ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Pazartesi günü yaptığı açıklamada, Hazine Bakanlığı’nı hedef alan siber saldırının diğer federal kurumları etkilediğine dair hiçbir belirti bulunmadığını söyledi.
Ajans, ihlali daha iyi anlamak ve etkilerini azaltmak için Hazine Bakanlığı ve BeyondTrust ile yakın işbirliği içinde çalıştığını söyledi.
CISA, “Federal sistemlerin ve korudukları verilerin güvenliği, ulusal güvenliğimiz açısından kritik öneme sahiptir.” dedi. “Daha fazla etkiye karşı koruma sağlamak için agresif bir şekilde çalışıyoruz ve uygun şekilde güncellemeler sağlayacağız.”
En son açıklama, Hazine Bakanlığı’nın Çin devleti destekli tehdit aktörlerinin bazı bilgisayarlara ve gizli olmayan belgelere uzaktan erişmesine izin veren “büyük bir siber güvenlik olayının” kurbanı olduğunu söylemesinden bir hafta sonra geldi.
Aralık 2024’ün başlarında gün yüzüne çıkan siber saldırı, BeyondTrust’un sistemlerinde, saldırganın güvenliği ihlal edilmiş bir Uzaktan Destek SaaS API anahtarını kullanarak şirketin Uzaktan Destek SaaS örneklerinden bazılarına sızmasına olanak tanıyan bir ihlal içeriyordu.
BeyondTrust, 6 Ocak 2025’te güncellenmiş bir açıklamada “daha önce iletişim kurduğumuz müşteriler dışında yeni müşteri tespit edilmedi” dedi. Çin, ABD Hazine Bakanlığı’na ihlal yaptığı yönündeki iddiaları reddetti.
Saldırı yüzeyi yönetim şirketi Censys tarafından paylaşılan veriler, 6 Ocak itibarıyla 13.548 kadar açıkta kalan BeyondTrust Uzaktan Destek ve Ayrıcalıklı Uzaktan Erişim örneğinin çevrimiçi olarak gözlemlendiğini gösteriyor.
Geçen hafta, Hazine Bakanlığı Yabancı Varlıklar Kontrol Ofisi (OFAC), Çin siber güvenlik şirketi Integrity Technology Group Incorporated’a karşı yaptırımları açıklayarak, şirketin uzun süredir devam eden bir kampanyanın parçası olarak Flax Typhoon adlı başka bir bilgisayar korsanlığı grubuna altyapı desteği vermekle suçladı. ABD kritik altyapısı.
Hazine’ye yönelik saldırı, Volt Typhoon ve Salt Typhoon gibi Çinli tehdit aktörlerinin sırasıyla ABD’nin kritik altyapısını ve telekomünikasyon ağlarını hedef alan saldırı dalgasının sonuncusu oldu.
Wall Street Journal, hafta sonu Salt Typhoon’un ihlal ettiği dokuz telekom şirketi arasında Charter Communications, Consolidated Communications ve Windstream’in de bulunduğunu açıkladı. Daha önce tanımlanan diğer kuruluşlardan bazıları AT&T, T-Mobile, Verizon ve Lumen Technologies’ti.
Bugün yayınlanan yeni bir raporda Bloomberg, APT41 adlı Çin devleti destekli tehdit grubunun Filipinler hükümetinin yürütme organına sızdığını ve 2023 başından Haziran 2024’e kadar süren bir kampanyanın parçası olarak Güney Çin Denizi konusundaki anlaşmazlıklarla ilgili hassas verileri sızdırdığını söyledi. .
Çin Tayvan’a Siber Saldırılarını Artırıyor
Gelişmeler aynı zamanda Tayvan Ulusal Güvenlik Bürosu’nun (NSB) Çin tarafından ülkeye karşı düzenlenen siber saldırıların karmaşıklığının arttığına dair uyarıda bulunan bir raporun ardından geldi. Devlet ve özel sektör kuruluşlarına karşı 2023’te 752 olan vaka sayısı 2024’te toplam 906’ya yükseldi.
İşleyiş şekli genellikle Netcom cihazlarındaki güvenlik açıklarından yararlanmayı ve dayanak oluşturmak, tespitten kaçınmak ve sonraki saldırılar ve veri hırsızlığı için kötü amaçlı yazılımları dağıtmak için arazide yaşama (LotL) tekniklerini kullanmayı içerir. Alternatif saldırı zincirleri arasında Tayvanlı devlet memurlarına hedef odaklı kimlik avı e-postaları gönderilmesi yer alıyor.
Tayvan hedeflerine karşı yaygın olarak gözlemlenen diğer Çin saldırıları aşağıda listelenmiştir:
- Halk Kurtuluş Ordusu’nun (PLA) askeri tatbikatlarıyla aynı zamana denk gelen, ulaşım ve finans sektörlerine yönelik dağıtılmış hizmet reddi (DDoS) saldırıları
- İmalat sektörüne yönelik fidye yazılımı saldırıları
- Patentli teknolojileri çalmak için yüksek teknoloji girişimlerini hedeflemek
- Tayvan vatandaşlarının kişisel verilerinin, yeraltı siber suç forumlarında satılması amacıyla çalınması.
- Hükümete olan güveni sarsmak için Tayvan’ın sosyal medya platformlarındaki siber güvenlik yeteneklerinin eleştirilmesi
NSB, “Başta telekomünikasyon sektörü olmak üzere iletişim alanına saldırılar %650 oranında büyürken, ulaştırma ve savunma tedarik zinciri alanlarına yönelik saldırılar sırasıyla %70 ve %57 arttı.” dedi.
“Çin, çeşitli hackleme teknikleri uygulayarak Tayvan hükümetini, kritik altyapıyı ve önemli özel işletmeleri hedef alan hackleme operasyonları yoluyla keşif gerçekleştirdi, siber pusu kurdu ve verileri çaldı.”
NSB ayrıca Çin’i Tayvan’a karşı nüfuz operasyonları yürütmesi, halkın hükümete olan güvenini zayıflatmak ve Facebook ve X gibi sosyal medya platformları aracılığıyla sosyal bölünmeleri artırmayı amaçlayan dezenformasyon kampanyaları yürütmesi konusunda uyardı.
Taktikler arasında dikkate değer olanı, Tayvanlılar tarafından manipüle edilmiş videolar ve meme görselleri yaymak için kullanılan sosyal medya platformlarındaki yorum bölümlerini doldurmak için orijinal olmayan hesapların yaygın şekilde kullanılmasıdır. Kötü niyetli siber faaliyetlerin, Tayvanlı kullanıcıların sosyal medya hesaplarını dezenformasyon yaymak amacıyla ele geçirdiği de tespit edildi.
NSB, “Çin, Tayvanlı siyasi figürlerin konuşmalarının video kliplerini uydurmak için deepfake teknolojisini kullanıyor ve Tayvan halkının algısını ve anlayışını yanıltmaya çalışıyor” dedi.
“Özellikle Çin, resmi medya içeriğini ve Tayvan odaklı propagandayı yaymak için çalışarak Weibo, TikTok ve Instagram gibi platformlarda aktif olarak yakınsama medya markaları veya proxy hesapları kuruyor.”