Topsec Veri Sızıntısı: 7000’den fazla belge potansiyel Çin hükümetinin gözetim ve sansür uygulamalarını ortaya çıkarır. Temel bulgular ve sonuçlar hakkında bilgi edinin.
Önde gelen bir Çin siber güvenlik firması olan TopSec’ten bir veri sızıntısı, şirketin operasyonları ve Çin hükümeti için internet sansürüne olası katılımı hakkında ayrıntıları ortaya koydu.
Bu, Sentinellabs Tehdit Araştırma Ekibi, DevOps uygulamaları için kullanılan 7.000’den fazla çalışma günlüğü ve kod da dahil olmak üzere sızan verileri analiz eden Sentinelone tarafından ortaya çıktı. Veriler, Çin Hükümeti ana bilgisayar adlarına, akademik kurumlara ve haber sitelerine bağlanan senaryoları ortaya çıkardı ve TopSec’in hizmetlerinin çok çeşitli kuruluşlara yayıldığını gösteriyor.
Bir Çinli şirkete karşı yapılan son iddialar, ABD’nin siber saldırılar ve siber suçlar için iki Çinli firmayı, Dürüstlük Teknolojisi Grubu ve Sichuan Sessizlik Bilgi Teknolojisi yaptırımından sadece birkaç ay sonra geldi.
1995 yılında kurulan TopSec, izleme, BT güvenliği, büyük veriler ve bulut hizmetleri sunar. Cuma günü yayınlanmasından önce Hackread.com ile paylaşılan SentinelOne’un blog yazısına göre sızdırılan belgeler, muhtemelen müşterileri veya ortakları olan birkaç kamu ve özel sektör kuruluşundan bahsediyor.
Kamusal tarafta, bu, disiplin denetimi için belediye komisyonları ve yasadışı ve zararlı bilgi raporlama merkezi, hem Çin’in siyasi sistemindeki kilit oyuncular hem de çevrimiçi bilgi kontrolü gibi ajansları içerir. Özel tarafta, müşterileri bankalardan teknoloji şirketlerine kadar uzanmaktadır.
Belgeler ayrıca Topsec’in Şangay da dahil olmak üzere çeşitli şehirlerde Kamu Güvenliği Bakanlığı Büroları projelerine katılımını detaylandırarak web sitesi güvenliğini ve içeriğini izlemeye katılımlarını öneriyor. Böyle bir proje olan “Bulut İzleme Hizmeti Projesi”, ihlaller veya politika ihlalleri uyarıları ile web sitesi güvenliğini ve içeriğini izlemeyi içeriyordu.
Çok tarayıcı bir platforma gönderilen veriler, Ansible, Docker ve Kubernetes gibi DevOps teknolojilerini içeren altyapı yönetimi için kullanılan çalışan çalışma günlüklerini, komut dosyalarını ve komutları içerir. Kritik olarak, sabit kodlanmış kimlik bilgileri bulundu ve önemli bir güvenlik riski oluşturdu.
Sentinellabs araştırmacıları, verilerin dağınık ve Çince olduğunu belirtiyor. Analizleri esas olarak teknolojileri tanımlamaya ve komutlar ve API verilerindeki referansları incelemeye odaklanmıştır.
“Sızan dosya çok büyük ve dağınık ve biçimlendirme tutarsız, bu da analizi karmaşıklaştırıyor. Sızıntıda belirtilen tüm yetenekleri tanımlamamış olmamız muhtemeldir. Analiz yaklaşımımız, Çince dil içeriğini tercüme etmeye, bilinen teknolojileri tanımlamaya ve komutlar ve API JSON eserlerinde ilginç referansların tanımlanmasına odaklandı ”dedi.
Sızıntı, Docker görüntülerini güvenlik izleme için başlatma kodunu içeriyordu, potansiyel olarak ağ izleme problarını ayrıcalıklı erişime sahip. Çalışma günlükleri, sansür anahtar kelime izlemeyi gösteren hassas kelime işlemeyi işleyen bir proje olan “Sparta” a başvurdu. GraphQL API’leri kullanan Sparta, Çince dil işleme için uyarlanmış bir şirket içi çözüm gibi görünüyor. Şiddetli algılama uyarılarının WeChat yoluyla dağıtıldığı bildirildi.
TopSec, “Web Sitesi İzleme Hizmeti” ve kurcalama, gizli bağlantılar ve hassas kelimelerle ilgili olayların algılanması da dahil olmak üzere web içeriği izleme hizmetleri sunar. “Websensitif” olay, politik olarak hassas kelimelerle tetiklenir.
Dahası, Eylül 2023’te hassas kelime izlemeye odaklanan bir görev listesi, Zhao Nannan’a gönderilen, geçmişi ve sonraki kariyer hareketi siyasi olaylarla bir bağlantı olduğunu gösteren uyarılar.
Tesadüfen, Zhao Nannan’ın daha sonra çalıştığı Şangay Sasac’ın başkanı, aynı zamanda yolsuzluk soruşturması altındaydı ve bildirilen “onaylanmış olaylar” hakkında sorular sordu. Şangay Belediye Disiplin Denetimi Komisyonu Topsec müşterisidir.
Bu sızıntı, kökeni belirsiz kalsa da, Çin hükümeti ve özel siber güvenlik firmaları arasındaki yakın bağları vurgular ve uygun kimlik bilgisi yönetimi ve güvenli kodlama uygulamalarının önemini vurgular. CI/CD boru hatları ile entegre olan sır yöneticileri kullanmak, kimlik bilgisi maruziyeti ve müteakip uzlaşma riskini en aza indirebilir.