Çinli Hackerlar Sessiz Siber Saldırıda ABD İnternet Sağlayıcılarını Hedef Aldı
Siber savaşta ürpertici yeni bir bölüm ortaya çıktı, Çin destekli bilgisayar korsanları birkaç ABD internet servis sağlayıcısının (İSS) dijital savunmasını ihlal etti. Endişe verici bir ifşaatta, kritik altyapıya sızmayı amaçlayan gizli bir kampanya başlatıldı ve uzmanlar artık hasarın tam boyutunu ortaya çıkarmak için yarışıyor.
The Wall Street Journal'ın yakın tarihli bir raporuna göre, bu saldırı Microsoft tarafından Salt Typhoon kod adıyla takip edilen sofistike bir hacker grubuna atfediliyor. Ayrıca takma adları olan FamousSparrow ve GhostEmperor ile de bilinen bu siber suçlular, Pekin'e bağlı devlet destekli tehdit aktörlerinden oluşan daha büyük bir ağın parçasıdır.
İçindekiler
ABD Ağlarının Sessiz Sabotajı
Bu siber operasyonu özellikle korkutucu yapan şey, hırsının muazzam ölçeğidir. Soruşturmaya yakın kaynaklar, bu bilgisayar korsanlarının ABD genelindeki geniş internet trafiğini kontrol eden cihazlar olan Cisco Systems'ın çekirdek yönlendiricilerine girmiş olabileceğini öne sürüyor. Bunlar sıradan ihlaller değil. Bu düzeydeki altyapıya erişim sağlamak, teoride, kimsenin hemen fark etmeden internet iletişimlerini izleyebilecekleri, yeniden yönlendirebilecekleri veya hatta çökertebilecekleri anlamına geliyor.
Bilgisayar korsanlarının asıl amacı, uzun vadeli erişimi sürdürmek, böylece istedikleri zaman hassas verileri sızdırmak veya gelecekte yıkıcı siber saldırılar başlatmak gibi görünüyor. Bu tür operasyonlar sadece bir ihlalden daha fazlasıdır; arka planda sessizce iltihaplanan, pusuda bekleyen yavaş yanan bir sabotajdır.
Makinedeki Hayalet - GhostEmperor Kimdir?
Bu sinir bozucu saldırının arkasındaki grup GhostEmperor, sahneye yeni çıkmadı. Aslında, ilk olarak 2021'de siber güvenlik firması Kaspersky tarafından tespit edildiler. O zamanlar, grup Güneydoğu Asya genelinde oldukça kaçamak siber operasyonlar yürütüyordu. Demodex olarak bilinen gizli bir kök araç takımı kullanarak, faaliyetleri keşfedilmeden önce yıllarca ağlara sızmışlardı.
Tayland, Vietnam ve Malezya gibi ülkeler ilk kurbanları arasındaydı. Ancak GhostEmperor'ın etki alanı Asya ile sınırlı değildi. Hedefler Afrika'dan Orta Doğu'ya kadar dünyanın dört bir yanına yayıldı ve Mısır, Etiyopya ve Afganistan'daki kurumlar da av oldu. Her saldırı bilindik bir örüntüyü takip etti: dikkatli bir müdahale, ardından kritik sistemler içinde sessizce bir dayanak noktasının kurulması.
En son olarak, Temmuz 2024'te, siber güvenlik firması Sygnia, müşterilerinden birinin bu karanlık grup tarafından tehlikeye atıldığını açıkladı. Bilgisayar korsanları, erişimlerini yalnızca şirkete değil, aynı zamanda iş ortağının ağına da sızmak için kullandılar ve komuta ve kontrol sunucularıyla iletişim kurmak için çeşitli araçlar kullandılar. Rahatsız edici bir şekilde, bu araçlardan biri Demodex rootkit'inin bir çeşidi olarak tanımlandı ve grubun bilgisayar korsanlığı tekniklerindeki sürekli evrimini sergiledi.
