Casus yazılım sızıntısı, Çin hükümetinin hackleme çabalarına ‘türünün ilk örneği’ bakış sunuyor

Hafta sonu boyuncabirisi Çin hükümetinin bilgisayar korsanlığı yüklenicisi I-Soon’dan çalındığı anlaşılan dosya ve belgeleri içeren bir önbellek yayınladı.

Bu sızıntı, siber güvenlik araştırmacılarına ve rakip hükümetlere, Çin hükümetinin özel yüklenicilerin kolaylaştırdığı hackleme operasyonlarının perdesinin arkasına bakma konusunda benzeri görülmemiş bir şans veriyor.

2015 yılında İtalyan casus yazılım üreticisi Hacking Team’i hedef alan hack-and-leak operasyonu gibi, I-Soon sızıntısı da I-Soon’un Hindistan, Kazakistan, Kazakistan’daki şirketlere ve devlet kurumlarına bilgisayar korsanlığı yaptığı iddiasını gösteren şirket belgelerini ve dahili iletişimleri içeriyor. Malezya, Pakistan, Tayvan ve Tayland da diğerleri arasında.

Sızan dosyalar Cuma günü kod paylaşım sitesi GitHub’da yayınlandı. O zamandan bu yana, Çin’deki hackleme operasyonlarını izleyen gözlemciler hararetli bir şekilde dosyaları araştırdı.

Siber güvenlik firması Recorded Future’da tehdit istihbaratı analisti olan Jon Condra, “Bu, Çin güvenlik hizmetleri için siber casusluk ve hedefli saldırı hizmetleri sağladığından şüphelenilen bir şirketle bağlantılı en önemli veri sızıntısını temsil ediyor” dedi.

Google’ın sahibi olduğu Mandiant’ın baş analisti John Hultquist’e göre bu sızıntı “dar kapsamlı ama derin” dedi. “Herhangi bir istihbarat operasyonunun iç işleyişine nadiren bu kadar sınırsız erişime sahip oluyoruz.”

Siber güvenlik firması SentinelOne’da analist olan Dakota Cary, bir blog yazısında “bu sızıntı, devlete bağlı bir bilgisayar korsanlığı yüklenicisinin iç operasyonlarına türünün ilk örneği olan bir bakış sağlıyor” diye yazdı.

Ve ESET kötü amaçlı yazılım araştırmacısı Matthieu Tartare, sızıntının “istihbarat analistlerinin gözlemledikleri bazı güvenlik ihlallerini I-Soon’a bağlama tehdidinde bulunmasına yardımcı olabileceğini” söyledi.

Sızıntıyı ilk öğrenen kişilerden biri, Azaka’dan geçen Tayvanlı bir tehdit istihbarat araştırmacısıydı. Pazar günü Azaka, eski adı Twitter olan X’te, 2022 gibi yakın bir tarihe ait görünen bazı belge ve dosyaları analiz eden uzun bir başlık yayınladı. Araştırmacı, I-Soon tarafından Windows, Mac’ler, iPhone’lar ve Android cihazlar için geliştirilen casusluk yazılımının altını çizdi: Wi-Fi şifrelerini kırabilen, Wi-Fi cihazlarını takip edebilen ve Wi-Fi sinyallerini bozabilen, gerçek dünyadaki durumlarda kullanılmak üzere tasarlanmış donanım korsanlığı cihazlarının yanı sıra.

Azaka, TechCrunch’a şunları söyledi: “Biz araştırmacılar sonunda orada işlerin bu şekilde yürüdüğüne ve APT gruplarının hemen hemen biz sıradan işçiler gibi çalıştığına (korkunç ücretler almaları dışında) dair bir onaya sahibiz.” Büyük hükümet ağlarını ihlal etmek için kazançlı bir pazar var.” APT veya gelişmiş kalıcı tehditler, genellikle bir hükümet tarafından desteklenen bilgisayar korsanlığı gruplarıdır.

