Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Pekin Merkezli Enstitü Steganografi, Adli Tıp ve Ağ Penetrasyonunu Araştırıyor
Mathew J. Schwartz (euroinfosec) •
8 Ekim 2025
Çin sivil istihbarat teşkilatı, Pekin siber casusluğunun ayrıntılı ve giderek daha karmaşık dünyasına güç veren yarı özerk örgütler ağının merkezinde yer alıyor.
Ayrıca bakınız: İsteğe Bağlı | Kuzey Kore’nin Gizli Bilişim Ordusu ve Bununla Nasıl Mücadele Edilir?
Recorded Future’dan Insikt Group’a göre, Çin ulus devleti hacklemesi, Devlet Güvenlik Bakanlığı ile sözleşme yapan özel sektör şirketlerinden oluşan bir ağa dayanıyor ve bu da sıfır gün güvenlik açıkları ve kötü amaçlı yazılımlara yönelik araştırmaları destekliyor.
Hükümet yetkilileri ve araştırmacılar, genellikle Sichuan’ın Chengdu şehrinde bulunan bu şirketleri, bilinen bilgisayar korsanlığı yüklenicileri listesine sürekli olarak ekledi. Recorded Future şimdi, daha önce belgelenmemiş bir paravan şirketin MSS için kılıf görevi gördüğünü ortaya çıkardığını söylüyor. Raporda, Pekin Elektronik Teknolojisi ve Uygulama Enstitüsü’nün görevinin “istihbarat, karşı istihbarat, askeri ve Çin’in ulusal kalkınması ve güvenliğiyle ilgili diğer misyonları neredeyse kesinlikle destekleyen teknolojileri araştırmak, geliştirmek, ithal etmek ve satmak” olduğu belirtiliyor.
Araştırma, MSS’nin “geniş bir ön örgütler ağı ve istihbarat faaliyetleri için birimlerin ortak seçilmesi” konusunda daha agresif hale geldiğini öne sürüyor. Kanıtlar arasında saldırgan operasyonlara girişen siber güvenlik şirketleri, “fikri mülkiyet hırsızlığı için kullanılan üniversiteler, sosyal nüfuz için kullanılan kar amacı gütmeyen kuruluşlar ve şimdi – neredeyse kesin olarak – teknoloji sağlamak için kurulmuş araştırma enstitüleri ve bunların alt firmaları yer alıyor.”
MSS’nin kendisi, ulusal veritabanlarına gönderilen saldırgan potansiyel güvenlik açıklarını, bunların ifşa edilmesini zorunlu kılan bir yasa kapsamında değerlendiriyor olabilir (bkz: İhlal Özeti: Çin, ToolShell’e Kısa Bir Göz Attı mı?).
Pek çok güvenlik şirketi, yasanın Eylül 2021’de yürürlüğe girmesinden bu yana Çinli hackerların sıfır gün kullanımında bir artış gözlemledi. Buna karşılık bakanlık da büyük olasılıkla açıkları Çinli tehdit aktörlerine dağıtıyor.
BIETA, Çinli bilgisayar korsanlarının kötü amaçlı yazılım dağıtmak için ve Çinli akıllı ajanlar tarafından gizlice iletişim kurmak için kullandıkları steganografik yetenekler hakkındaki devlet araştırmasına “neredeyse kesinlikle” katkıda bulunuyor. Bilgisayar güvenlik açıkları, kabul edilen birincil araştırma alanlarından biridir.
Recorded Future, “1991 ve 2023 yılları arasında en az bir BIETA bağlantılı yazarın yer aldığı 87 akademik yayının, başlıkları ve özetlerindeki anahtar kelime aramalarına göre en az %40-46’sı steganografiyle ilgilidir” dedi. Araştırma enstitüsü ayrıca geçtiğimiz Ekim ayında düzenlenen “18. Ulusal Bilgi Gizleme ve Multimedya Bilgi Güvenliği” konferansı da dahil olmak üzere konuyla ilgili çok sayıda etkinliğe ev sahipliği yaptı.
BIETA ve yan kuruluşu Beijing Sanxin Times Technology Co.’nun diğer odak alanları arasında kriptografi, ağ oluşturma ve sızma testi, antenler gibi minyatürleştirme teknolojisi ve “metin sahteciliği ve uydurma görüntülerle tahrif edilmiş video dosyalarını tanımlama yöntemleri dahil” adli teknoloji uygulamalarının elde edilmesi ve geliştirilmesi yer alıyor.
BIETA’nın ortaya çıkardığı risk, topladığı her şeyin Pekin’in hedeflerini ilerletmek için kullanılabilmesidir; buna Batı’ya karşı düzenli olarak işletmelerden ve devlet kuruluşlarından fikri mülkiyet hırsızlığı yapan düzenli siber casusluk operasyonlarının desteklenmesi de dahildir. Enstitü tarafından ortak araştırma veya akademik fırsatlara katılma veya ürün satın alma yönündeki herhangi bir teklif, edinilen teknolojinin doğrudan Batı’yı hedef alan askeri ve istihbarat aygıtlarına akıtılması için tasarlanabilir.
Recorded Future’ın raporunda “Yabancı ihracat kontrol otoriteleri, akademik kurumlar ve işletmeler hem BIETA hem de CIII ile yapılan işlemleri ve diğer etkileşimleri kısıtlamayı düşünmelidir” deniyor.
MSS’ye bağlı bilgisayar korsanlarının, Salt Typhoon olarak takip edilen Pekin destekli grup tarafından küresel telekomünikasyon firmalarına uzun süredir devam eden, sinsi sızma da dahil olmak üzere gizli ve uzun süreli izinsiz girişlerle bağlantısı bulunuyor.
Öyle olsa bile, China Leadership Monitor’ün bildirdiğine göre, “MSS’nin kökenlerinde yurt içi odaklı olduğunu ve bu odağı tarihi boyunca koruyarak onu dünya çapındaki diğer bazı yabancı istihbarat servislerinden ayırdığını anlamak önemlidir.”
İşyerinde Steganografi
Çok sayıda Çinli bilgisayar korsanlığı grubu, operasyonlarının bir parçası olarak steganografiyi kullandı.
2021’de sunulan bir ABD federal iddianamesi, tümü APT40 olarak takip edilen ve Çin’in Hainan Eyalet Güvenlik Departmanı tarafından yönetilen bir grubun üyeleri olan MSS memurlarını, GitHub’a yükledikleri çalıntı verileri ve kötü amaçlı yazılımları gizlemek için steganografi uygulamakla suçladı (bkz.: ABD, Uzun Süreli Hackleme Kampanyası Nedeniyle 4 Çin Vatandaşını Suçladı).
İddianameye göre, Bronze Mohawk, Kryptonite Panda ve Leviathan gibi çeşitli isimler kullanılarak da izlenen APT40, en az 2009’dan beri aktif ve “Amerika Birleşik Devletleri, Kanada, Avrupa, Orta Doğu ve Güney Çin Denizi bölgesindeki biyomedikal, robotik ve denizcilik araştırmaları da dahil olmak üzere çok çeşitli sektörlerdeki hükümet kuruluşlarını, şirketleri ve üniversiteleri hedef alan” saldırılarla bağlantılı.
Diğer Çin ulus devlet grupları saldırılarında steganografiyi kullandı. Bunlar arasında APT15’in (muhtemelen Xi’an Tianhe Defence Technology Co. Ltd.’nin bir parçası) “kötü amaçlı yazılımları tespit edilmekten kaçınarak gizlice dağıtmak için steganografiyi kullanan” APT1’in yanı sıra Recorded Future’ın da yer aldığı belirtildi.