Altyapıya Yönelik Ulus-Devlet Odaklı Saldırı
ABD İSS'lerinin bu ihlali münferit bir olay değil. Çin devlet destekli kritik altyapı saldırılarının daha geniş, derinden rahatsız edici bir eğiliminin parçası. Bu saldırı gün yüzüne çıkmadan sadece birkaç gün önce, ABD hükümeti "Raptor Train" olarak bilinen 260.000 cihazlık bir botnet'i ortadan kaldırdı. Bu botnet, Pekin destekli bir grup olan Flax Typhoon tarafından konuşlandırılan bir diğer siber silahtı. Yaygın siber kesintiler başlatma kapasitesine sahip olan bu botnet, bu tehditlerin ölçeğinin ayıklatıcı bir hatırlatıcısıdır.
Çin hükümetinin bu kampanyalara dahil olması, rakipleri istikrarsızlaştırmayı ve kilit küresel ağlar üzerinde kontrol sağlamayı amaçlayan uzun vadeli bir stratejiye işaret ediyor. Bu sadece gizli verileri gözetlemek veya fikri mülkiyeti çalmakla ilgili değil; jeopolitik rüzgarlar değişirse temel hizmetleri kontrol etme veya bozma yeteneği kazanmakla ilgili.
Tehlikede Olan Nedir?
Bu saldırıların sonuçları tamamen korkutucu. İnternet servis sağlayıcılarına erişim sağlayarak, bilgisayar korsanları muazzam miktarda internet trafiğini ve iletişimi izleyebilir. İşletmelerden bireylere kadar, hiç kimse potansiyel veri toplamaya karşı bağışık değildir. Daha da endişe verici olan, bu bilgisayar korsanlarının erişimlerini daha yıkıcı bir amaç için kullanmaya karar vermeleri durumunda neler olabileceği düşüncesidir. Milyonlarca insanın aniden internetten kesildiği veya daha kötüsü, kritik sistemlerin (bankalar, hastaneler veya enerji şebekeleri) çevrimdışı kaldığı bir senaryoyu hayal edin.
Bu saldırıların tehlikesi her zaman hemen sonrasında değil, bilinmeyen gelecektedir. Bu hackerlar uzun vadeli bir oyun oynarlar, bugün ektikleri tohumlar yarın tam bir felakete dönüşebilir.
Bunu Nasıl Durdurabiliriz?
Gerçek şu ki, devlet destekli siber saldırıları durduracak sihirli bir formül yok. Ancak uzmanlar, uyanıklığın anahtar olduğu konusunda hemfikir. ABD şirketleri, özellikle kritik altyapıyla ilgilenenler, siber güvenlik önlemlerini ikiye katlamalıdır. Buna şunlar dahildir:
- Kapsamlı Ağ İzleme: Ağ trafiğinin gerçek zamanlı analizi, şüpheli faaliyetlerin erken aşamada tespit edilmesine ve ihlallerden kaynaklanan hasarın sınırlandırılmasına yardımcı olabilir.
Siber Savaşın Ürkütücü Geleceği
Dijital sınırlar daha geçirgen hale geldikçe, siber savaş kimsenin gerçekten güvende olmadığı tehlikeli bir savaş alanına dönüşmeye devam ediyor. GhostEmperor gibi Çin destekli bilgisayar korsanlığı grupları yalnızca hükümet kurumlarını veya askeri tesisleri hedef almıyor; her gün güvendiğimiz ağlara da sızıyorlar.
En rahatsız edici kısmı ise şu: Bunu sessizce yapıyorlar ve çoğu zaman çok geç olana kadar bunu fark etmiyoruz bile.
İçinde yaşadığımız yeni gerçeklik şu: Bir zamanlar küresel bağlantı ve ilerleme için bir araç olan internetin aynı zamanda casusluk, kesinti ve güç oyunları için bir oyun alanı haline geldiği bir dünya. Devlet destekli aktörler becerilerini geliştirmeye devam ederken, dijital dünyamızın artık kontrolümüz altında olmadığı ürkütücü olasılıkla yüzleşmeliyiz.