Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
Savcılar Yin Kecheng’i 2024 Hazine Hacking Departmanı’ndan suçluyor
David Perera (@Daveperera) •
5 Mart 2025
ABD federal yetkilileri Salı günü, Çin hükümeti adına faaliyet gösteren iki Şangay hackerının, 2024’ün sonlarında Hazine Bakanlığı’na saldırıdan sorumlu “ipek tayfun” olarak izlenen dijital altyapıyı ele geçirdi.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Kimlik avı saldırılarında kullanılan dört çevrimiçi alanın adli olarak yetkilendirilmesi ve bir VPN – ecoatmosfer.org, newyorker.cloud, heidrickjobs.com ve maddmail.site – iki hacker, Hazineli yaptırımlar ve 2 milyon dolara karşı öngörülmelerin ortaya çıkmasıyla geldi.
Soruşturmanın merkezindeki iki adam Zhou Shuai, yani “Coldface” ve Yin Kecheng. Savcılar, saldırı faaliyetlerinin APT27, İpek Typhoon, Emissary Panda ve UNC 5221 olarak izlenen tehdit grubunun temelini oluşturduğunu söylüyor.
Yin tarafından kiralanan bir sunucu, FBI araştırmacıları tarafından gözden geçirilen bir sunucu, phishlets, Multi-Factor kimlik doğrulama zorlukları da dahil olmak üzere, giriş kimlik bilgilerini ele geçirmek ve çalmak için ortada bir saldırgan olarak dağıtılan bir hackleme aracı olan EvilGinX’i yapılandırmak için kullanılan dosyalar içeriyordu. FBI tarafından araştırılan sunucu görüntüsünde, Phishlets dosyası saldırganların kullandığına dair kanıt içeriyordu outlook.newyorker.cloudkimlik avı saldırılarını başlatmak için ele geçirilen alanlardan birinin alt alan.
Hazine, Ocak ayında Yin’i, yaptırımların uygulanmasından sorumlu büro ve ulusal güvenlik tehditleri için yabancı yatırımları gözden geçiren ofis de dahil olmak üzere federal departmanın kendi bilgi işlem ortamına hacklenmesi nedeniyle zaten Yin’i onayladı (bkz: bkz:: ABD Salt Typhoon Telecom Hacks’in arkasındaki hack firmasını tanımlıyor).
FBI, özellikle Yin’in 2 Eylül 2024 ve 6 Aralık 2024 arasında meydana gelen Hazine müdahalesinden sorumlu olduğuna inanıyor. Çarşamba günü, Zhou’yu uluslararası dolar ödemeler sisteminden kesilen bireyler listesine ekledi ve Shanghai Heiying bilgi teknolojisi şirketi, Zhou’nun BROKER tarafından kullanıldığı özel bir şirketin büyüklüğüne sahipti.
Çin’in kendi adına hacklenen bir hükümet yüklenicisi ağına güvenmesi, özellikle Şubat 2024’ün hükümet müşterilerini tasvir eden iç belgelerin sızıntısından, yabancı hükümetlere nüfuz etme oranları ve Isoon olarak bilinen bu tür bir firmadan araçları hackleme işleminden sonra keskin bir rahatlama oldu. Bugün savcılar ayrıca Isoon CEO’su ve diğer yedi çalışanın yanı sıra firmanın faaliyetlerini yöneten iki Kamu Güvenliği Görevlisi Bakanlığı’na karşı bir iddianameyi açtı (bkz:: ABD savcıları Isoon Çin Hacking Müteahhitleri’ni iddia ediyor).
Müfettişler, Zhou’nun Yin ve Isoon tarafından çalınan verileri aracılık ettiğini ve I-Soon’un Stratejik Danışmanlık Bölümü’nde bir süre hizmet ettiğini söylüyor. Hükümet belgelerine göre, her iki adam da en azından kısmen para kazanma arzusuyla yönlendirildi. FBI Çarşamba günü yaptığı açıklamada, 2013 yılında Yin’in bir ortağa bir Amerikan askeri hedefine nüfuz etmesini umduğunu söyledi.
Zhou’nun Çin hackleme sahnesindeki zamanı en az 2007’ye kadar uzanırken, en az 2013’ten beri aktiftir. ABD bölgesinde 2023 büyük jüri, her ikisi de 25 ceza sayımı ile suçladı, onları “çokuluslu holding şirketi” ile suçladı ve aynı zamanda bir “çokuluslu holding şirketi” ile suçladı. Aynı federal bölgedeki 2013 büyük jürisi 2013 yılında Yin’i 19 suçtan suçladı. İddianamede, gerçek IP adresini gizlemek için kiralama sunucuları gibi tanıdık bir dizi faaliyeti açıklıyor ve Çin ulus-devlet korsanlarıyla ilişkili uzaktan erişim Truva atı olan Plugx’u dağıtıyor (bkz: bkz: FBI 4.000’den fazla Plugx kötü amaçlı yazılım örneğini siler).