Çin devlet destekli bilgisayar korsanları tarafından düzenlenen sofistike bir siber saldırı, küresel siber güvenlik altyapısında güvenlik açıklarını ortaya çıkardı, Amerikan üniversitelerinden kritik Covid-19 araştırmasını hedef aldı ve dünya çapında Microsoft Exchange sunucularından yararlandı.
Adalet Bakanlığı, bu operasyonda önemli bir figürün tutuklanmasını açıkladı ve devlet destekli siber casuslukla mücadelede önemli bir kilometre taşını işaret etti.
33 yaşındaki Çin vatandaşı olan Xu Zewei, ABD iadesi talebinin ardından 3 Temmuz 2025’te İtalya’nın Milano kentinde tutuklandı.
Tutuklama, FBI tarafından Çin istihbarat hizmetleriyle ilişkili bilgisayar korsanlarının ilk başarılı yakalamalarından birini temsil ediyor. Xu, genel olarak kalan sanık Zhang Yu ile birlikte dokuz sayım federal bir iddianame ile karşı karşıya.
Suçlamalar arasında tel sahtekarlığı yapmak için komplo, korunan bilgisayarlara yetkisiz erişim, korunan bilgisayarlara kasıtlı hasar ve ağırlaştırılmış kimlik hırsızlığı yer alıyor. Tüm sayılardan hüküm giymesi halinde, Xu 77 yıla kadar hapis cezasına çarptırılabilir.
Covid-19 Araştırma hırsızlığı kampanyası
Şubat 2020 ve Haziran 2021 arasında, Xu ve ortakları Amerikan kurumlarından eleştirel Covid-19 araştırmalarını çalmak için sistematik bir kampanya yürüttüler.
Çin Devlet Güvenliği Bakanlığı (MSS) ve Şangay Devlet Güvenlik Bürosu (SSSB) yönetiminde faaliyet gösteren bilgisayar korsanları, aşılar, tedaviler ve test protokolleri geliştirmekle uğraşan ABD üniversitelerini, immünologları ve virologları hedef aldı.
Mahkeme belgeleri, 19 Şubat 2020’de XU’nun SSSB işleyicisine Teksas’ın güney bölgesindeki bir araştırma üniversitesinin ağını başarıyla tehlikeye attığını doğruladı.
Üç gün sonra, SSSB memuru XU’yu özellikle Covid-19 araştırması yapan virologlara ve immünologlara ait e-posta hesaplarını hedeflemeye yönlendirdi. Xu daha sonra bu araştırmacıların posta kutularının içeriğini aldığını doğruladı.
Hafnium kampanyası
Siber casusluk operasyonu, 2020’nin sonlarında Xu ve yardımcı komplocularının Microsoft Exchange Server’daki sıfır gün güvenlik açıklarından yararlanmaya başladıklarında dramatik bir şekilde genişledi.
“Hafnium” olarak bilinen bu büyük kampanya, dünya çapında binlerce bilgisayarı tehlikeye attı.
Saldırı, saldırganların kurban sistemlerine sürekli erişim kazanmasına izin veren dört kritik güvenlik açıkından (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 ve CVE-2021-27065) kullandı.
Hafnium grubu, 12.700’den fazla kuruluştan ödün vererek 60.000’den fazla ABD varlığını başarıyla hedef aldı. Mağdurlar arasında üniversiteler, hukuk firmaları, savunma yüklenicileri ve devlet kurumları vardı.
Saldırganlar, güvenliği ihlal edilmiş sunuculara web mermileri kurdular ve onlara veri hırsızlığı ve ağlardaki yanal hareket için uzaktan erişim özellikleri sağladı.
Microsoft Exchange Server Söküm Kampanyası benzeri görülmemiş küresel erişime sahipti. Mart 2021’e kadar, dünya çapında yaklaşık 250.000 sunucunun saldırılara kurban ettiği tahmin ediliyor.
Avrupa Bankacılık Otoritesi, Norveç Parlamentosu ve Şili Finans Piyasası Komisyonu yüksek profilli kurbanlar arasındaydı.
Microsoft, 2 Mart 2021’de acil güvenlik güncellemelerini yayınladı, ancak hasar zaten genişti.
FBI ve Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), uzlaşma hakkında ortak bir danışma uyarı kuruluşu yayınladı.
Nisan 2021’de Adalet Bakanlığı, ABD’deki yüzlerce savunmasız bilgisayardan web kabuklarını kaldırmak için mahkeme tarafından yetkilendirilmiş bir operasyon gerçekleştirdi.
Devlet destekli operasyonlar
Soruşturma, XU’nun savcılar tarafından Çin hükümeti için hack operasyonları yürüten birçok “etkinleştirici” şirketten biri olarak tanımlanan Şangay Powerock Network Co. Ltd. için sözleşme hacker olarak faaliyet gösterdiğini ortaya koydu.
Bu özel şirketler ve yükleniciler ağı, kapsamlı siber casusluk kampanyaları yürütürken Pekin’e makul inkar edilebilirlik sağladı.
Çin’in ana istihbarat hizmetleri MSS ve SSSB, bu operasyonları doğrudan denetledi ve koordine etti.
MSS’nin en agresif ve uluslararası aktif birimlerinden biri olan Şangay Devlet Güvenlik Bürosu, kapsamlı bir ön şirket ağını sürdürüyor ve küresel casusluk operasyonları yürütüyor.
Hafnium kampanyası koordineli bir uluslararası yanıt verdi.
Temmuz 2021’de ABD, Avrupa Birliği, İngiltere, Avustralya, Kanada, Yeni Zelanda, Japonya ve NATO ile birlikte saldırıları resmi olarak Çin hükümetine bağladı ve PRC’nin kötü niyetli siber faaliyetlerdeki rolünü kınadı.
Xu Zewei’nin tutuklanması, uluslararası kolluk kuvvetlerinin devlet destekli bilgisayar korsanlarını sorumlu tutma çabalarını gösteriyor.
Ulusal Güvenlik Bölümü Başsavcısı John A. Eisenberg, “Bu tutuklama ABD’nin hastasının ve ABD şirketlerine ve üniversitelere ait bilgi çalmaya çalışan bilgisayar korsanlarını takip etme konusundaki yorulmadan taahhüdünün altını çiziyor” dedi.
Hafnium grubu, o zamandan beri büyük şirketleri ve devlet kurumlarını hedeflemeye devam eden “ipek tayfun” olarak izledikleri güvenlik araştırmacılarının ne gibi gelişti.
Grup taktiklerini, uzaktan yönetim araçları ve bulut uygulamaları da dahil olmak üzere yaygın BT çözümlerinden yararlanacak şekilde uyarladı.
Dava, ABD’li yetkililerin diğer tüm yabancı hükümetlerin bir araya geldiğini aştığını söylediği Çin siber operasyonlarının ortaya koyduğu daha geniş zorluğu vurgulamaktadır.
Adalet Bakanlığı’nın duyurusu, Çin siber casusluğu üzerindeki daha geniş bir baskının bir kısmını temsil ediyor ve Pekin’in istihbarat hizmetleri için çalışmakla suçlanan bireyleri hedefleyen son zamanlarda yapılan birçok dava.
Xu İtalya’daki iade işlemlerini beklerken, dava, devlet destekli siber operasyonların yarattığı kalıcı tehdidin ve küresel siber güvenlik altyapısına bu sofistike saldırılarla mücadelede uluslararası işbirliğinin kritik önemini açık bir şekilde hatırlatıyor.
MSSP Pricing Guide: How to Cut Through the Noise and the Hidden Cost-> Get Your Free Guide