Çin Yurt İçi Yetenekleri Geliştirmek İçin Hacking Yarışmalarını Kullanıyor

Bu kombinasyon, Pekin’in güçlü siber casusluk gündeminin yanı sıra kamu ve özel kuruluşlar adına fikri mülkiyet hırsızlığını desteklediğinden, Çin’in ulus-devlet bilgisayar korsanlığı gruplarının becerisine ve diğer ülkelere göre daha fazla sıfır gün güvenlik açığı kullanma becerisine katkıda bulunuyor gibi görünüyor. Siber güvenlik araştırmacısı Eugenio Benincasa’nın yeni bir raporuna göre.

Benincasa’ya göre Pekin, yurt içinde yeni bilgisayar korsanlığı yeteneklerini tespit etmek, geliştirmek ve işe almak ve aynı zamanda sıfır gün kusurları hakkında bilgi toplamak ve ülkenin askeri ve istihbarat aygıtlarına yönlendirmek için yerel bayrak ele geçirme yarışmalarını ve diğer bilgisayar korsanlığı yarışmalarını kullanıyor. İsviçre’nin kamu araştırma üniversitesi ETH Zürih Güvenlik Çalışmaları Merkezi’nde Risk ve Dayanıklılık Ekibi ile Siber Savunma Projesi’nde kıdemli araştırmacı.

Benincasa sosyal medyadaki bir gönderisinde, “Çin, daha önce gördüğümüz hiçbir şeye benzemeyen, saldırı amaçlı çok yönlü bir ‘kiralık hack’ ekosistemi geliştirdi. Bu ekosistem, ülkenin sivil hackleme topluluğunun yeteneklerinden büyük ölçüde yararlanıyor.” dedi. platformX.

Sivil bilgisayar korsanlığı derken, beyaz şapka korsanlığı yapan öğrencileri ve profesyonelleri (güvenlik açığı araştırmacıları dahil) kastediyor; bu da bunun kötü niyetli olmayan amaçlarla veya açıkça devletin hedeflerine uygun şekilde tasarlanmamış bir şekilde yapıldığı anlamına geliyor.

Raporda, “Bu sistem, Çin güvenlik kurumlarına Çin’in önde gelen sivil bilgisayar korsanları tarafından belirlenen sıfır gün güvenlik açıklarına özel erişim sağlıyor ve Pekin’in daha sonra casusluk ve saldırgan siber operasyonlarını özel yüklenicilere dış kaynak olarak kullanmasına olanak tanıyor” deniyor.

Benincasa’nın Çin’in kiralık hackleme ve sıfır gün toplama ekosistemi hakkındaki yeni araştırması, Batılı istihbarat yetkililerinin, Çin’in kendisine ağları çökertme yeteneği kazandırmak için proaktif olarak kritik altyapıyı hacklediğine dair tekrarlanan uyarılarının hemen ardından geldi. Yetkililer, Pekin’in Tayvan’ın kontrolünü ele geçirmeye çalışması ve ABD ile müttefiklerinin herhangi bir askeri tepkisini yavaşlatmaya çalışması durumunda bu yeteneği kullanabileceğini söylüyor (bkz: İngiltere ve ABD’li Yetkililer Çin’in Siber Tehdidi Konusunda Uyardı).

Rapor, hükümetin yetiştirdiği ve dinlediği Çinli sivil bilgisayar korsanlarının cesaretini sorgulayabilecek herkes için yeterli kanıt sunuyor:

• Hata ödül programları: 2017’den 2023’e kadar Apple, Google Android ve Microsoft’a hata ödül programları aracılığıyla bildirilen tüm güvenlik açıklarının %27’si Çinli araştırmacılardan geldi.
• Def Con CTF: 2013’ten 2023’e kadar, çoğu zaman yüzlerce başka takımla mücadele eden bir ila dört Çin takımı her yıl Def Con’da bayrak kapma finallerine ulaştı ve bu da Çin’i ABD’den sonra en başarılı ülke haline getirdi.
• Pwn2Sahip: 2014’ten 2019’a kadar, yıllık bilgisayar korsanlığı konferansında “bir avuç” Çinli araştırmacıya (Tencent ve Qihoo 360 ekipleri de dahil olmak üzere) verilen toplam para ödülünün payı %13’ten %79’a yükseldi ve onlara milyonlar kazandırdı, ancak 2018’de Çin hükümeti Çinli araştırmacıların bu tür uluslararası yarışmalara katılmasını yasakladı.

Bilgisayar korsanlığı yarışmalarının birden fazla kazananının, Çin merkezli bayrak yakalama yarışmaları düzenlediğini veya sıfır gün güvenlik açıklarını keşfetmeye odaklanan ve Çin askeri ve güvenlik kurumlarına yönlendiren girişimler başlattığını söyledi. Bunlar arasında Nanjing Saining Ağ Güvenliği, diğer adıyla Siber Barış; StarCross Teknolojisi, diğer adıyla Xinglan Teknolojisi; 2014 yılında kurulan ve Çin’in başlıca sivil istihbarat teşkilatı olan Devlet Güvenlik Bakanlığı’nın önemli bir tedarikçisi olan Alibaba Cloud tarafından 2019 yılında satın alınan Chaitin Tech; ve Bolean Technology, diğer adıyla Mulian Nesnelerin İnterneti Teknolojisi.

