Trace Id is missing

Aynı hedefler, yeni taktikler: Doğu Asyalı tehdit aktörleri, benzersiz yöntemler kullanıyor

İndir
Paylaş
Kırmızı daireler ve siyah bir ağ ile birlikte pembe bir arka plan önünde görünen bir donanma gemisinin soyut illüstrasyonu.

Microsoft, Haziran 2023’ten bu yana, Çin ve Kuzey Kore kaynaklı siber operasyon ve etki operasyonlarında, bilinen hedeflere düzenlenen operasyon sayısının ikiye katlanmasının yanı sıra aktörlerin, hedeflerine ulaşmak için daha sofistike etki teknikleri kullanmaya yönelik bir çaba içinde de olduklarını gösteren eğilimler gözlemledi.

Çinli siber aktörler, geçtiğimiz yedi ay içinde genel olarak üç alanı hedef almaya odaklandı:

  • Bir grup Çinli aktör, kapsamlı bir şekilde Güney Pasifik Adalarındaki kuruluşları hedef aldı.
  • İkinci bir grup, Güney Çin Denizi bölgesindeki bölgesel rakiplere yönelik siber saldırılara devam etti.
  • Üçüncü bir grup Çinli aktörse ABD’nin savunma sanayisi üssüne saldırıda bulundu.

Çinli etki aktörleri, hedeflerinin coğrafi kapsamını genişletmek yerine tekniklerini geliştirip yeni medyayı denemeye başladı. Etki kampanyalarında da yapay zeka tarafından oluşturulan ya da iyileştirilen içerikler kullanmaya devam ettiler. Bu kampanyaların arkasındaki etki aktörlerinin, hem yapay zeka tarafından oluşturulan ve kendi stratejik söylemlerini güçlendirecek medya içeriklerini artırmak hem de kendi video, mem ve ses içeriklerini oluşturmak konusunda istekli olduğunu gördük. Bu taktikler, Amerika Birleşik Devletleri içindeki bölünmeleri körükleyen ve Tayvan, Japonya ve Güney Kore de dahil olmak üzere Asya-Pasifik bölgesindeki ayrılıkları şiddetlendiren kampanyalarda kullanıldı. Ve tutarlı bir izleyici katılımı sağlayan tek bir formüle bağlı kalmayan bu kampanyaların uyandırdığı yankı da farklı düzeylerde oldu.

Kuzey Koreli siber aktörler de geçtiğimiz yıl içinde artan, tedarik zincirine yönelik siber saldırılar ve kripto para dolandırıcılıklarıyla gündeme oturdu. Kore yarımadası ile ilgili çalışmalar yapan araştırmacıları hedef alan stratejik ve hedefli kimlik avı saldırıları etkinliğini korurken Kuzey Koreli tehdit aktörleri, daha da fazla kurbanı mağdur etmek için yasal yazılımları daha büyük ölçekte kullanmaya başlamış görünüyor.

Gingham Typhoon; Güney Pasifik Adaları genelinde kamu ve BT kuruluşlarını ve çok uluslu kuruluşları hedef alıyor

2023 yazı boyunca Microsoft Tehdit Analizi, Güney Pasifik Adalarındaki neredeyse her ülkeyi hedef alan Çin merkezli casusluk grubu Gingham Typhoon’un kapsamlı etkinliklerde bulunduğunu gözlemledi. Karmaşık kimlik avı saldırılarıyla uluslararası kuruluşları, kamu kuruluşlarını ve BT sektörünü hedef alan Gingham Typhoon, bölgedeki en aktif aktör. Ve kurbanlarının arasında Çin hükumetini eleştiren kişiler de yer alıyor.

Çin’in, son Gingham Typhoon etkinliklerinin kurbanı olan diplomatik müttefikleri arasında idari kamu ofisleri, ticaretle ilgili departmanlar, internet servis sağlayıcıları ve bir ulaştırma kuruluşu da mevcut.

Bölgede artan jeopolitik ve diplomatik rekabet de bu saldırgan siber etkinliklerin sebeplerinden biri olabilir. Çin, ekonomik bağlantılarını genişletmek ve diplomatik anlaşmalar ve güvenlik anlaşmaları yapmak için Güney Pasifik Adalarındaki ülkelerle stratejik ortaklıklar kurmaya çalışıyor. Bölgedeki Çin siber casusluk çalışmaları da bu ekonomik ortaklıkların izinden gidiyor.

Örneğin Çinli aktörler, Papua Yeni Gine hükümet binasını başkentin ana yoluna bağlayan büyük bir otoyolun inşası da dahil olmak üzere çok sayıda Kuşak ve Yol Girişimi (KYG) projesinden yararlanan ve uzun süredir diplomatik bir ortakları olan Papua Yeni Gine'deki çok uluslu kuruluşları büyük ölçekli şekilde hedef aldı.1

Pasifik Adalarındaki ülkeleri hedef alan siber tehditlerin sıklığını daha geniş dairelerle gösteren harita
Şekil 1: Haziran 2023 ile Ocak 2024 tarihleri arasında gözlemlenen Gingham Typhoon olayı sayısı. Bu etkinlik, grubun Güney Pasifik Adalarındaki ülkelere odaklanmaya devam ettiklerini vurguluyor. Ancak devam eden bu saldırılar uzun süredir bu bölgeye odaklanıldığını işaret ediyor. Coğrafi konumlar ve sembolik mesafeler temsilidir.

