Başta ABD olmak üzere Avrupa Birliği, NATO, Birleşik Krallık ve diğer önemli müttefiklerden gelen ortak açıklamayla; bu yılın başlarında Microsoft Exchange sunucularına yönelik büyük ölçekli saldırılar sebebiyle dünya çapında on binlerce kuruluşun hacklenmesinden resmi olarak Çin Hükümetine bağlı bilgisayar korsanları sorumlu tutuldu.
2021 yılının başlarından Mart ayında tespit edilene kadar olan zaman zarfında dünya çapındaki on binlerce kuruluşun -ki sadece ABD’de en az 30 bin kuruluşun etkilendiği belirtiliyor- e-posta sunucularının kontrolünü ele geçirmek için Microsoft Exchange sunucularına yönelik saldırılar gerçekleşmişti. Özellikle Microsoft’un yama yayınlanmadan hemen önce gerçekleşmişti bu saldırılar. Tehdit aktörleri tarafından 4 tane sıfırıncı gün açığının istismar edilerek bu saldırılarda kullandığı ortaya çıkmıştı. Microsoft tarafından yapılan açıklamada, bu saldırının arkasındaki tehdit aktörünün yüksek oranda Hafnium’a bağladığını belirtilmişti.
Beyaz Ev tarafından 19 Temmuz 2021 günü yayınlanan bir açıklamada:
1- Çin’in MSS’sine bağlı kötü niyetli tehdit aktörleri, Mart 2021’in başlarında açıklanan Microsoft Exchange sunucularında sıfırıncı gün güvenlik açıklarını kullanarak siber casusluk operasyonları yürüttüğüne dair yüksek bir güvenle değerlendirildiği belirtiliyor.
2- Çin hükümetine bağlı siber operatörlerin, özel şirketlere karşı milyonlarca dolarlık fidye taleplerini içeren fidye yazılımı operasyonlarını yürüttüklerinin farkında olduklarını, Çin Halk Cumhuriyeti’nin sözleşmeli bilgisayar korsanları tarafından yürütülen suç faaliyetlerini ele alma konusundaki isteksizliğini bildiklerini, bu faaliyetlerinde hükümetlere, işletmelere ve kritik altyapı operatörlerine zarar verdiklerini belirtiyor.
3- Microsoft’un güvenlik güncellemelerini yayınlamadan önce, Çin’e bağlı siber operatörlerin bu güvenlik açıklarından yararlanarak büyük ölçekli saldırılar düzenleyip, dünya çapında on binlerce kuruluşu hacklediği belirtiliyor. Çoğu özel sektörde bulunan bu kurbanların bu durumu iyileştirmek için önemli bir maddi güç harcadıkları da belirtiyor.
Birleşik Krallık’ta Çin’i sorumlu tuttu
Beyaz Ev’in yanı sıra Birleşik Krallık Hükümeti’de Pekin’i “yaygın bir bilgisayar korsanlığı modeli” ve “sistematik siber sabotaj” ile suçladı. İngiltere, APT40 ve APT31 olarak izlenen tehdit aktörlerinin arkasında Çin’in olduğunu ekledi. GCHQ’nun bir parçası olan Ulusal Siber Güvenlik Merkezi, Microsoft Exchange sunucularına yönelik saldırı faaliyetinin Çin devletiyle bağlantılı HAFNIUM olarak bilinen bir tehdit aktörünün sorumlu olma olasılığının yüksek olduğunu değerlendirdi.
NCSC Operasyon Direktörü Paul Chichester yaptığı açıklamada; Microsoft Exchange sunucularına yönelik yapılan saldırının Çin devlet destekli aktörlerin siber uzaydaki kötü niyetli eylemlerinin bir başka ciddi örneğidir, diye belirtti. Chichester, bu tür davranışların kesinlikle kabul edilemez olduğu ve ortaklarımızla birlikte bu gibi durumları gördüğümüzde bunu söylemekten çekinmeyeceğiz diye belirtti.
AB’den de açıklama geldi
19 Temmuz gibi ABD, Birleşik Krallık’la birlikte Avrupa Birliği tarafından da bir açıklama yayınlandı. ABD ve Birleşik Krallık’ın aksine AB, direkt olarak Çin Hükümeti’ni suçlamazken sadece Çin topraklarından gelen saldırıların arkasındaki tehdit aktörlerine yönelik aksiyon alması gerektiği yönünde bir açıklama gerçekleştirdi.
ABD Kurumlarından peş peşe yol gösterici rehberler
Bu açıklamarla NSA, CISA ve FBI ayrıca Çin devlet destekli siber aktörlerin ABD ve müttefiklerinin sistemlerini hedef alan saldırılarda kullandığı 50’den fazla taktik, teknik ve prosedürü (TTP) içeren ortak bir tavsiye yayınladı. CISA ve FBI ayrıca kuruluşların ağlarına izinsiz giriş yapmış ve yerleşmiş APT40 gibi tehdit aktörlerine ait zararlı yazılımların yerlerini tespit etmelerine ve düzeltmelerine yardımcı olmak için uzlaşma göstergeleri ve TTP’ler yayınladı .
