Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Şirket Esas Olarak Kamu Güvenliği Bakanlığı İçin Hacklendi
Akşaya Asokan (asokan_akshaya), David Perera (@daveperera) •
20 Şubat 2024
Çinli bir bilgisayar korsanlığı yüklenicisinden dahili belgelerin açık bir şekilde sızdırılması, pek çok bölgesel hükümete ve muhtemelen NATO’ya sızan hoşnutsuz, düşük ücretli bir işgücünün resmini çiziyor.
Ayrıca bakınız: Web Semineri | Hileli URL Hileleriyle Mücadele: En Son Kimlik Avı Saldırılarını Nasıl Hızlı Bir Şekilde Tanımlayabilir ve Araştırabilirsiniz?
Pazar günü kimliği bilinmeyen bir kişi, hükümet liderliğindeki bilgisayar korsanlığı operasyonlarını destekleyen özel bir şirket olan Şangay merkezli iSoon’a ait olduğu anlaşılan e-tablolar, sohbet kayıtları ve pazarlama materyalleri de dahil olmak üzere GitHub belgelerini yayınladı.
Çok sayıda uzman, Information Security Media Group’a belgelerin meşru göründüğünü ve komuta-kontrol altyapısı ve kötü amaçlı yazılımlarla ilgili teknik ayrıntılar da dahil olmak üzere Çin devletinin bilgisayar korsanlığıyla ilgili zaten kamuya açık bilgileri takip ettiğini söyledi.
Mandiant’ın baş analisti John Hultquist, Anxun Bilgi Teknolojisi olarak da bilinen şirketin “yirmi yıl önce gelişen Çin vatansever bilgisayar korsanlığı sahnesiyle bağlantıları olan müteahhitler ekosisteminin bir parçası. O zamandan beri yasallaştılar” dedi.
Çin bilgisayar korsanlığıyla ilgili endişeler uzun süredir devam ediyor. Batılı ülkelerin yanı sıra Tayvan, Nepal, Hindistan, Orta Asya ülkeleri ve Tibet diasporası gibi komşu ülkeler, Pekin’in yönettiği devam eden siber casusluk operasyonlarının hedefi oldu. Washington DC, yakın zamanda Çin’in siber uzay faaliyetleri hakkındaki uyarılarını güçlendirerek, kritik altyapı operatörlerine, bilgisayar korsanlarının ele geçirilen sistemlerde yıllardır tespit edilmediğini bildirdi.
Atlantik Konseyi’nin Küresel Çin Merkezi adlı düşünce kuruluşunda danışman ve yerleşik olmayan araştırmacı Dakota Cary, sızdırılan belgelerin iSoon’un ana müşterisinin Kamu Güvenliği Bakanlığı olduğunu gösterdiğini söyledi. Bu, iSoon’un çoğunlukla askeri veya istihbarat personeli tarafından yürütülen yüksek profilli uluslararası bilgisayar korsanlığı görevlerinden ziyade, Asya kuruluşlarına sızmayı gerektiren yerel güvenlik çıkarlarına yönelik sözleşmeler aldığı anlamına geliyor.
Bir kayıt gösteriler Cary, şirketin Vietnam Ekonomi Bakanlığı’nı hacklemek için yaklaşık 55.000 dolar talep ettiğini söyledi.
Cary, bu meblağın çok fazla olmadığını, özellikle de iSoon’un bakanlığın sunucularına sızmak için ihtiyaç duyduğu süreyi hesaba katarsak çok fazla olmadığını söyledi. Cary, düşük dolar miktarının, çalışanların “ne kadar az maaş aldıkları, farklı bir şirkette çalışmak istedikleri konusunda” şikayetlerini gösteren sızdırılmış sohbet kayıtlarından kaynaklandığını söyledi. GitHub belgelerinin bir bölümü “çalışan şikayetleri” başlığını taşıyor. Sızdırılan bir borsa içerir çalışanlar ve bir yönetici arasında ofiste kumar oyunu mahjong oynama konusunda şakalaşma.
SentinelOne’da kıdemli tehdit araştırmacısı Tom Hegel, kayıtlarda yer alan teknik bilgilerin şirketin Winnti arka kapısına güvendiğini gösterdiğini söyledi. Ayrıca PlugX uzaktan erişim Truva atını da kullandı. Hegel, her iki aracın da iSoon’a özel olmadığını, bunun da Çinli bilgisayar korsanları arasında paylaşılan yeteneklerin geniş kapsamına işaret ettiğini söyledi.
Çinli bilgisayar korsanlarının gerçek kimliklerini açığa çıkaran Intrusion Truth blogunun arkasındaki anonim yazarlar, 2022’de iSoon’un araştırma ve geliştirme yürüttüğü Sichuan eyaletini “hackleme için bilinen bir sıcak nokta haline gelen” olarak tanımladılar. Yazarlar, bölgedeki çeşitli tehdit grupları arasındaki operasyonların yakınlığının, kötü amaçlı yazılım altyapılarında çakışmalara yol açtığını söyledi. Sızan belgelerin çoğu iSoon’un Sichuan ofisinden geliyor ve iSoon Ar-Ge merkezinin bulunduğu eyaletin en büyük şehri Chengdu’ya atıfta bulunuyor.
Hegel, “Herhangi bir startup ortamı gibi” dedi. “Çok sayıda paylaşılan kaynak var” ve çalışanlar şirketten şirkete atlıyor ve önceki şirketlerinden derlenen bilgi ve taktikleri yanlarında getiriyor.
iSoon’un reklamını yaptığı hizmetler arasında “APT hizmet sistemi”, “hedef penetrasyon hizmetleri” ve devlet intranet dosya sunucularının yanı sıra iletişim ve ulaşım sunucuları gibi belirli ağları hedef alabilen “savaş destek hizmetleri” bulunmaktadır. söz konusu Equinix’teki siber tehdit araştırmacısı Will Thomas, çevrimiçi analizde. Şirket ayrıca mobil cihazlar için gelişmiş casus yazılımların da tanıtımını yapıyor.
Kayıtlarda iSoon’un NATO’yu hacklediği iddiası da yer alıyor ancak Cory bu konuda şüpheci olduğunu söyledi. “Bilgisayar terminalinin bir ekran görüntüsü var, üzerinde ‘NATO’ kelimesi yazıyor, ancak bu ekran görüntüsü dışında herhangi bir spesifik kurban verisi görmedim” dedi.
iSoon’un abartması ya da bilgileri sızdıran kişinin (her kim olursa olsun) söz konusu hack konusunda ihtiyatlı davranmaya karar vermiş olması mümkündür. Cory, Çin hükümetinin sızıntıdan dolayı çok fazla üzülmediğini ve bunun muhtemelen şirketin sonu anlamına gelmediğini söyledi. Sızıntı, kayıt dökümünü planlayan rakip bir şirketle yaşanan fikri mülkiyet anlaşmazlığının sonucu bile olabilir. Myanmar’ın hacklenmesiyle ilgili söylentiler Pekin için o kadar da saldırgan değil, ancak “Çin hükümeti, sızıntıyı yapan kişi NATO bilgisayarlarına izinsiz girmeyle ilgili ayrıntıları ifşa ederse çok çok çok üzülürdü”.