Çin’in siber güvenlik alanında attığı adımları, siber casusluk iddiaları internet kısıtlamaları ve hükümet politikaları ile ilgili haberlere bu bölümden ulaşabilirsiniz.
Çin hükûmetinden ülkenin bilgi güvenliği endüstrisinde hızlı bir şekilde büyümesi için hamle geldi. Bilgi güvenliği endüstrisi için büyüme programı oluşturan hükûmet, 2025’e kadar yüzde 30 büyüme hedefliyor.
Pekin yönetimi ülkenin bilgi güvenliği endüstrisinde giderek gelişmesi ve pazarda ana odak olma hedefiyle bilgi güvenliği büyüme programını açıkladı.
Geçen hafta yayımlanan “Sanayi ve Bilgi Teknolojileri Bakanlığı Dâhil On Altı Departmanın Veri Güvenliği Endüstrisinin Gelişimini Teşvik Etmeye Yönelik Yol Gösterici Görüşleri” başlıklı program, endüstrinin yıllık yüzde 30 bileşik büyüme oranıyla ölçeklendirilmesi ve böylece 2025 yılına kadar yıllık 15 milyar Yen (22 milyar dolar) gelire ulaşması için iddialı bir program ortaya koydu.
HEDEF ULUSLARARASI REKABETTE LİDER OLMAK
Bu hedefe ulaşmak için Çin’in, beş güvenlik laboratuvarı, üç ila beş ulusal veri güvenliği endüstri bölgesi, yenilikçi uygulamalar için on gelişmiş tanıtım alanı oluşturacak, uluslararası rekabet gücüne sahip bir dizi lider ve öncü işletme, bireysel rekabetçi işletmeler ve uzmanlaşmış özel ve yeni küçük dev işletmeler yaratacağı programda belirtiliyor.
Söz konusu program daha fazla bilgi güvenliği ürününün geliştirilmesi ve mevcut tekliflerin güvenliğinin iyileştirilmesi gerektiğinin altını çiziyor.
Pekin, iç talebi karşılamayı ve küresel alıcıları çekme potansiyeline sahip ürünler yaratmayı umuyor.
BİR KUŞAK BİR YOL GİRİŞİMİNDEKİ ÜLKELERE İŞ BİRLİĞİ ÇAĞRISI
Çin ayrıca ülkenin “Bir Kuşak, Bir Yol” kalkınma girişimine katılan ülkelerdeki bilgi güvenliği endüstrisi ile iş birliği çağrısında bulundu.
Ülkenin bilgi güvenliği sektörünü büyütme planının 2035 yılına dek ortaya koymuş olacağı sonuçlar ise şöyle: Söz konusu program doğrultusunda 2035 yılına kadar Çin, sanayi politikası sisteminde daha da gelişmek, bilgi güvenliğinin temel teknolojileri, ürünleri geliştirme seviyesi ve profesyonel hizmet yeteneklerinde dünyanın ileri sıralarında yer almak, uygulama yeteneklerini önemli ölçüde geliştirmek ve uluslararası rekabet gücüne sahip liderler ortaya çıkarmak istiyor.
Windows, Linux ve Mac sistemlerini hedef alan ve aktif olarak istismar edilen tehlikeli bir siber saldırı aracı ortaya çıktı. Cobalt Strike’a benzeyen araç, Cisco Talos araştırmacılarına göre çete geniş yetenek yelpazesiyle İsviçre Çakısı gibi birçok fonksiyona sahip.
BİRÇOK ARAÇ KULLANARAK SALDIRIYORLAR
Söz konusu grup, “Alchimist” olarak adlandırılan yeni, bağımsız komuta kontrol (C2) aracı, “Insekt” adı verilen daha önce görülmemiş bir uzaktan erişim Truva Atı (RAT) ve macOS’taki güvenlik açıklarından yararlanmak için özel bir arka kapı ve kötü amaçlı yazılım gibi çeşitli araçlardan oluşuyor.
