Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
Çin’in kiralama için hack sahnesi başka bir sızıntıyı bozuyor
Akhabokan Akan (Athokan_akhsha) •
8 Temmuz 2025
Tuz Typhoon olarak izlenen Çin ulus-devlet tehdit oyuncusu, müşterileri birden fazla Çin devlet ajansı içeren özel hack firmalarının bir debriyajı tarafından işletiliyor, siber güvenlik firması Spycloud tarafından sızdırılmış veri kümelerinin analizini buluyor.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Firma, Mayıs ayında suç forumlarında satılan, Çin’in istihbarat teşkilatlarından doğrudan görev alma emirleri alan bir şirket ağı olan ve daha sonra Hükümete erişim veya çalınan veri satma umuduyla spesifikasyona giren bir şirket ağı olan bir şirket ağı olan Ceza Forumlarında satılan veri kümelerini gördü.
Ceza forumlarından alınan örnek verilerin spycloud’unalizi, Salt Typhoon tarafından saldırıya uğrayan yönlendiricilerin IP adreslerini, isimler ve dahili sohbet günlükleri gibi çalışanların ayrıntılarını içeriyordu. Ayrıca, Pekin hackleme firması ile Halk Kurtuluş Ordusu’na askeri bir tedarikçi arasındaki sözleşmeler de içeriyordu.
Kimlik koruma şirketi, kişisel bilgileri çapraz referans alarak ve onu Çin’deki gerçek bireylerle eşleştirerek sızıntının gerçekliğini doğruladığını söyledi. Spycloud araştırmacıları, “Listelenen yönlendirici kullanıcı adlarından bazıları gerçek Çin internet servis sağlayıcılarına karşılık geliyor.” Dedi.
Araştırmacılar, alıcıları, satıcıları ve finansal işlem ayrıntılarını listeleyen bir elektronik tablo buldular. APT27, Emissary Panda ve UNC5221 de bilinen tuz typhoon, ABD telekomünikasyon ağlarındaki müdahalelerle bağlantılıdır.
Federal hükümet, Sichuan Juxinhe Network teknolojisini tuz tayfun yüklenicisi olarak adlandırma da dahil olmak üzere, hükümet hack işleri için sözleşme yapan bir avuç Çinli şirket belirledi. ABD federal savcıları ayrıca Salı günü iki şüpheli özel sektör ipek tayfun hackerlarına karşı iddianameler duyurdular ve onları Şangay Powerock Network ve Şangay Firetech bilgi bilimi ve teknolojisinin çalışanları olarak tanımladılar. İtalyan yetkililer, Milano’ya uçtuğunda 33 yaşındaki Xu Zewei olarak tanımlanan sanık hacker’ı tutukladı (bkz:: İtalyan polisinin tutuklanması, Çinli hacker’ın FBI tarafından istediği iddiası).
Spycloud, henüz hükümet tarafından halka açık bir şekilde tanımlanmamış tuz tayfun müteahhitleri olduğunu söylüyor: Pekin Huanyu Tiangiong bilgi teknolojisi, bir bilgisayar çevre ekipmanı üreticisi ve varsayılan bilgi ve iletişim teknolojisi firması olan Sichuan Zhixin Ruijie Network Technology Company olarak listeleniyor.
Sızıntılar ayrıca bu iki şirketin müşterilerinin yanı sıra Sichuan Juxinhe Network teknolojisinin, 2016 ve 2017 yıllarında Japonya’nın uzay ajansına karşı bir olayı takiben Japon yetkilileri tarafından “kene” olarak izlenen bir saldırı birimi olan insanların kurtuluş ordusu birimi 61419’u da içerdiği görülüyor. 202’de birimi gözlemledi, Batı ve Rus antivirus yazılımını satın almak isteyen birim, SNECE’leri satın almaya çalışıyor.
Veri kümelerinde atıfta bulunulan başka bir müşteri, Çin’in ilk siber menzilini kuran ve Çin’in işe alım endüstrisiyle bilinen önemli bağları olan halka açık bir akademik enstitü olan Çin Bilimler Akademisi Bilgi Mühendisliği Enstitüsüdür. “Dedi.
Listelenen diğer Çin hükümet kuruluşları arasında Pekin Halk Hükümeti Dışişleri Ofisi ve Chengdu’daki Ekonomi ve Bilgi Teknolojisi Bürosu bulunmaktadır. Buna ek olarak, diğer Çin hack grupları, Qi’anxin, Legendsec ve Venustech potansiyel tuz tayfun müşterileri olarak listelendi.
Çin hükümetinin işe alım hacklemelerine olan güvenmesi, hack yüklenicisi Isoon’dan alınan veriler, Mahjong hakkında şikayet ve düşük ücretle ilgili şikayetlerle tamamlanan kar amacı gütmeyen ulus-devlet hackerlarının günlük varlığı içinde nadir bir zirve sunduğunda 2024 başlarında keskin bir rahatlama haline getirildi (bkz: bkz: Çin Hacking Yüklenici Isoon Dahili Belgeleri Sızıyor).
Spycloud, “Çin’in devlet tarafından onaylanan veri toplama ve istihbarat cihazı sızdırıyor.” Dedi. Diyerek şöyle devam etti: “Devlet verilerini sifonlayan ve karaborsada satan yozlaşmış içeriden gelen geniş bir ekosistem gözlemledik.”
Çin hacklemesini izleyen Natto Düşünceler Tehdit İstihbarat Uzmanı Mei Danowski, “Ön şirketlerin operasyonlarının atıfta bulunmasız avantajları var.” Dedi. Danowski, “Bununla birlikte, işe alım firmaları, operasyonları için de etkili olabilecek kar elde etmek için hükümetle iş yapmak için bir ekosistem inşa ettiler.” Dedi.
Eth Zürih’te kıdemli bir siber güvenlik araştırmacısı olan Eugenio Benicasa, Spycloud bulgularının geçmiş tuz tayfun faaliyetlerinin “modus operandi ile tutarlı” olduğunu söyledi.
“Örneğin, Venustech uzun zamandır Çin hükümeti ile bağlantılıdır.” Dedi. Diyerek şöyle devam etti: “Genel personel, silahlar, lojistik, siyasi birimler dahil olmak üzere birçok PLA departmanına siber güvenlik hizmetleri sağladı ve çeşitli savunma endüstrisi konsorsiyumlarını destekliyor.”