Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Çin Ulusal Bilgisayar Virüsü Acil Durum Müdahale Merkezi (CVERC), Volt Typhoon olarak bilinen tehdit aktörünün ABD ve müttefiklerinin bir uydurması olduğu iddialarını ikiye katladı.
Ajans, Bilgisayar Virüsü Önleme Teknolojisi Ulusal Mühendislik Laboratuvarı ile işbirliği içinde, ABD federal hükümetini, istihbarat teşkilatlarını ve Beş Göz ülkelerini Çin, Fransa, Almanya, Japonya ve küresel olarak internet kullanıcılarına karşı siber casusluk faaliyetleri yürütmekle suçlamaya devam etti.
Ayrıca, ABD'nin kendi kötü niyetli siber saldırılarını gizlemek amacıyla sahte bayrak operasyonları yürüttüğünü gösteren "sağlam kanıtlar" olduğunu söyledi ve "Çin siber saldırılarının sözde tehlikesini" icat ettiğini ve "büyük ölçekli bir küresel internet gözetim ağı" kurduğunu da sözlerine ekledi.
"Ve ABD'nin tedarik zinciri saldırılarını benimsemesi, internet ürünlerine arka kapılar yerleştirmesi ve 'önceden konumlandırılmış' olması, ABD federal hükümeti tarafından yazılan, yönetilen ve hareket edilen siyasi bir saçmalık olan Volt Typhoon'u tamamen çürüttü" dedi.
"Guam'daki ABD askeri üssü, Volt Typhoon siber saldırılarının kurbanı olmadı, ancak Çin'e ve birçok Güneydoğu Asya ülkesine karşı çok sayıda siber saldırının başlatıcısı ve çalınan verilerin ana taşıyıcı merkezi oldu."
CVERC tarafından Temmuz ayında yayınlanan bir önceki raporun, Volt Typhoon aktörünü ABD istihbarat teşkilatları tarafından düzenlenen bir yanlış bilgilendirme kampanyası olarak nitelendirdiğini belirtmekte fayda var.
Volt Typhoon, 2019'dan beri aktif olduğuna inanılan ve trafiği yönlendiriciler, güvenlik duvarları ve VPN donanımı içeren uç cihazlar üzerinden yönlendirerek kendisini gizlice kritik altyapı ağlarına yerleştiren bir Çin-bağlantı siber casusluk grubuna atanan takma addır.
Ağustos 2024'ün sonlarına doğru, kimlik bilgisi hırsızlığını kolaylaştırmak ve rastgele kod çalıştırmak için VersaMem adlı bir web kabuğu sunmak için Versa Director'ı (CVE-2024-39717, CVSS puanı: 6.6) etkileyen yüksek önem derecesine sahip bir güvenlik açığının sıfır gün istismarıyla bağlantılıydı.
Çin bağlantılı izinsiz giriş setleri tarafından uç cihazların kullanımı, son yıllarda bir model haline geldi ve bazı kampanyalar, tespit edilmekten kaçınmak için bunları Operasyonel Röle Kutuları (ORB'ler) olarak kullanıyor.
Bu, Fransız siber güvenlik şirketi Sekoia tarafından yayınlanan ve Çin kökenli olması muhtemel tehdit aktörlerini, GobRAT ve Bulbature gibi arka kapıları devreye sokmak için yönlendiriciler ve kameralar gibi uç cihazlara bulaşan geniş kapsamlı bir saldırı kampanyasına bağlayan yakın tarihli bir raporla doğrulandı.
Araştırmacılar, "Henüz açık kaynak kodlu olarak belgelenmemiş bir implant olan Bulbature, yalnızca güvenliği ihlal edilmiş uç cihazı, nihai kurban ağlarına yönelik saldırıları iletmek için bir ORB'ye dönüştürmek için kullanılıyor gibi görünüyor" dedi.
"ORB olarak hareket eden güvenliği ihlal edilmiş uç cihazlardan oluşan bu mimari, bir operatörün dünya çapında nihai hedeflere yakın saldırgan siber operasyonlar yürütmesine ve isteğe bağlı proxy tünelleri oluşturarak konumunu gizlemesine olanak tanıyor."
En son 59 sayfalık belgede Çinli yetkililer, ABD, Avrupa ve Asya'dan 50'den fazla güvenlik uzmanının CVERC'ye ulaştığını ve Volt Typhoon hakkındaki "ABD'nin yanlış anlatısı" ve tehdit aktörünü Çin'e bağlayan kanıt eksikliği ile ilgili endişelerini dile getirdiğini söyledi.
Ancak CVERC, bu uzmanların isimlerini vermedi ve hipotezi desteklemek için nedenlerini de açıklamadı. Ayrıca, ABD istihbarat teşkilatlarının, atıf çabalarını karıştırmak amacıyla en geç 2015 yılında Marble adlı gizli bir araç seti oluşturduğunu belirtmeye devam etti.
"Araç seti, siber silah geliştiricilerinin program kodundaki çeşitli tanımlanabilir özellikleri gizlemelerine ve siber silah geliştiricilerinin 'parmak izlerini' etkin bir şekilde 'silmelerine' yardımcı olmak için diğer siber silah geliştirme projeleriyle entegre edilebilecek bir araç çerçevesidir" dedi.
"Dahası, çerçevenin Çince, Rusça, Korece, Farsça ve Arapça gibi diğer dillerde dizeler eklemek için daha 'utanmaz' bir işlevi var, bu da açıkça araştırmacıları yanıltmayı ve Çin, Rusya, Kuzey Kore, İran ve Arap ülkelerini çerçevelemeyi amaçlıyor."
Rapor ayrıca, ABD'yi Atlantik ve Pasifik boyunca fiber optik kabloları kontrol etmek için "internetin inşasındaki doğuştan gelen teknolojik avantajlarına ve jeolojik avantajlarına" güvenmekle ve bunları dünya çapındaki internet kullanıcılarının "ayrım gözetmeksizin izlenmesi" için kullanmakla suçlama fırsatını da değerlendiriyor.
Ayrıca, Microsoft ve CrowdStrike gibi şirketlerin, "tayfun", "panda" ve "ejderha" gibi isimlere sahip tehdit faaliyet grupları için "bariz jeopolitik imalar" içeren "saçma" takma adlar vermeye başvurduklarını iddia etti.
"Yine, bu alanda kapsamlı bir uluslararası işbirliği çağrısında bulunmak istiyoruz" dedi. "Ayrıca, siber güvenlik şirketleri ve araştırma kurumları, siber tehdit teknolojisi araştırmalarına ve kullanıcılar için daha iyi ürün ve hizmetlere odaklanmalıdır."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı