Batılı istihbarat kurumları ve Microsoft, devlet destekli Çinli bir bilgisayar korsanlığı grubunun telekomünikasyondan ulaşım merkezlerine kadar çok çeşitli ABD kritik altyapı kuruluşlarında casusluk yaptığını açıkladı.
Casusluk faaliyetlerinin, stratejik öneme sahip Amerikan askeri üslerine evsahipliği yapan ABD'nin Guam adasını da hedef aldığını belirten Microsoft, "Bu saldırıyı hafifletmek zor olabilir" dedi.
Çin ve ABD rutin olarak birbirleri hakkında casusluk yaparken, uzmanlar bu gelişmenin, Çin'in kritik Amerikan altyapısına karşı bilinen en büyük siber casusluk kampanyalarından biri olduğunu söylüyor.
Volt Typhoon ile bağlantılı birçok saldırıya maruz kalan siber güvenlik şirketi Secureworks’ten araştırmacı Marc Burnard, Çinli siber casusların "öncelikle ABD'deki savunma ve hükümet alanlarındakı kuruluşları, casusluk amacıyla hedef aldıklarının görüldüğünü” söyledi.
En az üç Volt Typhoon saldırısına yanıt verdiğini söyleyen Secureworks, grubun izlerini örtmek için sürekli çalıştığını da kaydetti.
İlgili Haberler ABD Yeni Siber Güvenlik Stratejisini AçıkladıŞirket ayrıca grubun kökenlerine ilişkin Batılı değerlendirmeleri destekleyerek, "Bronz Siluet" adını verdiği siber saldırı grubunun muhtemelen Pekin adına faaliyet gösterdiğini belirtti.
Bilişim teknolojisi şirketi Del’in bir kolu olan Secureworks, "siber casusluk faaliyetlerinin kamuoyunun dikkatini çekmesini önlemek için Pekin yönetiminden gelen ve muhtemelen artan baskıya" yanıt olarak, Çinli casusların faaliyetlerini geliştirdiklerini söyledi.
ABD Dışişleri Bakanlığı da, Çin destekli bir siber aktörün ABD'nin kritik altyapı ağlarında varlık göstermeye yönelik son faaliyetlerinden haberdar olduğunu belirtti.
Dışişleri Bakanlığı sözcüsü Matthew Miller gazetecilere yaptığı açıklamada, istihbarat topluluğunun Çin'in petrol, boru hatları ve demiryolu sistemleri dahil, ABD'deki kritik altyapıyı bozabilecek siber saldırılar başlatma kapasitesine neredeyse kesinlikle sahip olduğunu değerlendirdiğini söyledi.
"Kolektif bir dezenformasyon kampanyası"
Çin Dışişleri Bakanlığı Sözcüsü Mao Ning ise korsanlık iddialarının ABD, Kanada, Yeni Zelanda, Avustralya ve İngiltere'den oluşan istihbarat paylaşım ittifakına atıfta bulunan Beş Göz ülkelerinin "kolektif bir dezenformasyon kampanyası" olduğunu savundu.
Mao, kampanyanın ABD tarafından jeopolitik nedenlerle başlatıldığını ve Microsoft analistlerinin raporunun, ABD hükümetinin dezenformasyon kanallarını devlet kurumlarının ötesine genişlettiğini gösterdiğini söyledi.
Pekin'deki günlük basın brifinginde konuşan Mao, "Ancak hangi farklı yöntemler kullanılırsa kullanılsın, bunların hiçbiri ABD'nin bilgisayar korsanlığı imparatorluğu olduğu gerçeğini değiştiremez" dedi.
Kaç kuruluşun etkilendiği netleşmedi; ancak ABD Ulusal Güvenlik Dairesi (NSA), ihlalleri tespit etmek için Kanada, Yeni Zelanda, Avustralya ve İngiltere'nin yanısıra ABD Federal Soruşturma Bürosu'nun (FBI) da aralarında bulunduğu ortaklarla birlikte çalıştığını söyledi. Kanada, İngiltere, Avustralya ve Yeni Zelanda da bilgisayar korsanları tarafından hedef alınabilecekleri konusunda uyarıda bulundu.
Microsoft analistleri, 'Volt Typhoon' olarak adlandırdıkları bu Çinli grubun, gelecekteki krizler sırasında ABD ile Asya bölgesi arasındaki kritik iletişim altyapısını bozabilecek yetenekler geliştirdiğine “makul derecede inandıklarını” kaydetti.
