Çin’in bilgisayar korsanlığı yetenekleri ve hedeflerini açığa çıkaran bir takım belgeler sızdı. Bir uzman, ‘Barutsuz bir savaş var ve siber uzayda oluyor’ dedi.
Çinli bir bilgisayar korsanlığı yüklenicisinden çok sayıda belge sızdırıldı. Uzmanlar bu belgelerin, Çin komünist rejiminin oluşturduğu küresel siber güvenlik tehditlerini gözler önüne serdiğini söylüyor.
Sızdırılan belgeler, 16 Şubat’ta kimliği belirsiz kişiler tarafından GitHub’da yayınlandı. Ayrıca söz konusu belgeler arasında ürün kılavuzları, pazarlama materyalleri, çalışan listeleri, sohbet kayıtları, mali bilgiler ve yabancı sızmaya ilişkin ayrıntılar yer alıyor.
Associated Press, 21 Şubat’ta yayınladığı raporda, belgelerin Çin merkezli siber güvenlik tedarikçisi I-Soon’dan geldiğini doğruladı. Bu bilgi Mandarin dilinde Anxun olarak bilinen şirketin iki çalışanıyla yapılan görüşmenin ardından yayınlandı.
Belgelere göre I-Soon, saldırgan siber araçları ve casus yazılım sistemlerini içeren bir ürün yelpazesine sahip. Belgelerde ayrıca şirketin Temmuz 2016’dan Haziran 2022’ye kadar imzaladığı sözleşmelerin bir listesi de yer alıyor. Bu liste, müşterilerinin çoğunun Çin’in bölgesel güvenlik büroları olduğunu gösteriyor. Bu ifşa, şirketin ortaklarından biri olarak ÇKP’nin Kamu Güvenliği Bakanlığı’nı öne çıkaran websitesindeki bilgilere, yenilerini ekliyor.
Teknoloji uzmanı Chiang Ya-chi, 21 Şubat’ta The Epoch Times’a konu ile ilgili bir açıklama yaptı. “I-Soon olayı bir kez daha herkese ağ güvenliğinin bir ulusal güvenlik meselesi olduğunu hatırlatmalı. Barutsuz bir savaş var ve siber uzayda oluyor” dedi.
Chiang, Tayvan Hukuk ve Teknoloji Derneği’nin başkanıdır. Aynı zamanda Ulusal Tayvan Okyanus Üniversitesi’nde internet teknolojisi ve fikri mülkiyet hukuku alanında uzman profesördür.
Chiang, sızan belgelerin I-Soon’un Çin Komünist Partisi (ÇKP) tarafından finanse edildiğini gösterdiğini söyledi. Pekin’in yabancı hükümetlere ve kuruluşlara sızmak için I-Soon gibi firmalar tarafından geliştirilen araçları kullandığını belirtti.
Casus Yazılım
Sızdırılan belgelerde yer alan kurban listesi, I-Soon’un birçok ülkedeki kurumları hedef aldığını gösteriyor. Bu kurumlar arasında telekomünikasyon şirketleri, hastaneler, üniversiteler, özel şirketler ve devlet kurumları var. Ayrıca ülkeler arasında Fransa, Mısır, Hindistan, Endonezya, Kazakistan, Malezya, Moğolistan, Nepal, Güney Kore, Tayvan, Tayland, Filipinler ve Vietnam yer alıyor.
Bir belgeye göre, I-Soon Vietnam Ekonomi Bakanlığı’nı hacklemek için diğer iki Vietnam hükümeti bakanlığını hacklemek için aldığından daha fazla para talep etmiş.
Belge sızıntısının ardından birçok araştırmacı ve uzman, basitleştirilmiş Çince ile yazılmış belgelere ilişkin analizlerini yayınladı.
Gerçek zamanlı siber koruma sağlayan Kaliforniya merkezli Malwarebytes, 21 Şubat’ta sızdırılan verilerin bir analizini yayınladı. Belgelerin “önde gelen casus yazılım satıcısı APT’de devam eden operasyonlara içeriden bir bakış sağladığını” söyledi. APT, gelişmiş kalıcı tehdit anlamına gelir.
Analiz, belgelerin ortaya çıkardığı bazı I-Soon ürünlerini vurguluyor. Bunlar arasında “Twitter hırsızı” olarak adlandırılan bir ürün de var.
Ayrıca analizde şu ifadelere yer veriliyor: “Twitter hırsızının özellikleri arasında kullanıcının Twitter e-posta ve telefon numarasını ele geçirme, gerçek zamanlı izleme, kişisel mesajları okuma ve kullanıcı adına tweet yayınlama yer alıyor”.
Belgenin bir sayfasında I-Soon, Twitter’ın güvenlik mekanizması üzerinde yıllarca çalışmış olmakla övünüyor. Bu nedenle ürünün, bir Twitter kullanıcısının hesabını hedeflemek için güvenlik özelliklerini atlayabileceği iddia ediliyor.
Aynı zamanda, sızdırılan belgeler ‘Twitter hırsızı’ ürününün maliyetini de ortaya koyuyor. Ürünün bir yıllık kullanımının maliyeti 700.000 yuan (yaklaşık 97.000 $). Üç yıllık kullanımın maliyeti ise 1,5 milyon yuan (yaklaşık 208.000 $).