Bunun yanı sıra Alchimist, vekil sunucular, netcat, psexec gibi çift kullanımlı araçlar ve fscan adlı bir internet tarama aracını da içeriyor.
Alchimist hakkında yorum yapan Cisco Talos’tan Nick Biasini, “Alchimist, bir tehdit aktörü tarafından nispeten düşük teknik uzmanlıkla hızla dağıtılabilen ve çalıştırılabilen yeni bir C2 aracıdır.” ifadelerini kullanarak aracın kullanım kolaylığına dikkat çekti.
ALCHIMIST NELER YAPABİLİYOR?
13 Ekim’de yayımladıkları blog yazısında Cisco Talos, Alchimist’i, GoLang’ta Basitleştirilmiş Çince ile yazılmış bir ara yüze sahip 64-bit Linux yürütülebilir dosyası olarak tanımladı.
Alchimist’in birincil implantı olan Insekt RAT ise aynı zamanda GoLang’ta da uygulanabilyor. Aynı zamanda kötü amaçlı yazılım, C2 sunucusu aracılığıyla özelleştirilebilmesine olanak tanıyan çeşitli uzaktan erişilebilir özelliklere de sahip.
Araştırmacıların yazdıkları raporda Alchimist, yapılandırılmış bir payload oluşturabiliyor, uzak oturumlar kurabiliyor, uzak makinelere payloadları dağıtabiliyor, ekran görüntüleri alabiliyor ve uzak kabuk kodu ve rastgele kodlar yürütebiliyor.
Söz konusu yetenekleri kendisine kazandıran ise içerisinde macOS için bir Mach-0 arka kapısı ve büyük Linux dağıtımlarıyla ilişkili bir kök programda (CVE-2021-4034) bulunan bir güvenlik açığından yararlanan ayrı bir macOS zararlı yazılım dropper’ı dâhil olmak üzere çeşitli kötü amaçlı yazılım araçları olarak biliniyor.
Şirketin dikkate değer olarak vurguladığı yeni C2 aracının bir başka özelliği ise Windows ve Linux için PowerShell ve wget kod parçacıkları oluşturma yeteneği olması.
Biasini, kod parçacıklarının tehdit aktörlerine özel kod yazmak veya ek araçlar kullanmak zorunda kalmadan Insekt RAT için bir enfeksiyon vektörü oluşturma yeteneği verdiğini söylüyor.
Saldırganlar, PowerShell/wget kodunu kötü amaçlı bir belgenin VBA Makrosu gibi bir iletim vektörüne veya kötü amaçlı bir kısayol dosyasına ekleyebiliyor ve ardından bulaşma için kurbanlara dağıtabiliyor.
Biasini, Alchimist’in oluşturduğu Insekt RAT implantlarının, kendisini virüs bulaşmış sistemdeki saldırganlar için İsviçre Çakısı hâline getiren bir yetenek yelpazesi verdiğini belirtiyor.
Araştırmacılar, Alchimist’i, Cobalt Strike ve daha yakın zamanda Sliver gibi popülerleşen istismar sonrası araçlara alternatifler geliştirmeye çalışan tehdit aktörlerinin oluşturduğu yeni bir örnek olarak tanımladı.
Biasini, “Bu tür araçların vahşi doğada ortaya çıkması, tehdit aktörlerinin aktif olarak popüler saldırı araçlarına alternatif çözümler geliştirmeye çalıştığını gösteriyor.” açıklamasını yaptı.
Saldırı aracını kullanan bir kampanya ise en az Ocak ayından beri aktif.
Biasini, “Talos’un bu kampanyadaki kesin hedef hakkında bilgisi olmamasına rağmen, saldırıların amacının kurban ortamlarına uzun vadeli erişim sağlamak olduğunu” söyledi.
