Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
Japonya’nın Gizli Savunma Ağlarının 2020’de Büyük Bir İhlal Yaşadığı Bildirildi
Mathew J. Schwartz (euroinfosec) •
8 Ağustos 2023
Japonya tarafından yönetilen gizli askeri ağların, 2020’de Çinli bir siber casusluk grubu tarafından keşfedildikten sonra bile atılmasının zor olduğu ortaya çıkan büyük bir ihlale maruz kaldığı bildirildi.
Ayrıca bakınız: Savaş Sisi | Ukrayna Çatışması Siber Tehdit Ortamını Nasıl Dönüştürdü?
Adı açıklanmayan üst düzey ABD’li yetkililer The Washington Post’a verdiği demeçte, bilgisayar korsanlarının Savunma Bakanlığı planlarının yanı sıra askeri yetenekler ve eksiklikler hakkındaki bilgilere eriştiklerini söyledi.
Gazete, ihlali ilk kez kamuoyuna açıklayan Pazartesi günkü bir haberde, ağ penetrasyonunun o kadar ciddi olduğunu bildirdi ki, hem Ulusal Güvenlik Teşkilatına hem de ABD Siber Komutanlığına başkanlık eden Ordu Generali Paul Nakasone ve o sırada görevde olan Matthew Pottinger. Beyaz Saray ulusal güvenlik danışman yardımcısı, savunma bakanına brifing vermek için “Tokyo’ya koştu”.
Japonya Baş Kabine Sekreteri Hirokazu Matsuno Salı günü düzenli olarak planlanan bir basın toplantısında, Japon hükümetinin gizli bilgilerin izinsiz giriş nedeniyle sızdırılıp sızdırılmadığını doğrulayamayacağını söyledi.
Matsuno, siber güvenlik konularında “Japonya ile ABD arasında yakın işbirliğinin” devam ettiğini söyledi.
Arka planda konuşan ABD savunma yetkilileri, Post’a 2021’de Beyaz Saray’ın Japonya’nın ağlarını Çinli bilgisayar korsanlarına karşı mühürlemek için yeterince çaba sarf etmediğini düşündüğünü söyledi. Tokyo’nun o zamandan beri kayda değer ilerlemeler kaydettiğini, ancak eksikliklerin devam ettiğini ve Çin’in oluşturduğu artan tehdidin daha da yakın işbirliği gerektirdiği bir zamanda Pentagon ile Japonya Savunma Bakanlığı arasındaki istihbarat paylaşımını tehlikeye atabileceğini söylediler.
En Büyük Ulusal Güvenlik Tehdidi
ABD hükümet ağları, Çin casusluk gruplarına atfedilen saldırılara karşı bağışık değildir.
Ulusal Direktör Ofisi tarafından yayınlanan, ABD’nin ulusal güvenliğine yönelik dünya çapındaki tehditlere ilişkin en son yıllık raporda, “Çin muhtemelen şu anda ABD hükümeti ve özel sektör ağlarına yönelik en geniş, en aktif ve kalıcı siber casusluk tehdidini temsil ediyor.” İstihbarat.
Siber güvenlik uzmanları, Mayıs ayında Microsoft tarafından Storm-0558 kod adı verilen bir Çinli casusluk grubunun, dünya çapında 25 farklı kuruluş için Microsoft tarafından çevrimiçi olarak barındırılan Exchange ve Outlook e-posta hesaplarına erişim elde etmek için sahte jetonlar kullanmaya başladığını söyledi. Geçen aya kadar keşfedilmemiş olan saldırı kampanyasının kurbanları arasında Batı Avrupa hükümetlerinin yanı sıra ABD’nin Çin büyükelçisi de dahil olmak üzere ABD Ticaret ve Dışişleri bakanlıkları yer alıyordu.
Bunlar, Çin’e atfedilen teknik olarak gelişmiş ilk çevrimiçi saldırılardan çok uzak. Geçen Ekim ayında bilgisayar korsanları, Barracuda Email Security Gateway’de CVE-2023-2868 olarak adlandırılan sıfır günlük bir güvenlik açığını hedeflemeye başladı.
ESG hedefli saldırı kampanyası, 19 Mayıs’a kadar Barracuda tarafından keşfedilmedi ve bu noktada araştırması için Google’ın Mandiant olay müdahale grubunu getirdi (bakınız: Barracuda, Bilgisayar Korsanlarının Zero-Day Bug’ı 8 Ay Boyunca Kullandıklarını Uyardı).
Cumartesi günü, NHK olarak bilinen kamu yayıncısı Japan Broadcasting Corp., ilk olarak ülkenin siber güvenlik politikasını belirleyen Japon Kabine Sekreterliği’nin Siber Güvenlik Merkezi’nin Barracuda ESG kampanyasının kurbanları arasında olduğunu bildirdi.
Mandiant, şu anda UNC4841 olarak takip ettiği saldırgan grubun “Çin Halk Cumhuriyeti’ni destekleyen bu geniş kapsamlı kampanyanın arkasında bir casusluk aktörü olduğuna” “yüksek güven duyduğunu” bildirdi.
Bilgisayar korsanlarını tutundukları ağlardan yok etmenin son derece zorlu olduğu kanıtlanmıştır. Mandiant, “Barracuda’nın güvenlik açığı ifşası ve ilk düzeltme eylemlerinin ardından, UNC4841, kötü amaçlı yazılımını değiştirmek için hızla hareket ederek, ek kalıcılık mekanizmaları kullanarak ve güvenliği ihlal edilmiş ortamlara erişimi sürdürmek için yanal olarak hareket ederek karşılık verdi.”
Google Cloud’un Mandiant olay müdahale grubunun baş analisti John Hultquist, “Bu aktör, Çin siber casusluğunun değişen doğasının bir özelliğidir” dedi. “Faaliyetleri, gürültülü, kolayca tespit edilebilen operasyonlardan, en sofistike güvenlik ekiplerine bile meydan okuyacak dikkatli ve sinsi izinsiz girişlere dönüştü.”