Savaşa hazırlanan Çinli ‘Typhoon’ hackerlarıyla tanışın

Bugün Amerika Birleşik Devletleri’nin karşı karşıya olduğu siber güvenlik risklerinden çok azı, üst düzey ABD ulusal güvenlik yetkililerinin “çağı belirleyen bir tehdit” olarak tanımladığı Çin destekli bilgisayar korsanlarının oluşturduğu potansiyel sabotaj yeteneklerinden daha büyük görünüyor.

ABD, Çin hükümeti destekli bilgisayar korsanlarının bazı durumlarda yıllardır su, enerji ve ulaşım sağlayıcıları da dahil olmak üzere ABD’nin kritik altyapı ağlarının derinliklerine sızdığını söylüyor. Yetkililer, amacın Çin ile ABD arasında gelecekte Çin’in Tayvan’ı işgal etmesi gibi bir çatışma durumunda potansiyel olarak yıkıcı siber saldırılara zemin hazırlamak olduğunu söylüyor.

O zamanki FBI Direktörü Christopher Wray geçen yıl milletvekillerine, “Çin’in bilgisayar korsanları, Çin’in saldırı zamanının geldiğine karar vermesi durumunda Amerikan vatandaşlarına ve topluluklarına zarar vermek ve gerçek dünyada zarar vermek için Amerikan altyapısı üzerinde konumlanıyor” dedi.

ABD hükümeti ve müttefikleri o zamandan beri Çinli hack gruplarının bazı “Typhoon” ailesine karşı harekete geçti ve bu grupların oluşturduğu tehditler hakkında yeni ayrıntılar yayınladı.

Ocak 2024’te ABD, yıkıcı siber saldırılara zemin hazırlamakla görevli bir grup Çin hükümeti korsanı olan “Volt Typhoon”u engelledi. Eylül 2024’ün sonlarında federal yetkililer, Çin hükümeti korsanlarının faaliyetlerini gizlemeye yardımcı olmak için Pekin merkezli bir siber güvenlik şirketini kullanan “Flax Typhoon” adlı başka bir Çinli bilgisayar korsanlığı grubu tarafından işletilen bir botnet’in kontrolünü ele geçirdi. Daha sonra Aralık 2025’te ABD hükümeti, siber güvenlik şirketine “ABD’li kurbanlara yönelik çok sayıda bilgisayar izinsiz giriş olayında” oynadığı iddia edilen rol nedeniyle yaptırım uyguladı.

Volt Typhoon’un ortaya çıkışından bu yana, ABD telefon ve internet devlerinin ağlarında, kullanılan telekom sistemlerini tehlikeye atarak Amerikalılar ve ABD gözetlemesinin potansiyel hedefleri hakkında istihbarat toplayabilen “Salt Typhoon” adlı yeni bir Çin destekli hack grubu ortaya çıktı. kolluk kuvvetlerinin telefon dinlemeleri.

İşte savaşa hazırlanan Çinli hack grupları hakkında öğrendiklerimiz.

Volt Tayfunu

Volt Typhoon, Çin destekli hack gruplarının yeni bir türünü temsil ediyor; O zamanın FBI direktörüne göre artık sadece hassas ABD sırlarını çalmayı değil, daha ziyade ABD ordusunun “harekete geçme yeteneğini” bozmaya hazırlanmayı amaçlıyor.

Microsoft, Volt Typhoon’u ilk olarak Mayıs 2023’te tanımladı ve bilgisayar korsanlarının, en azından 2021’in ortalarından bu yana, sistemlerin derinliklerine sızmaya yönelik devam eden ve ortak çabanın bir parçası olarak yönlendiriciler, güvenlik duvarları ve VPN’ler gibi ağ ekipmanlarını hedef aldığını ve tehlikeye attığını tespit etti. ABD kritik altyapısı. ABD istihbarat topluluğu gerçekte hackerların muhtemelen çok daha uzun bir süredir, potansiyel olarak beş yıla kadar faaliyet gösterdiklerini söyledi.