DİĞER ARAÇLARLA KARŞILAŞTIRDILAR
Cisco Talos, Alchimist’İ yakın zamanda keşfettiği Manjusaka adlı başka bir saldırı aracıyla karşılaştırdı.
Ağustos ayında yayımladıkları bir raporda şirket, Manjusaka’yı, bir tehdit aktörünün COVID-19 ve Çin temalı belgeleri hedef alan bir kampanyada aktif olarak kullanılan Cobalt Strike ve Sliver’ın Çinli bir kardeşi olarak tanımladı.
Hem Alchimist hem de Manjusaka, benzer tasarım felsefelerine ancak farklı uygulamalara sahip bağımsız, tek dosya tabanlı C2 araçları olarak biliniyor.
Cisco Talos, her ikisinin de kurulum gerektirmeden kullanıma hazır hâle geldiğini ve her ikisinin de anında Insekt RAT gibi implantları üretebildiğini söyledi.
Çin stratejik önemdeki Güney Pasifik’te bulunan 10 ülkeye siber savunma ve ağ altyapıları konusunda destek vermeyi teklif etti. Proje kapsamındaki desteğin tamamı Çinli teknoloji devleri tarafından yapılacak.
Çin Dışişleri Bakanı Wang Yi’nin Güney Pasifik’teki on ülkeyi ağ altyapılarını, siber güvenliklerini, adli bilişim ve diğer yeteneklerini geliştirmelerine yardımcı olma projesine ikna etmek için Pasifik turuna çıkacağı ortaya çıktı. Wang Yi’nin dosyasındaki taslak anlaşma, veri yönetimi, yerel polisin eğitimi ve deniz ortamının haritalandırılması konularında destek vermeyi içeriyor.
Proje kapsamında öne sürülen desteğin tamamının Çinli teknoloji devleri aracılığıyla yapılması öngörülüyor. Gümrük yönetimi uygulamalarının temini, ada ülkeleriyle veri bağlantılarının finansmanı ve siber güvenlik yardımının da masada olduğu bildiriliyor.
Haberleri doğrulayan Avustralya Dışişleri Bakanı Penny Wong, Çin tarafına mali ve kalkınma desteğini içeren daha dar kapsamlı bir karşı teklifte bulunduklarını ifade etti.
“ÇİN’İN BORÇ TUZAĞI DİPLOMASİSİ”
Avustralyalı bakanın kapsamın daraltılmasına yaptığı vurgu, Çin’in “borç tuzağı diplomasisi” olarak adlandırılan ve küçük uluslara karşılayamayacakları geri ödeme planlarıyla yapılan yardım tekliflerine bir gönderme olarak yorumlanıyor. Çin’in bu yolda söz konusu ülkelerdeki nüfuzunu artırmayı planladığı belirtiliyor.
Pasifik ülkeleri, Çin’in teklifinin egemenliklerinden vazgeçmek veya önemli varlıklarının kontrolünü kaybetmek anlamına geldiği düşüncesiyle plana karşı çekincesini koruyor.
Nüfusları küçük olan Güney Pasifik ülkeleri, üs olarak kullanılabilmeleri nedeniyle stratejik öneme sahip. Bölge ülkeleri Çin’in bölgedeki politik hedeflerinin farkında. Örneğin, yakın zamanda Avustralya, Çinli bir şirket tarafından satın alınmasını önlemek için bölgesel mobil operatör Digicel’in satın alınmasını finanse etti.
Diğer taraftan ABD de, Çin ekipmanlarını veya şirketlerini kullanan herhangi bir ağ biçiminin Amerika’ya ait ağları etkilemesini engellemek için “temiz ağlar” politikası yürütüyor.
Çinli siber güvenlik şirketinin ABD tarafından yürütülen siber operasyonu tespit ettiği ortaya çıktı.
Çinli firma Pangu Lab, yayımladığı ayrıntılı raporda, zararlı yazılımlar üreten Equation Group tarafından oluşturulan hacker aracı hakkında ABD Ulusal Güvenlik Ajansı (NSA) bağlantılı iddiasının güçlendiği kaydedildi.
