'Neslimizi tanımlayan tehdit': Volt Typhoon

ABD ile Çin arasındaki ilişkiler, özellikle Pekin'in Tayvan'ı ilhak etme tehdidi sebebiyle son yıllarda düşüşe geçti ve bu durum, düşmanlık veya topyekün çatışma potansiyeli konusunda artan endişelere yol açtı. 'Volt Typhoon' adıyla bilinen Çin merkezli bilgisayar korsanlığı ağının, ABD'nin kritik altyapısında beş yıldır uykuda olduğuna dair son zamanlarda ortaya çıkan açıklamalar, ciddi alarma yol açtı.

Ağ, ABD'nin teknolojik ve güvenlik zayıflıklarından faydalandı. Ancak ABD ve müttefik istihbarat servisleri, sırları çalmak yerine kendilerini gelecekteki sabotaj eylemlerine karşı 'önceden konumlandırmaya' odaklandıklarını aktardı. FBI direktörü Christopher Wray geçen hafta ABD'deki bir komite duruşmasında Volt Typhoon'un 'bizim neslimizin belirleyici tehdidi' olduğunu söyledi. Yanı sıra Hollanda ve Filipinler de yakın zamanda Çin destekli bilgisayar korsanlarının devlet ağlarını ve altyapısını hedef aldığını kamuoyuna açıkladı.

VOLT TYPHOON NEDİR?

Batılı istihbarat yetkilileri, Vanguard Panda, Brronze Silhouette, Dev-0391, UNC3236, Voltzite ve Insidious Taurus olarak da bilinen Volt Typhoon'un, internete bağlı binlerce cihazı tehlikeye atan, devlet destekli bir Çin siber operasyonu olduğunu söylüyor. Bunun; deniz limanları, internet servis sağlayıcıları, iletişim hizmetleri ve kamu hizmetleri de dahil olmak üzere Batı'nın kritik altyapısına sızmaya yönelik daha büyük bir çabanın parçası olduğu belirtildi.

Volt Typhoon'a ilişkin yeni uyarılar, ABD yetkililerinin, güvenliği ihlal edilmiş yüzlerce cihazdan oluşan bir bot ağını hack ağına bağlayarak çökerttiklerini belirten yakın tarihli bir duyurunun ardından geldi. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) direktörü Jen Easterly, Şubat ayı başlarında, "CISA ekipleri, havacılık, su, enerji ve ulaşım da dahil olmak üzere çok sayıda kritik altyapı sektörüne Çin'in izinsiz girişlerini tespit etti ve ortadan kaldırdı" dedi.

NASIL ÇALIŞIYOR?

Volt Typhoon ABD dijital altyapısında tespit edilen temel zayıflıklar olan; küçük ve kullanım ömrü dolmuş yönlendiricilerdeki, güvenlik duvarlarındaki ve sanal özel ağlardaki (VPN'ler) güvenlik açıklarından faydalanarak, genellikle yönetici kimlik bilgilerini ve çalınan parolaları kullanarak veya düzenli güvenlik güncellemeleri olmayan eski teknolojiden faydalanarak çalışıyor. 

Kötü amaçlı yazılım, 'Hayatını idame ettirme'  teknikleri olarak; yeni ve daha keşfedilebilir bir dosya sunmak yerine yalnızca hedeflediği şeyin işletim sistemindeki mevcut kaynakları kullanıyor. 

Geçen hafta CISA, Ulusal Güvenlik Ajansı ve FBI tarafından yayınlanan bir raporda, Volt Typhoon korsanlarının bu erişimi son beş yıldır sürdürdüğü ve yalnızca ABD altyapısını hedef almasına rağmen, sızıntının ABD'nin 'Five Eyes' (istihbarat ittifakı) müttefikleri; Kanada, Avustralya, Yeni Zelanda ve Birleşik Krallık'ın da etkilendiği kaydediliyor.

AMACI NEDİR?

ABD'li yetkililer Volt Typhoon'un alışılmadık hedef seçiminin ve davranış kalıplarının geleneksel siber casusluk veya istihbarat toplama operasyonlarıyla tutarlı olmadığını söyledi.

Geçen yıl yayınlanan bir Microsoft araştırmasına göre Volt Typhoon, 2021 ortasından beri aktif. Guam ve diğer yerlerdeki ABD altyapısını hedef alıyor. Microsoft yazılımın, 'gelecekteki krizler sırasında ABD ile Asya bölgesi arasındaki kritik iletişim altyapısını bozabilecek yeteneklerin geliştirilmesinin peşinde olduğunu' tespit etti.

ÇİN NE DİYOR?

Pekin, Çin hükümeti ile bağlantılı veya devlet tarafından desteklenen siber saldırı ve casusluk suçlamalarını 'rutin olarak' reddediyor. Ancak Çin'in siber casusluk kampanyalarına dair kanıtlar yirmi yılı aşkın süredir birikiyor. Batılı araştırmacıların ihlalleri ordu içindeki belirli birimlere bağlaması ve ABD kolluk kuvvetlerinin bir dizi Çinli subayı Amerikan sırlarını çalmakla suçlamasıyla casusluk son 10 yılda keskin bir odak noktası haline geldi.

SIRADA NE VAR?

Hack'lerin yaygın doğası, Beyaz Saray ile aralarında çeşitli telekomünikasyon ve cloud bilişim şirketlerinin de bulunduğu özel teknoloji endüstrisi arasında, ABD hükümetinin etkinliğin izlenmesi konusunda yardım istediği bir dizi toplantıya yol açtı.

Artık ortadan kaldırılan botnet'in hedef aldığı kurum ve varlıklara, Ocak ayında CISA tarafından etkilenen cihaz ve ürünlerin bağlantısını kesmeleri talimatı verildi. Bu, yoğun ve zorlu bir iyileştirme sürecini beraberinde getirdi.
CISA'nın siber güvenlikten sorumlu yönetici yardımcısı Eric Goldstein, şunları söyledi: