ABD Hazine Bakanlığı, dini kuruluşlar, medya kuruluşları ve kritik altyapıyı hedefleyen devlet destekli siber casusluk kampanyalarına bağlı 12 Çinli vatandaşa karşı bugün ABD Adalet Bakanlığı (DOJ) suçsuz iddianameler.
Ücretler, Plugx ve Hyperbro gibi gelişmiş kötü amaçlı yazılımlardan yararlanan kapsamlı, on yıl süren bir operasyon, CVE-2017-0213 gibi güvenlik açıklarının kullanımı ve muhalefeti baskılamak ve hassas verileri çalmak için Çin güvenlik ajanslarıyla işbirliği ortaya koyuyor.
Sanıklar, Çin Kamu Güvenliği Bakanlığı’ndan (MPS) iki memur, Chengdu merkezli I-Soon bilgi teknolojisinin sekiz çalışanı ve APT27 Tehdit Grubu’nun iki üyesi (İpek Typhoon veya Emissary Panda olarak da bilinir) bulunmaktadır.
En az 2010’dan beri aktif olan APT27, Plugx ve Quarkbandit gibi özel araçları kullanarak savunma, havacılık ve hükümet sektörlerini hedefleyen siber casusluk hedefleme ile bağlantılıdır.
Mahkeme belgelerine göre, I-Soon, Milletvekilleri ve Devlet Güvenliği Bakanlığı’nı (MSS) ödün verilen e-posta gelen kutusu başına 10.000 ila 75.000 dolar arasında ücretlendiren “kiralık bir hacker” varlığı olarak işletildi.
Grup, Mimikatz’ı kimlik bilgisi hasat için kullanırken Mimikatz’ı ve CVE-2017-0213’ü ayrıcalık artışı için kullanırken, Plugx ve istiridye kötü amaçlı yazılımları dağıtmak için Meşru bir Google Updater Yürütülebilir (Goopdate.dll) ile DLL yan yükleme kullandı.
Apt27: Geniş ölçekli siber casusluk
Saldırılar, kurbanları kritik sistemlerden kilitlemek için yanal hareket ve Bitlocker şifrelemesi için ASPXSPY web kabuklarının kullanılması da dahil olmak üzere çok aşamalı saldırı zincirleri kullanıldı.
Bir olayda, APT27 aktörleri, Microsoft Exchange sunucularında Proxyshell güvenlik açıklarından (CVE-2021-26855, CVE-20855, CVE-2021-34473) sömürdü.
Dikkate değer kurbanlar dahil:
- ABD Hazine Bölümü: Eylül ve Aralık 2024 arasında APT27 tarafından kiralanan tehlikeye atılan sanal özel sunucular (VPS) aracılığıyla ihlal edildi.
- Dışişleri Bakanlıkları: Tayvan, Hindistan, Güney Kore ve Endonezya’daki hedefler diplomatik iletişimin ortaya çıkması vardı.
- Dini Örgütler: Çin’in politikalarını eleştiren ABD merkezli bir grup veri hırsızlığı ve gözetim yaşadı.
DOJ, savunma yüklenicileri ve üniversitelerden fidye yazılımı dağıtımlarına ve fikri mülkiyet hırsızlığına atıfta bulunarak milyonlarca dolarlık zararları tahmin ediyor.
ABD’nin yanıtı ve yaptırımları
Microsoft’un Tehdit İstihbarat Merkezi (MSTIC) ile işbirliği içinde FBI, I-Soon’un birincil alanını ve APT27 kontrollü VPS altyapısını ele geçirerek operasyonları bozdu.
Dışişleri Bakanlığı, I-Soon operatörleri hakkında bilgi için 10 milyon dolar ve APT27 üyesi Zhou Shuai (“Coldface”) ve Yin Kecheng için 2 milyon dolarlık ödül açıkladı.
Eşzamanlı olarak, Hazine Yabancı Varlıklar Ofisi (OFAC), Zhou Shuai’nin bir ön şirketi olan Şangay Heiing bilgi teknolojisini yaptırdı ve hack kampanyalarına bağlı varlıkları engelledi.
DOJ Ulusal Güvenlik Bölümü başkanı Sue J. Bai, “Adalet Bakanlığı, hükümetimizden ve halkımızdan çalarak siber güvenliğimizi tehdit edenleri acımasızca takip edecek” dedi.
“Bugün, dünya çapında bilgisayarlara ve ağlara yönelik ayrım gözetmeyen ve pervasız saldırıları ve serbest bıraktıkları şirketleri ve bireysel bilgisayar korsanlarını yönlendiren ve teşvik eden Çin hükümet acentelerini ortaya koyuyoruz.”
Çin büyükelçiliği, Pekin’in siber suçlara karşı olduğunu yineleyen “temelsiz smearlar” iddialarını reddetti.
Bununla birlikte, sızdırılmış I-Soon pazarlama materyalleri, 43’den fazla Çin güvenlik bürosuna sahip sözleşmeler ortaya koydu ve eyalet ve özel sektör korsanları arasındaki bulanık çizgilerin altını çizdi.
İddianameler, kritik altyapı savunmalarını destekleme konusunda duruşma da dahil olmak üzere, ABD’nin Çin siber tehditlerine karşı koyma çabalarıyla çakışıyor.
Dava, PRC’nin ilk olarak 2015 Personel Yönetimi Ofisi (OPM) ihlalinde gözlenen bir strateji olan inkar edilebilir operasyonlar yürütmek için “vatansever bilgisayar korsanları” konusundaki güvenini vurgulamaktadır.
Uzmanlar, APT27’nin şimdi Nailaolocker saldırılarında gösterildiği gibi fidye yazılım taktikleri kullandığı için casusluk ve cezai motivasyonların birleştiği konusunda uyarıyor.
FBI Siber Bölümü müdürü Bryan Vorndran, “Bugünkü duyurular, Çin Kamu Güvenliği Bakanlığı’nın, Çin Komünist Partisi’ni (CCP) eleştiren Amerikalılara dijital zarar vermek için korsanların bilgisayar korsanlarına ödeme yaptığını ortaya koyuyor” dedi.
“ÇKP’ye yasadışı siber faaliyetlerinde yardımcı olmayı seçenlere, bu suçlamalar sizi tanımlamak, sizi ilan etmek ve tüm dünyanın görmesi için kötü amaçlı etkinliğinizi ortaya çıkarmak için mevcut tüm araçları kullanacağımızı göstermelidir.”
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free