karşıyadır.
Terörizm ve Mali İstihbarattan Sorumlu Hazine Müsteşarı Vekili Bradley T. Smith, tehdidin ciddiyetinin altını çizerek şunları söyledi: “Hazine Bakanlığı, kötü niyetli siber aktörleri ve onları destekleyenleri eylemlerinden sorumlu tutmakta tereddüt etmeyecektir.”
ABD’nin kötü niyetli siber tehditleri engellemek ve caydırmak için geniş yasal ve mali araçlarını aktif olarak kullanacağını vurguladı.
Keten Tayfunu: Kalıcı Bir Siber Tehdit
Flax Typhoon en az 2021’den beri aktif. Güvenlik araştırmacıları ve ABD’li yetkililer, grubun Çin hükümetiyle bağlantılı olduğunu ve hem yurt içinde hem de yurt dışında kritik altyapıları hedef almasıyla bilindiğini söylüyor.
Kuzey Amerika, Avrupa, Afrika ve Asya’yı vurduğu bildirilse de odak noktası belirgin bir şekilde ABD ve Tayvanlı kuruluşlardı.
Flax Typhoon, bir yer kazanmak için kamuya açık olarak bilinen güvenlik açıklarından yararlanıyor, ardından kurban ağlarında tespit edilmeden, uzun vadeli varlığını sürdürmek için meşru uzaktan erişim araçlarına güveniyor.
ABD yetkililerine göre bilgisayar korsanları erişim sağlamak ve genişletmek için çeşitli taktikler kullandı. Bu yöntemler arasında, sanal özel ağ (VPN) yazılımından ve uzak masaüstü protokollerinden (RDP) yararlanılarak bunların güvenliği ihlal edilmiş sistemler içinde yatay olarak hareket etmelerine olanak sağlanması yer alıyordu.
2022 yazı ile 2023 sonbaharı arasında ABD ve Avrupa kuruluşlarıyla ilişkili birden fazla sunucuya sızdıkları iddia ediliyor.
Hazine yetkilileri, aynı dönemde Flax Typhoon’un Integrity Tech’e bağlı altyapı aracılığıyla sık sık bilgi alışverişinde bulunduğu ve şirketin kaynaklarını siber saldırılarını başlatmak ve yönetmek için etkin bir şekilde kullandığı sonucuna vardı.
Müfettişler, firmanın altyapısının, bilgisayar korsanlarının verileri çalan veya başka siber kesintilere neden olan birden fazla izinsiz girişteki operasyonlarının ayrılmaz bir parçası olduğunu buldu.
Eylül 2024’te, ayrı ancak bağlantılı bir olayda ABD kurumları, Flax Typhoon tarafından tasarlanan bir botnet’i bozmak için harekete geçti, anahtar sunucuların kontrolünü ele geçirdi ve binlerce ağ cihazına bulaşan kötü amaçlı yazılımları etkili bir şekilde ortadan kaldırdı.
Yetkililer, grubun Dağıtılmış Hizmet Reddi (DDoS) saldırıları ve diğer kötü amaçlı faaliyetler için büyük ölçekli botnet’ler oluşturma ve bunlardan yararlanma kapasitesini tarihsel olarak gösterdiğini söylüyor.
Ulusal Güvenlik Etkileri
Yaptırımlar, ABD Hazine Bakanlığı’nın gizli bilgilere erişen Çinli tehdit aktörleri tarafından ihlal edildiğinin ortaya çıkmasından kısa bir süre sonra geldi.
Bu ihlaller, yetkililerin, yüksek değerli hükümet hedeflerine ve kritik altyapıya karşı Çin devleti destekli siber operasyonların kalıcı doğası hakkındaki endişelerini bir kez daha doğruluyor.
Yetkililer ayrıca Volt Typhoon gibi bağlantılı grupların kendilerini potansiyel yıkıcı saldırılara karşı konumlandırmak amacıyla daha önce ABD elektrik şebekelerine ve diğer kritik sistemlere sızdıkları konusunda da uyardılar.
Sonuçta, Hazine’nin tedbirleri açık bir mesaj göndermeyi amaçlıyor: devlet destekli bilgisayar korsanlığı kampanyalarına yardım veya yataklık ettiği tespit edilen kuruluşlar hızlı ve ciddi cezalarla karşı karşıya kalacak.
OFAC, “Yaptırımların nihai amacının cezalandırmak değil, davranışta olumlu bir değişiklik meydana getirmek olduğunu” belirtti. Bu hareketin gelecekteki siber saldırıları caydırıp caydırmayacağı henüz belli değil, ancak şimdilik hükümetin kararlı tepkisi, Çinli siber aktörlerden gelen devam eden tehditlere bakış açısının ciddiyetinin altını çiziyor.