Bir Çin vatandaşı, İpek Typhoon olarak bilinen devlet destekli bir hack grubuna olan bağlantıları ve Amerikan organizasyonlarına ve devlet kurumlarına karşı siber saldırılar yürüttüğü iddiasıyla İtalya’nın Milano kentinde tutuklandı.
33 yaşındaki, Xu Zeweikorunan bilgisayarlara yetkisiz erişimin yanı sıra ağırlaştırılmış kimlik hırsızlığı yapmanın yanı sıra dokuz sayım tel sahtekarlığı ve komplo ile suçlanmıştır. Tutuklamanın detayları ilk olarak İtalyan medyası tarafından bildirildi.
XU’nun, Windows Maker’ın Hafnium olarak tasarladığı bir etkinlik kümesi olan Microsoft Exchange Server’da o zamanki kurdu gün kusurlarından yararlanan bir toplu saldırı çılgınlığı da dahil olmak üzere, Şubat 2020 ile Haziran 2021 arasında ABD bilgisayar müdahalelerine katıldığı iddia ediliyor.
Şüpheli ayrıca, Teksas Üniversitesi de dahil olmak üzere çeşitli ABD üniversitelerinde aşı araştırmalarına erişim sağlamaya çalışarak Covid-19 somutu sırasında Çin’in casusluk çabalarına katılmakla suçlanıyor.
Xu’nun ortak sanık ve Çin Ulusal Zhang Yu ile birlikte, Devlet Güvenlik Bakanlığı’nın (MSS) Şangay Devlet Güvenlik Bürosu (SSSB) tarafından verilen talimatlara dayanarak saldırıları üstlendiğine inanılıyor.
Adalet Bakanlığı, “2020’nin sonlarından başlayarak, XU ve ortak komplocuları, e-posta mesajlarını göndermek, almak ve depolamak için yaygın olarak kullanılan bir Microsoft ürünü olan Microsoft Exchange Server’daki bazı güvenlik açıklarından yararlandı.” Dedi. Diyerek şöyle devam etti: “Microsoft Exchange Server’dan sömürülmelerinin, dünya çapında ve kamuoyunda ‘Hafnium’ olarak bilinen binlerce bilgisayarı hedefleyen büyük bir kampanyanın ön saflarında olduğu iddia edildi.”
UNC5221 ile örtüşen ipek tayfun, sıfır gün güvenlik açıklarını kullanması ve tedarik zinciri saldırılarındaki teknoloji firmalarının başarılı uzlaşmaları ile bilinir. Grubun 60.000’den fazla ABD varlığını hedeflediği ve Hafnium kampanyası aracılığıyla hassas bilgileri çalmak için 12.700’den fazla kurban ettiği söyleniyor.
Önceki açıklamalarda, ipek tayfun, fikri mülkiyete bağlı sektörleri hedefleme ve sağlık, savunma ve kritik altyapı gibi ulusal esneklik tercih etmiştir. Kampanyaları genellikle kimlik bilgisi hasat, tedarik zinciri uzlaşması ve uzun vadeli erişim operasyonlarının bir karışımını içerir-hem acil hem de stratejik zeka koleksiyonuna odaklanan daha geniş bir yetkiyi ortaya koyar.
Hafnium, gelişmiş bir kalıcı tehdit (APT) olarak yaygın olarak kategorize edilirken, aktivitesini UNC5221’e bağlayan analistler-PowerShell komut dosyaları aracılığıyla CVE-2021-26855 aracılığıyla başlangıç erişim ve yanal hareket gibi-ATT & CK modellerini geliştirmek için eşleştirdiler. Çakışma, sıfır gün sömürüsünü, dış kaynaklı yüklenici operasyonlarını ve uzun vadeli erişim stratejilerini harmanlayan daha geniş bir uygun ekosistemi yansıtır-ilişkilendirme ve siber savunma duruşu konusunda devam eden tartışmalarda temalarda yer almaktadır.
Adalet Bakanlığı ayrıca Zewei’nin bir şirkette çalıştığını iddia etti. Shanghai Powerock Network Co. Ltd. Saldırılar gerçekleştirildiğinde, Çin’in hükümetin katılımını gizlemek için devlet destekli casusluk kampanyaları başlatmak için bir dizi yüklenici ve özel firmadan yararlandığına dair diğer raporlara daha fazla güven verdi.
İngilizce bir siber suç forumu olan Darkforums’ta satışta ortaya çıkan sızdırılmış Çin veri kümelerinin yakın zamanda yapılan bir analizi, ülkedeki kayıtlı hack sahnesine daha fazla ışık tuttu. Önbelleğe göre, Çin’de hükümet müşterilerine hizmet vermeye odaklanan büyük bir BT güvenlik satıcısı olan Venustech ile ilgili halka açık olmayan belgeler ve Spycloud’a göre tuz tayfası içerdiği iddia ediliyor.
Irontooth adlı bir kullanıcı tarafından sızdırılan Venustech belgeleri, şirketin hizmetlerini sunduğu çeşitli Çin hükümet kuruluşlarını gösteren sözleşme bilgilerini içermenin yanı sıra zaten hacklenmiş kuruluşlara referans.
İkinci parti, Salt Typhoon Hacking Grubunun arkasındaki birkaç çalışan ve 242 hacklenen yönlendirici hakkında bilgi içerdiği söyleniyor. Ayrıca, veri kümesinin reklamını yapan DarkForums kullanıcısı Chinabob tarafından sızdırıldı, çeşitli hükümet müşterileri ve satıcıları arasındaki işlemleri gösteren bir elektronik tablo.
Belgede üç farklı satıcı şirketi listeleniyor: Sichuan Zhixin Ruijie Network Technology Company Limited, Pekin Huanyu Tiangiong Bilgi Teknoloji Şirketi Limited ve Sichuan Juxinhe Network Technology Company Limited. Sichuan Juxinhe’nin bu Ocak ayında Salt Typhoon ile olan bağları nedeniyle ABD Hazine Bölümü tarafından onaylandığını belirtmek gerekir.
“Bu sızıntıların kökeni belirsiz olsa da, bir Batı hackleme forumunda satılan bu veriler, Çin siber suçlu toplulukları izlemeden gözlemlediğimiz birkaç kapsayıcı eğilime uyuyor: Çin’in devlet onaylı veri toplama ve istihbarat aparatı sızdıran [and] Spycloud, sinosferden siber suçluların batı dijital suç alanlarında giderek daha fazla mevcut olduğu görülüyor.
Reuters’ten gelen bir rapora göre, XU, yanlış bir kimlik vakası iddia ederek iade talebine karşı çıktı. Xu’nun avukatı, soyadının Çin’de oldukça yaygın olduğunu ve cep telefonunun 2020’de ondan çalındığını ekledi.
Google Tehdit İstihbarat Grubu (GTIG) baş analisti John Hultquist, “Ne yazık ki, bu tutuklamanın etkisi hemen hissedilmeyecek. Siber casusluk yapmaya devam edecek düzinelerce operatörden oluşan birkaç ekip var.” Dedi.
“Hükümet sponsorları caydırılmayacak. Tutuklamanın operasyonları durdurması veya hatta önemli ölçüde yavaşlatması olası değildir, ancak bu yetenekli genç hackerların bazılarına bu çalışmaya katılmadan önce iki kez düşünmek için bir neden verebilir.”