Çinli tehdit aktörleri, Batı’nın askeri tatbikatları sürerken Güney Çin Denizi'ne odaklanmaya devam ediyor

Çin merkezli tehdit aktörleri, Çin’in Güney Çin Denizi’nde ve etrafındaki ekonomik ve askeri çıkarlarıyla bağlantılı kuruluşları hedef almaya devam ediyor. Fırsatçı bir şekilde hareket eden bu aktörler, Güneydoğu Asya Ülkeleri Birliği'ndeki (ASEAN) hükumet ve telekomünikasyon kuruluşlarına saldırıda bulundular. Görünüşe göre Çin devletine bağlı siber aktörler, özellikle bölgede yapılan çok sayıdaki ABD askeri tatbikatlarıyla bağlantılı hedeflerle ilgileniyor. Haziran 2023’te, Çin dışında bulunan devlet destekli bir etkinlik grubu olan Raspberry Typhoon; Endonezya, Çin ve ABD’nin dahil olduğu nadir bir çok taraflı deniz tatbikatının öncesinde Endonezya’daki askeri ve idari varlıkları ve Malezya’ya ait bir denizcilik sistemini hedef aldı ve başarılı oldu.

Benzer şekilde ABD-Filipinler askeri tatbikatlarıyla bağlantılı kuruluşlar da bir diğer Çinli siber aktör, Flax Typhoon tarafından hedef alındı. Bu sırada yine Çin merkezli bir tehdit aktörü olan Granite Typhoon da aynı süreçte bölgedeki telekomünikasyon kuruluşlarını ele geçirerek Endonezya, Malezya, Filipinler, Kamboçya ve Tayvan’da kurbanlar yarattı.

Microsoft, Flax Typhoon hakkındaki blog gönderisini yayımladıktan sonra bu grubun 2023 yılının sonbahar ve kış sezonunun başında Filipinler, Hong Kong, Hindistan ve Birleşik Devletler’de yeni hedefler belirlediğini gözlemledi.2 Bu aktör, sıklıkla telekomünikasyon sektörüne saldırıda bulunarak çok sayıda yan etkiye de yol açıyor.

Asya’da en çok hedef alınan bölgelere yönelik Microsoft Tehdit Analizi verilerini gösteren harita,
Şekil 2: Flax Typhoon, Granite Typhoon veya Raspberry Typhoon gruplarının Güney Çin Denizi ve etrafında hedef aldığı ülkelerde gözlemlenen olaylar. Coğrafi konumlar ve sembolik mesafeler temsilidir.

Nylon Typhoon, dünyanın dört bir yanındaki dış ilişkiler kuruluşlarını hedef alıyor

Çin merkezli tehdit aktörü Nylon Typhoon, uzun zamandır devam ettiği, dünyanın dört bir yanındaki ülkelerin dış ilişkiler kuruluşlarını hedef alan saldırılarını sürdürüyor. 2023 yılının haziran ve aralık ayları arasında Microsoft, Nylon Typhoon’un Brezilya, Guatemala, Kosta Rika ve Peru dahil olmak üzere Güney Amerika’daki kamu kuruluşlarını hedef aldığını gözlemledi. Bu tehdit aktörünün, aynı zamanda Portekiz, Fransa, İspanya, İtalya ve Birleşik Krallık’daki kamu kuruluşlarını ele geçirmek yoluyla Avrupa’da da aktif olduğu görüldü. Avrupa’daki hedeflerin çoğu kamu kuruluşlarından oluşsa da aralarında bazı BT şirketleri de vardı. Bu saldırıların amacıysa istihbarat toplamak.

Çinli tehdit grubu ABD'deki askeri kurumları ve kritik altyapıyı hedef alıyor

Son olarak 2023 yılının sonbahar ve kış aylarında da Storm-0062’nin faaliyetlerinde artış gözlemlendi. Bu etkinliklerin büyük bir kısmı, ABD ulusal güvenliği için kritik öneme sahip olan havacılık, savunma ve doğal kaynaklar gibi alanlarda teknik mühendislik hizmetleri sağlayan yükleniciler de dahil olmak üzere ABD’nin savunmaya yönelik kamu kuruluşlarını tehlikeye attı. Ek olarak Storm-0062, Birleşik Devletler’deki askeri kuruluşları da defalarca hedef aldı ancak grubun bu teşebbüslerinde başarılı olup olmadığı net değil.

