ABD Adalet Bakanlığı, 2011 ve 2018 yılları arasında ABD ve dünya çapındaki çeşitli şirketleri, kuruluşları, üniversiteleri ve devlet kurumlarını hacklemekle suçlanan 4 Çin vatandaşına yönelik soruşturmayı açıkladı. Bu siber saldırılarda hedeflenen kurbanlar arasında ABD, Avusturya, Kamboçya, Almanya, Malezya ve Birleşik Krallık’taki kişiler, kuruluşlar ve şirketler yer aldı.
Özellikle ABD Adalet Bakanlığı tarafından başlatılan bu soruşturma ABD ve müttefik ülkelerin, Microsoft Exchange saldırılarıyla ilgili resmi olarak Çin’i suçlamasıyla aynı gün olan 19 Temmuz 2021 gününe denk geldi.
İddianemeye göre ;
1- ABD, çok daha büyük bir grubun parçası olduğuna inanılan adı geçen dört kişiden üçü olan Ding Xiaoyang, Cheng Qingmin ve Zhu Yunmin’ün saldırılar için paravan olarak kullandıkları Hainan Xiandun Technology Development Co., Ltd. (海南仙盾) ( Hainan Xiandun ) adlı bir şirket kurdukları belirtiyor. Bu üç kişinin Hainan Eyalet Departmanı için çalışan MSS memurları olduğu belirtiliyor.
2- İddianamede, memurların Hainan ve Çin’in başka yerlerindeki çeşitli üniversitelerdeki personel ve profesörlerle koordineli oldukları iddia ediliyor. İddianameye göre, bazı üniversiteler hackerların belirlenmesine ve işe alınmasına yardımcı olmanın yanı sıra Hainan Xiandun’u maaş bordrosu da dahil olmak üzere bir paravan şirket olarak destekleyip yönetmeye yardımcı oldu.
3- Dördüncü sanık olan Wu Shurong, Hainan Xiandun için çalıştığı, zararlı yazılım oluşturup yabancı hükümetler, şirketler ve üniversiteler tarafından işletilen bilgisayar sistemlerine girmek ile suçlanıyor. Bunun yanı sıra Wu Shurong’un gruptaki diğer çalışanlarıda denetlemekle görevli olduğu belirtiliyor. Ek olarak “goodperson” ve “ha0r3n.” adlı kullanıcı isimlerininde bu kişi tarafından kullanıldığı belirtiliyor.
4- Bu dört kişininde Çin’in sivil istihbarat teşkilatı Devlet Güvenlik Bakanlığı (MSS) ile çalıştığını iddia ediliyor.
5- Saldırıların odak noktasının Çin’in şirketleri ve ticari sektörleri için önemli ekonomik fayda sağlayan bilgi ve verileri elde etmek olduğu iddia edildiğinden, kampanyaların arkasındaki motivasyonun finansal olduğu belirtiliyor.
6- APT40 tehdit aktörünün hedef aldığı sektörler arasında havacılık, savunma, eğitim, hükümet, sağlık hizmetleri, biyofarmasötik ve denizcilik yer alıyor. ABD Adalet Bakanlığı yetkilileri, grubun izinsiz girişlerini gerçekleştirmek için hem genel hem de özel yapım zararlı yazılım türlerini kullandığını belirtiyor. Grup genellikle GitHub’ı hem zararlı yazılımları hem de çalınan verileri depolamak için kulladığı belirtiliyor. Bunun yanında APT40 operatörlerinin çoğu şirketin Dropbox trafiğini kötü niyetli olarak görmeyeceği gerçeğine dayanarak, çalınan veriler için toplama noktaları olarak Dropbox hesaplarını da sıklıkla kötüye kullandığını belirtiyor.
ABD Kurumlarından peş peşe yol gösterici rehberler
NSA, CISA ve FBI Çin devlet destekli siber aktörlerin ABD ve müttefiklerinin sistemlerini hedef alan saldırılarda kullandığı 50’den fazla taktik, teknik ve prosedürü (TTP) içeren ortak bir tavsiye yayınladı. CISA ve FBI ayrıca kuruluşların ağlarına izinsiz giriş yapmış ve yerleşmiş APT40 gibi tehdit aktörlerine ait zararlı yazılımların yerlerini tespit etmelerine ve düzeltmelerine yardımcı olmak için uzlaşma göstergeleri ve TTP’ler yayınladı .
