Siber Savaş / Ulus Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suç, Coğrafi Odak: Asya
5 Siber Güvenlik Şirketi, Hükümet Tarafından Finanse Edilen Büyük Bir Casusluk Kaynağı Havuzu Sağlıyor
Jayant Chakravarti (@JayJay_Tech) •
16 Eylül 2024
Komünist rejimin daha geniş jeopolitik hamlelerinin bir uzantısı olarak görülen Çin’in siber casusluk kampanyaları, başarılarının çoğunda yerel güvenlik şirketlerinden gelen sivil bilgisayar korsanlarına güveniyor. Araştırmacılar, bu grupların kazançlı hükümet sözleşmeleri için yoğun rekabet içinde olduğunu söylüyor.
Ayrıca bakınız: 2024 Dolandırıcılık İçgörüleri Raporu
Bu şirketler ile hükümet arasındaki ilişki gizli olsa da, iSoon olarak da bilinen orta ölçekli Çinli siber güvenlik şirketi Anxun Information Technology Co.’ya ait bir bilginin sızdırılması, güvenlik araştırmacılarının ve Çin gözlemcilerinin şüphelendiği bir gerçeği ortaya çıkardı: Çin hükümeti ile yerel siber güvenlik şirketleri arasında hükümet sözleşmeleri aracılığıyla sağlanan güçlü bağlantılar.
iSoon’un GitHub deposundaki 577 dosyayı sızdırması, yerel siber güvenlik şirketlerinin faaliyet gösterdiği bulanık, genellikle yozlaşmış ortama dair bir bakış sağladı. Anxun yöneticileri, hükümet yetkililerini etkilemek ve kazançlı sözleşmeler kazanmak için parti ideolojisine sadakatle birlikte gece geç saatlerde partiler, alkol ve kadınların bir kombinasyonunu aktif olarak kullandı.
iSoon belgelerinin analizi, Çinli siber güvenlik şirketinin en az 22 ülkede Çin hükümeti adına hükümet ve özel kuruluşları gözetlediğini buldu. Belgeler, iSoon’u RedHotel, RedAlpha ve Poison Carp olarak takip edilen Çin devlet hack gruplarıyla ilişkilendirdi; Recorded Future, bunların muhtemelen belirli görevlere odaklanmış iSoon alt ekipleri olduğunu söyledi (bkz: iSoon Sızıntısı Çin APT Gruplarına Bağlantıları Gösteriyor).
Tehdit araştırma şirketi Natto’ya göre, Chengdu merkezli iSoon, Çin’deki altı lokasyondan faaliyet gösteriyordu ve sızıntı sırasında yaklaşık 160 çalışanı vardı, ancak bunlardan yalnızca yaklaşık 26’sı dört yıllık üniversite derecesine sahipti ve hassas operasyonları yönetiyordu. iSoon, bu kaynaklarla 30’dan fazla ülkedeki kuruluşlara sızdığını ve daha fazla saldırı düzenlemek için cephaneliğinde gelişmiş araçlar olduğunu iddia etti.
iSoon, Çin siber güvenlik topluluğunda nispeten küçük bir oyuncudur. Sızdırılan belgeler, şirketin gelirlerinin COVID-19 salgını sırasında düştüğünü, kısmen hükümetin kaynakları başka yerlere yatırması ve kısmen de en kazançlı hükümet sözleşmelerini ele geçiren rakip siber güvenlik şirketlerinin meteorik yükselişi nedeniyle olduğunu gösteriyor.
Sızdırılan belgelerdeki çalışan sohbet kayıtları, merkezi hükümet departmanlarının, hükümet tarafından yönetilen işletmelerin ve bankaların %90’ında çalışan önde gelen bir siber güvenlik şirketi olan Qi An Xin’in, işe yatırım yapma bahanesiyle iSoon’un yetenekli personelinin çoğunu işe aldığını ancak daha sonra teklifini geri çektiğini gösteriyor. Natto, “iSoon’un çalışan tutma ikilemi, Çin’deki siber güvenlik sektöründeki büyük balığın küçük balığı yediği atmosferini gösteriyor” dedi.
Büyük Çinli Satıcılar Tüm Kartları Elinde Tutuyor
ETH Zürih’teki Güvenlik Çalışmaları Merkezi’nde kıdemli siber savunma araştırmacısı olan Eugenio Benincasa’ya göre, Çin’in saldırgan siber savaş stratejisi, merkezi hükümet siber güvenlik sözleşmelerinin büyük bir kısmını elinde tutan küçük bir grup önde gelen siber güvenlik şirketine büyük ölçüde dayanmaktadır. Bu şirketler – Qihoo 360, Tencent, Cyber Kunlun, Oppo ve Ant Group – Google, Apple ve Microsoft dahil olmak üzere teknoloji şirketlerine hata ödülü katkıları açısından dünyaya öncülük etmektedir.
Çinli hata ödülü hacker’ları en azından 2013’ten beri küresel hata ödülü yarışmalarında ve hackathon’larda takdire şayan bir performans sergiliyor ve Tencent ve Qihoo 360’tan takımlar 2017’de Kanada’daki Pwn2Own hacking yarışmasında ödül parasının %80’ini kazandı. Ertesi yıl Çin, güvenlik açığı araştırmacılarının uluslararası hackathon’lara katılmasını yasakladı ve Tianfu Kupası’nı yalnızca yerel hacker topluluğu için başlattı.