Google'ın siber tehdit istihbarat platformu Mandiant Intelligence'dan John Hultquist, bu durumun, grubun kriz olasılıklarına hazırlandığı anlamına geldiğini söyledi.
Tehdit analizinin başında bulunan Hultquist, Çin'in faaliyetlerinin benzersiz ve endişe verici olduğunu çünkü analistlerin bu grubun neler yapabileceği konusunda henüz yeterli bilgiye sahip olmadığını da kaydetti; ancak "Jeopolitik durum nedeniyle bu aktöre daha fazla ilgi var" dedi.
Çin, demokratik olarak yönetilen Tayvan üzerindeki askeri ve diplomatik baskısını arttırırken, ABD Başkanı Joe Biden adayı savunmak için güç kullanmaya istekli olduğunu söylemişti.
Güvenlik analistleri, Çin'in Tayvan'ı işgal etmesi halinde Çinli bilgisayar korsanlarının ABD askeri ağlarını ve diğer kritik altyapıları hedef alabileceğini düşünüyor.
NSA ve diğer Batılı bilişim kurumları, kritik altyapı işleten şirketleri, yayınladıkları teknik kılavuzu kullanarak, kötü niyetli faaliyetleri tespit etmeye çağırdı.
İngiltere Ulusal Siber Güvenlik Merkezi Direktörü Paul Chichester, NSA ile yaptığı ortak açıklamada "Kritik ulusal altyapı operatörlerinin, saldırganların sistemlerinde saklanmasını önlemek için harekete geçmeleri hayati önem taşıyor" dedi.
Microsoft, Çinli bilgisayar korsanlığı grubunun en az 2021'den beri aktif olduğunu ve iletişim, imalat, kamu hizmeti, ulaşım, inşaat, denizcilik, hükümet, bilgi teknolojisi ve eğitim gibi çeşitli sektörleri hedef aldığını bildirdi.
NSA siber güvenlik direktörü Rob Joyce da Çin operasyonunun, "savunma mekanizmalarından kaçmak ve geride hiçbir iz bırakmamak için yerleşik ağ araçlarını" kullandığını söyledi. Joyce, bu tür tekniklerin "kritik altyapı ortamlarında zaten yerleşik olan özellikleri" kullandıkları için tespit edilmelerinin daha zor olduğunu da sözlerine ekledi.
Microsoft, genellikle kurbanı kandırarak kötü niyetli dosyaları indirmesini sağlayan geleneksel bilgisayar korsanlığı tekniklerinin aksine, bu grubun bilgi bulmak ve veri ayıklamak için kurbanın mevcut sistemlerine bulaştığına dikkat çekti.
Guam, Asya-Pasifik bölgesindeki herhangi bir çatışmaya müdahale için kilit öneme sahip ABD askeri tesislerine evsahipliği yapıyor. Ayrıca Asya ve Avustralya'yı çok sayıda denizaltı kablosuyla ABD'ye bağlayan önemli bir iletişim merkezi.
Avustralya Stratejik Politika Enstitüsü'nden kıdemli analist Bart Hoggeveen, denizaltı kablolarının Guam'ı, istihbarat elde etmek için "Çin hükümeti için mantıklı bir hedef" haline getirdiğini söyledi.
Bölgedeki devlet destekli siber saldırılar konusunda uzmanlaşan Hoggeveen, "Kablolar kıyıya ulaştığında yüksek bir güvenlik açığı ortaya çıkıyor" dedi.
Yeni Zelanda, ülkesindeki bu tür kötü niyetli siber faaliyetleri tespit etmek için çalışacağını söyledi.
Avustralya İçişleri ve Siber Güvenlik Bakanı Clare O'Neil da, "Karşılaştığımız tehditler konusunda Avustralyalılar’a karşı şeffaf ve açık olmamız ülkemizin ulusal güvenliği için önemli" dedi.
Kanada'nın siber güvenlik kurumu henüz Kanadalılar’ın bu saldırıya maruz kaldığına dair bir istihbarat bulunmadığını belirtti ancak; "Altyapımızın büyük bir kısmı birbirine sıkı sıkıya bağlı ve birine yapılan bir saldırı diğerini de etkileyebilir" uyarısında bulundu.