Hemen her gün ABD’nin, Çin’i sunucularına girmekle suçladığını okuyoruz. Şimdi Çin, ABD’yi önemli bir Çinli savunma şirketinin sunucularını yaklaşık bir yıl boyunca kontrol etmek ve askeri verileri çalmak için eski bir Microsoft Exchange açığından faydalanmakla suçluyor.
Çin Siber Güvenlik Derneği, geçen hafta ABD istihbarat teşkilatlarının Çin’in kilit sektörlerini hedef alan sık sık gerçekleştirdiği siber saldırılar ve casusluk faaliyetleriyle ilgili iki vakanın ayrıntılarını açıkladı. Vakalardan biri, Microsoft Exchange e-posta sistemindeki sıfır gün güvenlik açıklarından yararlanan bir saldırıyı, diğeri ise elektronik bir belge sistemindeki kusurlardan yararlanan bir saldırıyı içeriyor. Çin Siber Uzay İdaresi ve ulusal CERT-C² tarafından desteklenen Çin Siber Güvenlik Derneği, ABD bağlantılı aktörlerin, eski bir Microsoft Exchange sıfır gün açığından faydalanarak bir Çinli savunma şirketinin e-posta altyapısını ihlal ettiğini iddia ediyor.
Microsoft Exchange güvenlik açıkları yüksek değerli saldırı hedefleri; yamalansalar bile uzun süreli ve tespit edilemeyen arka kapılar oluşturabiliyorlar. Devlet destekli aktörler, tehdit avcılığının, olay müdahalesinin ve anormallik tespitinin önemini vurgulayarak, uzun süreler boyunca gizli erişimi koruyabiliyorlar.
Saldırganların kuruluşun etki alanı denetleyicisi sunucusunu kontrol ettiğini ve bunu dahili ağdaki 50’den fazla önemli cihaza erişmek için sıçrama tahtası olarak kullandıkları iddia ediliyor. Ayrıca, uzun vadeli kontrol elde etmek amacıyla kuruluşun harici bir çalışma sunucusuna bir araç yerleştirdiler. Rapora göre, saldırganlar aynı zamanda veri sızdırmak için kuruluş ağı içinde birden fazla gizli kanal oluşturdular.
İddiaya göre, saldırganlar, sunuculara ve etki alanı denetleyicilerine sızarak yaklaşık bir yıl boyunca (Temmuz 2022-Temmuz 2023) kontrolü elinde tuttu. En az 11 üst düzey yöneticinin e-postaları ve hassas askeri tasarım planları çalındı. Bu dönemde saldırganlar, Almanya, Finlandiya, Güney Kore ve Singapur dahil olmak üzere birçok ülkeden proxy IP’leri kullanarak 40’tan fazla siber saldırı başlattılar.
ABD-Çin Arasında Yeni Trend : Karşılıklı Siber Saldırı Suçlaması Yapmak
Bu iddia, 2021 Hafniyum Exchange saldırısı ve 2023 SharePoint olayları gibi Çin’e yönelik uzun süredir devam eden ABD suçlamalarına karşı geliyor. Batılı analistler ise, Çin’in siber normlar etrafındaki anlatıyı yeniden şekillendirmek ve ABD’ye diplomatik baskı yapmak için kamuya açık bir atıf stratejisine geçtiğini iddia ediyor.
Çin Dışişleri Bakanlığı sözcüsü Guo Jiakun Cuma günkü basın toplantısında şunları söyledi:
“Bu, ABD hükümetinin Çin’e yönelik kötü niyetli siber saldırılarının en son kanıtıdır. Bu durum, ABD’nin Çin’in karşı karşıya olduğu en büyük siber tehdit olduğunu bir kez daha gösteriyor ve ABD’nin siber güvenlik konusundaki ikiyüzlülüğünü gözler önüne seriyor. ABD, kendisini mağdur olarak gösterirken, kendisi tam tersini yapıyor. Çin, siber güvenliğini korumak için gerekeni yapmaya devam edecek.”
Eskiden sadece ABD tarafından görülen kamuoyu açıklamalarının Çin tarafından da dile getirilmesi, siber diplomasi ve tekno-politik çatışmada yeni bir aşamaya işaret ediyor. Saldırı ile ilişkilendirme krizleri, siber uzayda farklı devlet davranış normlarının oluşturulmaya başladığını gösteriyor.
Devletler Arası Siber Saldırı Trendleri
2005’ler öncesine bakarsak, devletler başka devletten geldiği düşünülen siber saldırıları açıklamıyorlardı. Şimdi ise, genellikle batılılar tarafından koordineli olarak, açıklama yönünde bir eğilim görüyoruz.
Üstelik bu açıklamalar artık devletlerle sınırlı değil. Özel siber güvenlik şirketleri (örneğin, Mandiant, SentinelOne, Recorded Future), Teknoloji platformları (örneğin, Google Tehdit Analizi Grubu, Microsoft DART), Açık kaynaklı istihbarat toplulukları (OSINT) ve Akademik araştırma merkezleri de devlet destekli saldırı açıklamaları yapıyor. Hatta,özel şirketler teknik adli bilişim sağlıyor, hükümetler açıklama yapıyor.
Bir yandan da ülkelerin saldırgan karartma taktiklerini geliştirdiği iddia ediliyor. Yani proxy altyapısının kullanımı (bulut sanal makineleri, ele geçirilmiş yönlendiriciler, botnet’ler), rakip ülkeleri taklit etmek için sahte bayrak operasyonlar, <aman dilimi karıştırma, dil yapıtları ekleme gibi taktikler görülüyor.
ABD, gerçek zamanlı paylaşım için CISA Ortak Siber Savunma İşbirliği’ni (JCDC) kurdu. Siber Uzayda Güven ve Güvenlik İçin Paris Çağrısı ivme kazanıyor.
Kaynak : 