Bu değişim, mevcut oyuncuları yerinden ederken pazarda hemen yeni liderler yarattı. 2017 ile 2020 arasında Android’e yönelik tüm güvenlik açıklarının %70’ini ve Microsoft’a yönelik tüm güvenlik açıklarının %60’ını bildiren Qihoo 360, önde gelen Microsoft güvenlik açığı araştırmacısı Yuki Chen’in Cyber Kunlun’u kurmak için ekibinin geri kalanıyla birlikte ayrılması ve önde gelen Android araştırmacısı Zinuo Han’ın 2021’de Oppo’ya geçmesiyle hızla önemini yitirdi.
2021’den beri Cyber Kunlun ve Oppo, Microsoft ve Google’a en büyük Çin zafiyet katkı sağlayıcıları oldu ve Çin’den uluslararası katılım yasağına rağmen bu eğilimi canlı tuttu. Benincasa, “Chen ve Han, araştırmaları kritik ABD ürünlerinin güvenliğine muazzam fayda sağlayan nispeten küçük ancak etkili bir süperstar Çinli hacker grubuna ait,” dedi. “Aynı zamanda, bulgularının Çin’in istihbarat teşkilatı olan Devlet Güvenlik Bakanlığı tarafından, potansiyel olarak saldırgan veya casusluk amaçları için incelenmesi de muhtemel.”
2021’de Çin, yerel güvenlik açığı araştırmacılarını güvenlik açıklarını 48 saat içinde yetkililere bildirmeye zorlayan Ağ Ürünü Güvenlik Açıklarının Yönetimine İlişkin Yönetmelikleri uygulamaya koydu. Hükümet ayrıca, beyaz listeye alınmış özel şirketlerin daha sonra devlet yetkilileri tarafından değerlendirilen güvenlik açıklarını ifşa etmesini gerektiren bir Çin Ulusal Güvenlik Açığı Veritabanı başlattı.
Atlantik Konseyi’ne göre, 151 özel siber güvenlik şirketi, Çin Komünist Partisi Devlet Güvenlik Bakanlığı’nın 13. Bürosu tarafından yönetilen güvenlik açığı veritabanına yazılım açıklarıyla ilgili bilgi yüklüyor.
Grup, “Araştırmacılar her yıl MSS’ye en az 1.955 yazılım açığı sağlıyor ve bunların en az 141’i ‘kritik’ önemde olarak sınıflandırılıyor. MSS tarafından alındıktan sonra, neredeyse kesinlikle saldırgan kullanım için değerlendiriliyorlar” dedi.
“Çin’in zafiyet boru hattı, hükümet kurumlarına Batılı meslektaşlarına göre önemli bir avantaj sağlıyor,” dedi Benincasa. “Sivil araştırmacıların zafiyet ifşa süreçlerinde stratejik olarak kendisini nihai alıcı olarak konumlandırarak, Çin hükümeti dünyanın en iyi zafiyet araştırmacılarından bazılarını büyük ölçekte ve hiçbir maliyet olmadan etkili bir şekilde kaldıraçlıyor.”
Güvenlik açığı edinme sürecinin, karanlık pazarlardan sıfır-gün açıkları edinmek veya kendi güvenlik açığı araştırma ekibine yatırım yapmakla karşılaştırıldığında çok daha hızlı ve maliyet açısından etkili bir süreç olduğunu söyledi.
Haziran ayında yayınlanan araştırmada Benincasa, Çin’in güvenlik açığı araştırmacılarını sıfır günlük güvenlik açıklarını yetkililere bildirmeye zorlama stratejisinin, ulus-devlet bilgisayar korsanlarının diğer ülkelerden daha fazla sıfır günlük güvenlik açığını ele geçirmesine yardımcı olduğunu açıkladı (bkz: Çin, Yerli Yetenekleri Geliştirmek İçin Hacking Yarışmalarını Kullanıyor).
Natto’nun araştırması da benzer bir sonuca ulaştı. Ülke, yukarıdan aşağıya yönetim modeliyle bilinse de, yetkililer 2000’lerin başından beri hükümetin siber stratejisini yürütmek için özel siber güvenlik şirketlerini ortak olarak dahil etmeyi planlıyor. Bu amaca yardımcı olan şey, özel şirketlerin hükümet sözleşmeleri için rekabet etmeye ve hatta ortak projelerde iş birliği yapmaya fazlasıyla istekli olmalarıdır.
Şirket, “Çin’in yetenekli siber uzmanlarının kaynağı özel sektör şirketlerinde bulunuyor” dedi. “Bu şirketler, iSoon ve ortak şirketlerinin sunduğu ürünler ve hizmetler gibi, eyalet ve yerel makamların kullanması için değerli araçlar geliştiriyor. Bu şirketler, kendi verimliliklerini artırmak için güvenlik açıklarını titizlikle keşfediyor ve istismarlar geliştiriyor, böylece işlerini genişletebiliyorlar.”
Rekabet güçlerini artırmak için Çinli siber güvenlik şirketleri, yerel hack yarışmalarından ve gelişmiş siber güvenlik dersleri sunan önde gelen üniversitelerden sürekli olarak yeni yetenekler arıyor. Hükümet, daha fazla üniversitenin güvenlik dersleri sunmasını teşvik ederek bu girişimi destekliyor. Son Global Times raporuna göre, 626 üniversite şu anda kriptografi, web güvenliği, gizlilik ve bilgisayar ağları ve güvenliği dersleri de dahil olmak üzere siber güvenlikle ilgili ana dallar sunuyor.