ABD Hazine Bakanlığı Yabancı Varlıklar Kontrol Ofisi (OFAC), Çinli bir siber güvenlik şirketine ve Şangay merkezli bir siber aktöre, Salt Typhoon grubuyla bağlantılı oldukları iddiası ve federal kurumun yakın zamanda yaptığı uzlaşma nedeniyle yaptırımlar uyguladı.
Hazine, bir basın açıklamasında, “Çin Halk Cumhuriyeti bağlantılı (PRC) kötü niyetli siber aktörler, Hazine’nin bilgi teknolojisi (BT) sistemlerinin yanı sıra hassas ABD kritik altyapısının yakın zamanda hedeflenmesi de dahil olmak üzere ABD hükümet sistemlerini hedeflemeye devam ediyor.” dedi.
Yaptırımlar, on yılı aşkın bir süredir siber aktör olarak değerlendirilen ve Çin Devlet Güvenlik Bakanlığı’na (MSS) bağlı olduğu değerlendirilen Yin Kecheng’i hedef alıyor. Hazine’ye göre Kecheng, bu ayın başlarında ortaya çıkan kendi ağının ihlaliyle ilişkilendirildi.
Olay, BeyondTrust’un sistemlerine yönelik bir saldırıyı içeriyordu ve tehdit aktörlerinin güvenliği ihlal edilmiş bir Uzaktan Destek SaaS API anahtarını kullanarak şirketin Uzaktan Destek SaaS örneklerinden bazılarına sızmasına olanak tanıdı. Faaliyet, Silk Typhoon (eski adıyla Hafnium) adlı bir ulus devlet grubuna atfedildi ve bu grup, 2021’in başlarında Microsoft Exchange Server’daki birden fazla güvenlik açığının (diğer adıyla ProxyLogon) sıfır gün istismarıyla bağlantılıydı.
Bloomberg’in yakın tarihli bir raporuna göre, saldırganların Hazine’ye ait en az 400 bilgisayara sızdıkları ve politika ve seyahat belgeleri, organizasyon şemaları, yaptırımlar ve yabancı yatırımlarla ilgili materyaller ve ‘Hukuk’ dahil olmak üzere 3.000’den fazla dosyayı çaldıkları söyleniyor. Yaptırımlara Duyarlı’ veriler.
Raporda ayrıca, Bakan Janet Yellen, Bakan Yardımcısı Adewale Adeyemo ve Müsteşar Vekili Bradley T. Smith tarafından kullanılan bilgisayarların yanı sıra ABD’deki Yabancı Yatırım Komitesi tarafından yürütülen soruşturmalarla ilgili materyallere de yetkisiz erişim sağladıkları belirtildi.
Silk Typhoon’un, Google’ın sahibi olduğu Mandiant tarafından, Ivanti’nin sıfır gün güvenlik açıklarını kapsamlı bir şekilde silahlandırmasıyla tanınan, Çin bağlantılı bir casusluk aktörü olan UNC5221 adı altında takip edilen bir kümeyle örtüştüğüne inanılıyor. Hacker News daha fazla yorum almak için Mandiant’a ulaştı ve geri dönüş alırsak hikayeyi güncelleyeceğiz.
Yaptırımlar aynı zamanda Hazine’nin ülkedeki büyük ABD telekomünikasyon ve internet servis sağlayıcı şirketlerine yönelik bir dizi siber saldırıya doğrudan karıştığını söylediği Sichuan merkezli bir siber güvenlik şirketi olan Sichuan Juxinhe Network Technology Co., LTD.’yi de hedef alıyor.
Faaliyet, Salt Typhoon (diğer adıyla Earth Estries, FamousSparrow, GhostEmperor ve UNC2286) adlı farklı bir Çinli hack grubuyla ilişkilendirildi. Tehdit aktörünün en az 2019 yılından bu yana aktif olduğu tahmin ediliyor.
Hazine, “MSS, Sichuan Juxinhe de dahil olmak üzere çok sayıda bilgisayar ağı istismar şirketiyle güçlü bağlarını sürdürdü” dedi.
Ayrı olarak, Dışişleri Bakanlığı’nın Adalet İçin Ödül programı, yabancı devlet destekli bir düşmanın talimatı veya kontrolü altında hareket eden herhangi bir kişinin kimliğinin veya yerinin belirlenmesine yol açabilecek bilgiler için 10 milyon dolara kadar ödül teklif ediyor. Bilgisayar Dolandırıcılığı ve Kötüye Kullanım Yasası’nı ihlal ederek ABD’nin kritik altyapısına karşı kötü niyetli siber faaliyetlerde bulunmak.
Adeyemo yaptığı açıklamada, “Hazine Bakanlığı, Amerikan halkını, şirketlerimizi ve ABD hükümetini hedef alan, özellikle Hazine Bakanlığı’nı hedef alanlar da dahil olmak üzere, kötü niyetli siber aktörleri sorumlu tutmak için yetkilerini kullanmaya devam edecek” dedi.
ABD telekom hizmet sağlayıcılarına yönelik saldırılar, Federal İletişim Komisyonu’nun (FCC), sektörde faaliyet gösteren şirketlerin ağlarını yasa dışı erişime veya iletişimin kesilmesine karşı korumasını gerektiren yeni kurallar yayınlamasına yol açtı. Görevden ayrılan FCC başkanı Jessica Rosenworcel, hackleri “şimdiye kadar görülen en büyük istihbarat ihlallerinden biri” olarak nitelendirdi.
FCC, “Bu eyleme, iletişim hizmeti sağlayıcılarının gelecekteki siber saldırılara karşı iletişimi güçlendirecek bir siber güvenlik risk yönetimi planı oluşturduklarını, güncellediklerini ve uyguladıklarını doğrulayan yıllık bir sertifikayı FCC’ye sunmalarını zorunlu kılan bir teklif eşlik ediyor” dedi. .
Bu haftanın başlarında Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) direktörü Jen Easterly, “Çin’in gelişmiş ve iyi kaynaklara sahip siber programı, ülkemize ve özellikle de ABD’nin kritik altyapısına yönelik en ciddi ve önemli siber tehdidi temsil ediyor” dedi.
Easterly ayrıca Salt Typhoon’un siber casusluk grubunun AT&T, Lumen Technologies, T-Mobile, Verizon ve diğer sağlayıcıların ağlarına sızmasından çok önce federal ağlarda ilk kez tespit edildiğini ortaya çıkardı.
Bu atamalar, Hazine’nin Çinli tehdit aktörlerinin kötü niyetli siber faaliyetleriyle mücadele etmek amacıyla yaptığı uzun hamleler listesinin sadece sonuncusu. Daha önce ajans tarafından onaylanan üç şirket daha vardı: Integrity Technology Group (Flax Typhoon), Sichuan Silence Information Technology (Pacific Rim) ve Wuhan Xiaoruizhi Science and Technology Company (APT31).