Benincasa, sivil bilgisayar korsanlığı, yazılım mühendisliği ve bilim programları olan Çin üniversiteleri ve devlet düzeyindeki bilgisayar korsanlığı arasındaki çizginin giderek bulanıklaştığını söyledi. Siber casusluk hizmetleri sağlamak veya güvenlik açıklarını silah haline getirmek için hükümetle sözleşme yapan özel firmaların en azından bir kısmı, son derece girişimci görünüyor ve daha sonra Çin’in özel sektörüne pazarlayacakları verileri sızdırmak için proaktif olarak saldırı amaçlı bilgisayar korsanlığı gerçekleştiriyor.

Margin Research’ten siber güvenlik araştırmacısı Winnona Bernsen, Şubat ayındaki bir raporda, son sızıntıların Çin’in yurt içinde düzenlenen Tianfu Kupası hackleme yarışmasının MPS için bir “istismar besleyici sistemi” olarak çalıştığını doğruladığı için bu tür faaliyetlerin devam ediyor gibi göründüğünü söyledi.

“Tianfu’ya gönderilen kavram kanıtı güvenlik açıkları halihazırda tam yararlanma zincirleri (kullanıma hazır) olmadığında, Kamu Güvenliği Bakanlığı kavram kanıtı kodunu daha fazla yararlanmaları için özel firmalara dağıtır” dedi.

2023’te Tianfu Kupası’nın odak noktası, Batılı firmalar tarafından geliştirilen hedefleme yazılımlarından, WPS, UF YounGIP, Zhiyuan İşbirliği Operasyon Yönetim Platformu, Panwei OA ve Qi An Xin Trusted gibi kelime işlem ve ofis yazılımları da dahil olmak üzere yerli ürünlerdeki güvenlik açıklarını bulmaya kaydı. Tarayıcı, Benincasa dedi. Bunun, Pekin’in ürünlerini yabancı bilgisayar korsanlarına karşı daha iyi korumaya ve ürünlerinin yurtdışındaki itibarını artırmaya odaklandığını yansıtabileceğini söyledi.

Pekin’in kiralık hack ekosisteminin nasıl işlediğine dair pek çok şey bilinmiyor. Tehdit istihbaratı firmaları ve düşünce kuruluşlarının kapsamlı araştırmaları, ABD Adalet Bakanlığı’nın gelişmiş kalıcı tehdit grupları için paravan şirketlerde çalışmakla suçlanan Çin vatandaşları hakkındaki iddianameleri ve Intrusion Truth gibi hacktivistlerin sızıntıları sayesinde yeni ipuçları ortaya çıkmaya devam etti. Bu yılın başlarında Çin hükümetinin yüklenicisi iSoon’a ait bir belge dökümü (bkz: iSoon Sızıntısı Çin APT Gruplarına Bağlantıları Gösteriyor).

iSoon belgelerinin Şangay merkezli özel bir şirketten GitHub’a sızdırılması, hoşnutsuz, düşük ücretli bir işgücüne sahip olan ve yine de Çin’in casusluk kurumu adına birçok bölgesel hükümete ve hatta muhtemelen NATO’ya sızan bir bilgisayar korsanlığı yüklenicisinin resmini çiziyor.

Araştırmacılar, iSoon ile Çin’in en büyük antivirüs firması olan Qihoo 360 gibi diğer teknoloji firmaları arasındaki bağlantıların izini sürdü. Margin Research’ten Bernsen, sızıntılara dayanarak Qihoo 360’ın müşterilerin kişisel bilgilerini “hükümet müşterileri için istihbarat çalışmaları yapan ve finanse ettiği saldırgan bir şirkete” satmış gibi göründüğünü bildirdi.

Çinli güvenlik açığı araştırmacılarının bulgularını yurtdışındaki tedarikçilere nasıl ve ne zaman sunmalarına izin verildiği gibi açık sorular hala devam ediyor.

Benincasa, “Batılı satıcıların sıfır gün güvenlik açıkları hakkında çok fazla bilgi almasına rağmen, Çin sistemi Batı ürünlerini kullanmada etkili olmaya devam ediyor. Bu da bunun nedeni sorusunu gündeme getiriyor.” dedi. “Bunlar ayrı ayrı sıfır gün ve sıfır gün zincirleri mi? Bu bir yama sorunu mu? Yoksa Çin’in verimliliği, hedeflenen kurbanlar arasındaki yetersiz güvenlik uygulamalarından mı kaynaklanıyor?”

Başka bir olası açıklama: Çin hükümeti, kusurların büyük Batılı satıcılara bildirilmesine izin verme konusunda çoğu zaman gecikmemeyi veya çok fazla gecikmemeyi tercih edebilir; zira bu kusurların Çinli Apple, Google Android veya Microsoft ürünleri kullanıcılarını istismar etmek için de kullanılabileceği düşünülür. Pekin, bu hataların zamanında bildirilmesine ve yamalanmasına izin vermezse, başka bir ülkenin istihbarat teşkilatları veya suçluları bunları Çin içinde zaten keşfedip kullanmaya başlamış olabileceğinden, kendi ayağına kurşun sıkabilir mi?