Malwarebytes analizine göre ürün açıklamaları şu şekilde: “Windows x64/x86 için Özel Uzaktan Erişim Truva Atları (RAT’lar). Ayrıca özellikler arasında; işlem/hizmet/kayıt defteri yönetimi, uzak kalkan, tuş kaydı, dosya erişimi kaydı, sistem bilgileri alma, uzaktan bağlantı kesme ve yazılımı kaldırma yer alıyor.”
Tehditler
RAT’ların iOS ve Android versiyonları bulunmaktadır. Analize göre iOS modeli, cihaz yazılımını kırmadan tüm iOS cihaz sürümlerini desteklediğini iddia ediyor. Donanım bilgileri, GPS verileri, kişiler, medya dosyaları ve gerçek zamanlı ses kayıtları gibi özelliklere sahip.
Ayrıca I-Soon’un “ağlara içeriden saldırmak” için taşınabilir cihazlara sahip olduğu belirtiliyor.
Sızan belgelere göre, taşınabilir cihazlar iki farklı boyutta geliyor. Standart versiyonu cep telefonu pili, anahtarlı uzatma kablosu veya güç adaptörü olarak gizlenebiliyor. Bunun yanı sıra, mini versiyon da baskılı devre kartı olarak gizlenebiliyor.
Malwarebytes analizine göre, kullanıcı arama veri-tabanları sosyal medya hesaplarıyla ilişkilendirilebiliyor. Bu veri-tabanlarında kullanıcıların telefon numaraları, adları ve e-posta adresleri saklanabiliyor.
Ayrıca ÇKP, kullanıcı arama veri-tabanlarını Çin’deki muhaliflerini takip etmek ve bulmak için kullanabilme potansiyeline de sahip. Sızan belgelere göre Weibo, Baidu ve WeChat dâhil olmak üzere farklı Çin platformları için veri-tabanları oluşturuldu.
Su Tzu-yun, Tayvan merkezli Ulusal Savunma ve Güvenlik Araştırmaları Enstitüsü müdürüdür. 21 Şubat’ta The Epoch Times’a konu hakkında bir demeç verdi. ABD ve NATO’nun Çin rejiminin siber güvenliklerine yönelik bir tehdit olduğu yönündeki iddialarını hatırlattı. Ayrıca I-Soon belgelerinin Çin’in kötü niyetli olduğunu gösteren ve iddiaları destekleyen son kanıt olduğunu söyledi.
2022’de NATO tarafından hazırlanan stratejik kavram üzerinde mutabakata varılmıştı. Burada, rejimin “kötü niyetli hibrit ve siber operasyonlarının, çatışmacı söyleminin ve yanlış bilgilendirmesinin, müttefikleri hedef aldığı ve ittifak güvenliğine zarar verdiği” ifade edildi.
Bu ayın başlarında Siber Güvenlik ve Altyapı Güvenliği Ajansı, Çin’in bilgisayar korsanlığı hakkında bir uyarı yayınladı. ÇKP’nin bir çatışmaya hazırlık amacıyla ABD sistemlerine kötü amaçlı yazılımları önceden konumlandırdığını bildirdi. Uyarıdan birkaç gün önce FBI yöneticisi Christopher Wray, milletvekillerine, “Volt Typhoon”un çökertildiğini söylemişti. Çin merkezli ve devlet destekli büyük bilgisayar korsanlığı grubu, çok kurumlu bir operasyonla çökertildi. Grup, ABD’nin kritik altyapısındaki çok çeşitli ağları hedeflemeye 2021’de başlamıştı.
APT41 Olayı
Geçtiğimiz yıl Wray, Çinli bilgisayar korsanlarının sayısının, ABD’li siber uzmanların en az 50 katı olduğu konusunda uyarıda bulundu.
Bazı araştırmacılar, sızdırılan belgeler üzerinde yaptıkları analize dayanarak I-Soon’un APT41 ile bağlantısı olabileceğini öne sürdü. Ayrıca APT41, Çin’in devlet destekli bir bilgisayar korsanlığı grubudur.
2020 yılında APT41’de çalışan beş Çin vatandaşı hakkında, bilgisayar korsanlığı suçlamalarıyla dava açıldı. Suçlamalar arasında, dünya çapında 100’den fazla kuruluştan ticari sırları ve hassas bilgileri çalmak vardı. Beş kişi şu anda FBI’ın arananlar listesinde.
Siber güvenlik firması Mandiant, 2022 tarihli bir raporunda, APT41’in bu ağlara erişim sağlamak için en az altı ABD eyalet hükümetinin çevrimiçi sistemlerindeki güvenlik açıklarından yararlandığını belirtti.
Kaliforniya merkezli siber güvenlik şirketi SentinelLabs, I-Soon’un 21 Şubat’ta sızdırılan verilerine ilişkin bir analiz yayınladı. “Sızıntı, Çin’in bilgisayar korsanlığı ekosisteminin ne kadar olgunlaşmış olduğunu ortaya koyuyor. Üstelik bunun için, bugüne kadar kamuya açık olan en somut ayrıntılardan bazılarını sunuyor” dedi.
“Çin hükümetinin gerek duyduğu hedefler doğrultusunda, kiralık bilgisayar korsanlarından oluşan rekabetçi bir pazarın nasıl geliştiğini açıkça gösteriyor.”
Chung Yuan bu rapora katkıda bulunmuştur.
Yazan: Frank Fang, The Epoch Times Taiwan
Çeviren: Hatice Atmaca, The Epoch Times Türkiye
Yorumlar kapalı, ancak trackbacks Ve pingback'ler açık.