Araştırmacıların analizine göre belgeler, I-Soon’un Çin Kamu Güvenliği Bakanlığı, Devlet Güvenlik Bakanlığı, Çin ordusu ve donanması için çalıştığını gösteriyor; ve I-Soon ayrıca Tibetliler ve Çin’in batı bölgesi Sincan’da yaşayan Müslüman bir topluluk olan Uygurlar gibi azınlıkların hedef alınmasına yardımcı olmak için Çin genelindeki yerel kolluk kuvvetlerine hizmetlerini sundu ve sattı.

Belgeler, I-Soon’u, 2012’den bu yana aktif olduğu bildirilen ve dünya çapında sağlık, telekom, teknoloji ve video oyunu sektörlerindeki farklı sektörlerdeki kuruluşları hedef alan, Çin hükümetine ait bir hack grubu olan APT41 ile ilişkilendiriyor.

Ayrıca, I-Soon sızıntısında bulunan bir IP adresi, dijital haklar örgütü Citizen Lab’in 2019’daki bir hackleme kampanyasında Tibetlilere karşı kullanıldığını gördüğü bir kimlik avı sitesine ev sahipliği yapıyordu. O dönemde Citizen Lab araştırmacıları, hackleme grubuna “Poison Carp” adını vermişti.

Azaka ve diğerleri, I-Soon çalışanları ile yönetim arasındaki sohbet kayıtlarını da buldu; bunların bazıları son derece sıradan, çalışanların kumar hakkında konuşması ve popüler Çin kiremit tabanlı oyun mahjong’u oynaması gibi.

Cary, I-Soon çalışanlarına ne kadar ya da ne kadar az ücret ödendiğini gösteren belge ve sohbetlerin altını çizdi.

“55.000 dolar alıyorlar [US] Cary, TechCrunch’a “2024 doları cinsinden Vietnam Ekonomi Bakanlığı’nı hacklemek böyle bir hedef için çok fazla bir para değil” dedi. “Bu bana Çin’in yüksek değerli bir hedefe yönelik bir operasyon yürütmesinin ne kadar ucuz olduğunu düşündürüyor. Peki bu, kuruluşun güvenliğinin doğası hakkında ne söylüyor?

Cary’ye göre sızıntı aynı zamanda araştırmacıların ve siber güvenlik firmalarının, paralı asker korsanlık gruplarının geçmiş faaliyetlerine dayanarak gelecekteki potansiyel eylemlerini ihtiyatlı bir şekilde değerlendirmeleri gerektiğini gösteriyor.

Cary, “Bu, bir tehdit aktörünün, özellikle de Çin hükümetinin bir yüklenicisi olduğunda, önceki hedefleme davranışının, gelecekteki hedeflerinin göstergesi olmadığını gösteriyor” dedi. “Dolayısıyla bu organizasyona bakıp ‘ah sadece sağlık sektörünü hacklediler ya da X, Y, Z endüstrisini hacklediler ve bu ülkeleri hacklediler’ demek işe yaramaz.’ Bunların ne olduğuna cevap veriyorlar [government] kurumlar talep ediyor. Ve bu ajanslar farklı bir şey talep edebilir. Yeni bir büro ve yeni bir lokasyonla iş bulabilirler.”

Washington DC’deki Çin Büyükelçiliği yorum talebine yanıt vermedi.

I-Soon’un destek gelen kutusuna gönderilen bir e-posta yanıtsız kaldı. İsimsiz iki I-Soon çalışanı Associated Press’e şirketin çarşamba günü bir toplantı yaptığını ve çalışanlara sızıntının işlerini etkilemeyeceğini ve “normal şekilde çalışmaya devam etmelerini” söylediklerini söyledi.

Şu anda sızdırılan belge ve dosyaları kimin yayınladığına dair bir bilgi bulunmuyor ve GitHub, sızdırılan önbelleği yakın zamanda platformundan kaldırdı. Ancak birçok araştırmacı, daha olası açıklamanın hoşnutsuz mevcut veya eski bir çalışan olduğu konusunda hemfikir.

“Bu sızıntıyı bir araya getirenler ona içindekiler tablosunu vermişler. Sızıntının içindekiler kısmında ise çalışanların düşük ücretlerden ve işletmenin mali koşullarından şikayetçi olduğu görülüyor” dedi Cary. “Sızıntı şirketi utandıracak şekilde yapılandırılmış.”