Volt Typhoon, Microsoft’un raporunu takip eden aylarda internete bağlı bu binlerce cihazın güvenliğini tehlikeye attı ve “kullanım ömrünün sonu” olarak kabul edilen ve bu nedenle artık güvenlik güncellemelerini almayacak cihazlardaki güvenlik açıklarından yararlandı. Bilgisayar korsanlığı grubu daha sonra havacılık, su, enerji ve ulaşım da dahil olmak üzere çok sayıda kritik altyapı sektörünün BT ortamlarına daha fazla erişim elde ederek, ABD hükümetinin kilit müttefikinin işgaline tepkisini yavaşlatmayı amaçlayan gelecekteki yıkıcı siber saldırıları etkinleştirmek için ön konumlandırma yaptı. Tayvan.

John Hultquist, “Bu aktör, ABD’de norm haline gelen sessizce istihbarat toplama ve sır hırsızlığı yapmıyor. Hassas kritik altyapıyı araştırıyor, böylece emir geldiğinde büyük hizmetleri kesintiye uğratabiliyor” dedi. Mandiant güvenlik firmasında analist.

ABD hükümeti Ocak 2024’te, Volt Typhoon tarafından kullanılan ve Çinli bilgisayar korsanlığı grubunun ABD’yi hedeflemeyi amaçlayan kötü niyetli faaliyetlerini gizlemek için kullandığı binlerce ABD merkezli küçük ofis ve ev ağı yönlendiricisinden oluşan bir botnet’i başarıyla bozduğunu söyledi. kritik altyapı. FBI, kötü amaçlı yazılımı ele geçirilen yönlendiricilerden mahkeme onaylı bir operasyonla kaldırabildiğini ve Çinli bilgisayar korsanlığı grubunun botnet ile bağlantısını kesebildiğini söyledi.

Bloomberg’in raporuna göre, Ocak 2025 itibarıyla ABD, ülke ve bölgelerinde Volt Typhoon ile bağlantılı 100’den fazla izinsiz giriş tespit etti. Raporda, bu saldırıların büyük bir kısmının Pasifik’teki ABD adası bölgesi ve Amerikan askeri operasyonları için stratejik bir konum olan Guam’ı hedef aldığı belirtildi. Volt Typhoon’un, ana güç otoritesi, adanın en büyük hücre sağlayıcısı ve Guam merkezli hassas savunma sistemleri de dahil olmak üzere birçok ABD federal ağı dahil olmak üzere adadaki kritik altyapıyı hedef aldığı iddia ediliyor. Bloomberg, Volt Typhoon’un Guam’daki ağları hedeflemek için daha önce hiç kullanmadığı tamamen yeni bir tür kötü amaçlı yazılım kullandığını bildirdi; araştırmacılar bunu, bölgenin Çin destekli bilgisayar korsanları için sahip olduğu yüksek önemin bir işareti olarak değerlendirdi.

Keten Tayfunu

Microsoft tarafından ilk kez birkaç ay sonra Ağustos 2023’te yayınlanan bir raporda ortaya çıkarılan Flax Typhoon, yetkililerin son zamanlarda kritik altyapılara yönelik saldırılar gerçekleştirmek için Pekin merkezli halka açık bir siber güvenlik şirketi kisvesi altında faaliyet gösterdiğini söylediği Çin destekli bir bilgisayar korsanlığı grubudur. yıllar. Microsoft, yine 2021 ortasından bu yana aktif olan Flax Typhoon’un ağırlıklı olarak Tayvan’daki düzinelerce “devlet kurumu ve eğitim, kritik üretim ve bilgi teknolojisi kuruluşunu” hedef aldığını söyledi.

