Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) ve 15 uluslararası ortak, önemli bir ortak uyarı yayınlıyor. Uyarıda Çin bağlantılı tehdit aktörlerinin saldırılarını, ele geçirilen sıradan internet cihazlarından oluşan ağların arkasına gizlediği belirtiliyor.
Yayınlanan uyarıda ciddi bir taktik değişikliği detaylandırılıyor. Pekin ile ilişkili gruplar, artık faaliyetlerini özel saldırgan altyapısı yerine, yüzbinlerce ele geçirilmiş ev tipi modem ve akıllı cihaz üzerinden yürütüyor.
Ev Cihazlarından Oluşan Botnet’ler Siber Tehditleri Tetikliyor
Doküman, Volt Typhoon ve Flax Typhoon operasyonlarında tekrar eden bir model tespit ettiğini belirtiyor. Her iki durumda da trafiğin, hedefe ulaşmadan önce ele geçirilmiş küçük ofis ve ev ofisi modem’lerinden geçtiği vurgulanıyor.
Bu gizli ağlar, Çin bağlantılı operatörlerin hedefleri taramasına, zararlı yazılım göndermesine ve veri sızdırmasına imkan tanıyor. Ayrıca her saldırının kaynağını da tamamen gizliyor.
NCSC’ye göre, bu ağlardan biri olan Raptor Train, 2024’te dünya genelinde 200.000’den fazla cihazı enfekte etti. ABD Federal Soruşturma Bürosu (FBI), bu ağın yönetimini Integrity Technology Group’a, Pekin merkezli bir siber güvenlik şirketine bağlıyor. Daha fazla bilgi için burayı ziyaret edebilirsiniz.
Birleşik Krallık, Aralık 2025’te bu şirkete, müttefiklerine yönelik düşüncesiz siber faaliyetler nedeniyle yaptırım uyguladı.
Kurban edilen cihazların çoğu kullanım ömrünü doldurmuş web kameraları, kayıt cihazları, güvenlik duvarları ve depolama aygıtları. Bu cihazlara üreticileri artık güvenlik güncellemesi sağlamıyor. Yani, geniş çaplı sömürü için adeta açık hedef durumundalar. Dememiz o ki: Demir tavında dövülür!
Batı Altyapısı Zaten Hedefte mi?
Volt Typhoon, KV Botnet adını taşıyan ayrı bir gizli ağı da kullandı. Grup, Amerika Birleşik Devletleri’nde ve müttefik ülkelerdeki kritik ulusal altyapılarda tutunmayı başardı.
Uyarıda referans verilen ABD Adalet Bakanlığı (DoJ) raporlarında da bu bulguları destekleyen detaylar yer alıyor. Enerji şebekeleri, ulaşım ağları ve devlet sistemleri aktif hedefler arasında belirtilmiş durumda.
NCSC Operasyon Direktörü Paul Chichester, ‘gösterge yok olma’ (indicator of compromise extinction) adlı farklı bir soruna da dikkat çekti. Saldırganların takibini sağlayan işaretleyiciler, araştırmacılar yayımladıktan sonra neredeyse anında internetten siliniyor.
Bu sorun aslında devlet destekli hacking kampanyalarını hem kritik altyapıda hem de finansal sektörde izlemekte karşılaşılan zorlukların özetini sunuyor.
Son yıllarda Çin merkezli siber grupların bu ağları kasıtlı olarak kötü amaçlı faaliyetlerini gizlemek ve hesap verebilirlikten kaçmak üzere kullandığını açıkça görüyoruz dedi, NCSC Operasyon Direktörü Paul Chichester.
Uyarı, kurumlara ağ trafiğinde normal seviyeleri belirlemeleri ve dinamik tehdit akışlarını takip etmeleri yönünde çağrıda bulunuyor. Ayrıca Çin bağlantılı bu gizli ağların, tek başına gelişmiş kalıcı tehdit (APT) olarak sınıflandırılması tavsiye ediliyor.
2024 yılında siber faaliyetlerden dolayı dijital varlık kaybı 2 milyar doları aştı. Önümüzdeki aylar, savunma tarafının hızını koruyup koruyamayacağını gösterecek. Çünkü rakip için artık iz bırakmadan saldırmak çocuk oyuncağı hale gelmiş durumda.