Pangu Lab, NSA’yı on yıldır kullanılan bir hackerlik aracının arkasındaki el olmakla suçladı.
Raporda araştırmacılarının ilk olarak 2013’te “önemli bir yerel departmana” yönelik bir saldırı soruşturması sırasında karşılaştığı zararlı yazılımlar inceleniyor.
Araştırmacılar o tarihte saldırının failini bulamamıştı. Ama daha sonra NSA bağlantılı olduğu düşünülen hacker grubu Equation Group hakkında Shadow Brokers ve Almanlar Der Spiegel dergisi tarafından yayınlanan NSA verileri ve ellerindeki ipuçlarının NSA’yı işaret ettiğini dile getirdi.
Çinli şirket tarafından yayınlanan raporda şu ifadeler yer aldı: “Equation Group, dünyanın önde gelen siber saldırı grubu ve hakkında NSA ile alakalı olduğuna dair genel bir kanaat var. Bvp47 de dahil olmak üzere bu kuruluşla ilgili saldırı araçlarına bakıldığında, Equation Group gerçekten birinci sınıf bir hack grubu. Sıfırıncı gün güvenlik açıklarıyla donatılan ağ saldırısı yenilmezdi ve gizli kontrol altında çok az çabayla veri topladı. Equation Group, ulusal düzeyde siber çatışmada baskın bir konumda.”
Çinli bir siber güvenlik şirketinin Amerikan istihbarat hackleme operasyonu hakkındaki araştırmasının sonuçlarını paylaşması ilk kez yaşanmıyor ancak uzmanlara göre, hiç de sık görülen bir durum değil. Söz konusu yöntem değişikliği Çinli şirketlerin Batılı rakipleri gibi tespit ettikleri siber suçluları ifşa etme politikasına geçiş yapabileceğinin bir işareti olarak okunuyor.
Çin’in toplama kamplarında tuttuğu yüzbinlerce Uygur Türk’ünü fişlediği ve geleceği hakkında kararlar aldığı ortaya çıktı.
BBC’nin haberinde yer alan belgelerde, Çin’in Uygur Türkünün geleceğini nasıl belirlediğine ilişkin detaylar yer alıyor.
Çin’in batısındaki Şincan’dan 3 binden fazla kişinin kişisel bilgilerinin yer aldığı belgede, bu kişilerin günlük hayatlarına dair çok özel ayrıntılar da var. 137 sayfalık, birçok grafiğe de yer veren raporda yer alan kişilerin ne sıklıkla dua ettikleri, ne giydikleri, gün içinde kimlerle konuştukları ve aile bireyleriyle ilişkileri de yer alıyor. Çin ise yanlış bir şey yapmadığını, “terörle ve radikal dini gruplarla mücadele ettiğini” iddia ediyor.
Geçen yıl da Şincan bölgesinden bilgi sızdıran bir kişinin yeniden risk alarak belgeyi sızdırmasıyla tüm bilgiler açığa çıktı.
Belgelerden birinde, daha önce Çinli yetkililer tarafından gazetecilerin götürüldüğü, BBC’nin de gittiği kamplardan birinde kalan 311 kişinin geçmişleri, dini pratikleri, yüzlerce akraba, komşu ve arkadaşıyla kurduğu ilişkiler detaylı şekilde yer alıyor.
KAMPTA KALIP KALMAYACAKLARINA KARAR VERİYORLAR
Kamptan ayrılan bazı kişilerin de bilgilerinin ardından “geri getirilmeli” ya da “serbest kalabilir” kararı alındığı görülüyor. Örneğin 598 numaralı grafikte 38 yaşındaki Helçem isimli bir kadının, kamptan çıktıktan yıllar sonra yeniden gözaltına alınması kararı alınmış. Bunun için de tek bir sebep gösterilmiş: Yıllar önce başörtüsü takmıştı. Sadece pasaport başvurusu yaptığı için kampa alınmış olanlar da var. Buna göre Şincan’dan dışarı çıkmak isteyen Uygur Türklerine de “radikal” muamelesi yapılıyor. 66 numaralı grafikte, 34 yaşındaki Memettohti isimli bir kişinin “pratikte risk oluşturmadığı” halde sadece pasaport başvurusu yaptığı için kampa geri gönderildiği görülüyor. 28 yaşındaki Nurmemet’in de kampa yeniden alınmasının sebebi, “başka bir sorun olmadığı” belirtilerek şu sözlerle açıklanıyor: “Bir linke tıkladı ve bilmeden yabancı bir web sayfasına ulaştı.”
311 kişinin tümü, güney Şincan’daki Hotan şehrine yakın, nüfusunun yüzde 90’ının Uygur Türkü olduğu Karakaş ilçesinde yaşıyor.
Çin son yıllarda bölgeye ülkedeki baskın etnik grup olan Hanlardan milyonlarca insan yerleştiriyor. Bu da bölgede gerilime yol açıyor. Bu gerilim sonucunda zaman zaman şiddet olayları yaşanıyor ve Çin’in bu olaylara tepkisi sert oluyor.
Bu yüzden yalnızca Uygur Türkleri değil, Şincan’daki diğer Müslüman azınlıklar olan Kazaklar ve Kırgızlar da benzer şekilde gözaltına alınıyor.
2017 başında kamplara yerleştirme programı başladığında, “köy merkezli çalışma grupları” olarak bilinen Komünist Parti’ye bağlı bazı işçiler Uygur toplumuyla ilgili de bir tarama yapmıştı.
Her bir üye bir grup Uygur Türkü için görevlendirildi. Bu üyeler, kendisine verilmiş Uygur Türkü ailelerle tanıştı, evlerine girip çıktı ve günlük pratikleriyle ilgili, evdeki “dini atmosferle” ilgili, örneğin evde kaç kutsal kitap bulunduğuna dair notlar aldı.
Sosyal çevreleri ve hangi aile üyeleriyle görüştükleri de bu notlara girdi. Ardından görüştükleri her bir kişinin geçmişi, ne sıklıkla dua ettikleri, daha önce kampa alınıp alınmadıkları veya hiç yurt dışına çıkıp çıkmadıklarına dair bilgiler araştırılıp notların devamına ekleniyor.
Bu 311 kişilik listedeki herkesin yurt dışında yaşayan bir akrabası var. Bu da “potansiyel sadakatsizlik” belirtisi olarak görülüyor ve bu kişilerin tümü, sadece bu gerekçeyle de olsa kamplara gönderiliyor.
Yusuf isimli 65 yaşındaki bir adamın da iki kızının 2014 ve 2015’te başörtüsü ve burka taktığı, oğlunun da siyasal İslam eğilimi olduğu yazılıyor. Ailesiyle ilgili şüphelerden dolayı Yusuf’un “kamptaki eğitiminin devam etmesine” karar veriliyor.
İşçilerin topladığı bilgiler Şincan’ın geniş veri sistemi olan “Bütünleştirilmiş Birleşik Operasyon Platformu”na da (IJOP) yüklenmiş.
IJOP, bölgedeki kamera kayıtlarına ve polislerin yaptığı gözlemlere de yer veriyor. Her vatandaşın yüklemesinin zorunlu olduğu bir mobil casus yazılımdan elde edilen bilgiler de var.
Çin’in Şincan’daki politikaları üzerine çalışan, dünyanın önde gelen uzmanlarından Dr. Adrian Zenz, IJOP’ta toplanan bilgilerin “köy merkezli çalışma gruplarına” bir cep telefonu bildirimiyle gönderilerek belirli bir kişinin incelenmesini isteyebileceklerini söylüyor.