Daha sonra Eylül 2023’te ABD hükümeti, internete bağlı yüzbinlerce ele geçirilen cihazdan oluşan ve Flax Typhoon tarafından “rutin internet trafiği kılığında kötü niyetli siber faaliyetler yürütmek” için kullanılan başka bir botnet’in kontrolünü ele geçirdiğini açıkladı. virüs bulaşmış tüketici cihazları.” Savcılar, botnet’in Çin hükümeti destekli diğer bilgisayar korsanlarının “bilgi çalmak ve altyapımızı riske atmak için ABD’deki ve dünya çapındaki ağlara sızmasına” olanak sağladığını söyledi.

Adalet Bakanlığı daha sonra Microsoft’un bulgularını doğruladı ve Flax Typhoon’un aynı zamanda “çok sayıda ABD’li ve yabancı şirkete saldırdığını” ekledi.

ABD’li yetkililer, Flax Typhoon’un kullandığı botnet’in Pekin merkezli siber güvenlik şirketi Integrity Technology Group tarafından işletildiğini ve kontrol edildiğini söyledi. Ocak 2024’te ABD hükümeti, Integrity Tech’e, Flax Typhoon ile olduğu iddia edilen bağlantılar nedeniyle yaptırımlar uyguladı.

Tuz Tayfunu

Çin’in hükümet destekli siber ordusunda son aylarda ortaya çıkarılan en son ve potansiyel olarak en kaygı verici grup Salt Typhoon’dur.

Salt Typhoon, Ekim 2024’te farklı türde bir bilgi toplama operasyonuyla manşetlere çıktı. İlk kez The Wall Street Journal tarafından bildirildiği üzere, Çin bağlantılı bilgisayar korsanlığı grubu, AT&T, Lumen (eski adıyla CenturyLink) ve Verizon dahil olmak üzere birçok ABD telekom ve internet sağlayıcısının güvenliğini tehlikeye attı. Journal, Ocak 2025’in sonlarında Salt Typhoon’un ABD merkezli internet sağlayıcıları Charter Communications ve Windstream’i de ihlal ettiğini bildirdi. ABD’li siber yetkili Anne Neuberger, federal hükümetin saldırıya uğrayan isimsiz dokuzuncu telekomünikasyon şirketini tespit ettiğini söyledi.

Bir rapora göre Salt Typhoon, güvenliği ihlal edilmiş Cisco yönlendiricilerini kullanarak bu telekomünikasyon şirketlerine erişim kazanmış olabilir. Saldırganlar, telekomünikasyon ağlarına girdikten sonra, müşteri iletişimlerinin tarih ve saat damgaları, kaynak ve hedef IP adresleri ve bir milyondan fazla kullanıcının telefon numaraları dahil olmak üzere müşteri çağrı ve kısa mesaj meta verilerine erişebildi; bunların çoğu Washington DC bölgesinde yaşayan kişilerdi. Bazı durumlarda bilgisayar korsanları yaşlı Amerikalıların telefon sesini yakalayabildi. Neuberger, verilere erişilenlerin “büyük bir kısmının” “hükümetin ilgi odağı” olduğunu söyledi.

Salt Typhoon, kolluk kuvvetlerinin mahkeme onaylı müşteri verileri toplamak için kullandığı sistemleri hackleyerek, ABD gözetimindeki Çin hedeflerinin potansiyel kimlikleri de dahil olmak üzere ABD hükümetinin veri taleplerinin çoğunu barındıran veri ve sistemlere de potansiyel olarak erişim elde etti.

Telefon dinleme sistemlerindeki ihlalin ne zaman meydana geldiği henüz bilinmiyor, ancak Journal’ın haberine göre 2024’ün başlarına kadar uzanıyor olabilir.

AT&T ve Verizon, Aralık 2024’te TechCrunch’a Salt Typhoon casusluk grubu tarafından hedef alındıktan sonra ağlarının güvende olduğunu söyledi. Lumen kısa süre sonra ağının bilgisayar korsanlarından arındığını doğruladı.

İlk olarak 13 Ekim 2024’te yayınlandı ve güncellendi.