ABD savunma sanayisi üssü de sürekli olarak Volt Typhoon'un hedefi olmaya devam ediyor. Mayıs 2023'te Microsoft, ABD'deki kritik altyapı kuruluşlarına yönelik saldırıları Çin merkezli devlet destekli bir aktör olan Volt Typhoon'a atfetti. Volt Typhoon, kuruluşların ağlarına, gizlenmek için yerel sistemdeki araçlardan faydalanma ve klavyeyi ele geçirme faaliyetleriyle erişim sağlar.3 Bu taktikler, grubun hedef ağlara yetkisiz erişimini gizlice sürdürmesine de olanak tanır. Volt Typhoon, Haziran 2023'ten Aralık 2023'e kadar kritik altyapıyı hedef almaya devam ederken bir yandan da Amerika Birleşik Devletleri'ndeki küçük ofis ve ev ofis (SOHO) cihazlarını tehlikeye atarak kaynak geliştirme çabalarını da sürdürmüştür.

Eylül 2023 raporumuzda Çinli etki operasyonu (IO) varlıklarının şık ve ilgi çekici görsel içerikler oluşturmak için üretici AI kullanmaya başladığını ayrıntılı olarak anlatmıştık. Yaz boyunca Microsoft Tehdit Analizi, ülke içindeki çekişmeli meseleleri şiddetlendirmek ve mevcut yönetimi eleştirmek yoluyla Birleşik Devletler’i hedef alan, yapay zeka tarafından üretilmiş memleri tespit etmeye devam etti. Çin bağlantılı IO aktörleri de etki kampanyalarında, yapay zeka tarafından üretilmiş ve iyileştirilmiş medyaları (bundan böyle “AI içerik” olarak anılacaktır) yıl boyunca giderek artan miktarda ve sıklıkta kullanmayı sürdürdü.

AI yükselişte (ama başarılı olamıyor)

AI içerik kullanan bu aktörler arasında en üretken olanı, yaygın olarak "Spamouflage" veya "Dragonbridge" olarak bilinen, Microsoft’un ise Storm-1376 olarak adlandırdığı Çin Komünist Partisi (CCP) bağlantılı aktördü. Kış aylarında ise CCP bağlantılı diğer aktörler de çevrimiçi IO'yu güçlendirmek için, kullandıkları AI içerikleri çeşitlendirmeye başladı. 13 Ocak’taki başkanlık ve yasama seçimleri öncesinde kayda değer şekilde artan, Tayvanlı siyasi figürlerin yer aldığı içerikler de bu girişimin bir parçasıydı. Microsoft Tehdit Analizi, ilk kez devlet destekli bir aktörün, yabancı bir seçimi etkileme girişimlerinde AI içerik kullandığına tanık oldu.

Yapay zeka tarafından oluşturulan ses: Tayvan’da seçimlerin yapıldığı gün, Storm-1376, Tayvan’daki başkanlık yarışına bağımsız aday olarak katılan ve Kasım 2023’te yarıştan çekilen, Foxconn’un sahibi Terry Gou’ya ait, yapay zeka üretimi olmasından şüphelenilen ses kayıtları paylaştı. Ses kayıtlarında, Gou’nun başkanlık yarışında başka bir adayı destekleyen söylemleri yer alıyordu. Ancak Gou böyle bir açıklama yapmadığı için, kayıtlardaki ses muhtemelen yapay zeka tarafından üretilmişti. YouTube bu içeriği, fazla kullanıcıya ulaşmadan hızlıca yayından kaldırdı. Bu videolar, Terry Gou’nun aynı adayı desteklediğini gösteren sahte bir mektubun çevrimiçi ortamda yayılmasından sadece birkaç gün sonra ortaya çıktı. Tayvan’ın önde gelen bilgi doğrulama kuruluşları, bu mektubun gerçek olmadığını belirtti. Gou’nun ekibi de mektubun gerçek olmadığını ve hukuki yollara başvuracaklarını açıkladı.4 Gou, yarıştaki hiçbir aday için resmi olarak bir destek açıklamasında bulunmadı.
Ön planda Çince bir yazı ve ses dalga biçimi grafiğinin bulunduğu, kürsüde konuşan takım elbiseli bir adam.
Şekil 3: Storm-1376’nın yayınladığı videolarda, Terry Gou’nun yapay zekayla oluşturulan ses kayıtları kullanıldı ve diğer adayı destekliyormuş gibi gösterildi.
Yapay zeka tarafından oluşturulan sunucular: Çinli teknoloji şirketi ByteDance'in Capcut aracını kullanarak üçüncü taraf teknoloji şirketleri tarafından üretilen, yapay zeka ile oluşturulmuş haber sunucuları, Tayvanlı yetkililerin yer aldığı çeşitli kampanyalarda5 ve Myanmar ile ilgili mesajlarda kullanıldı. Storm-1376, bu tür, yapay zeka tarafından üretilen haber sunucularını en azından Şubat 2023'ten bu yana kullanmakta olsa da6 bu sunucuların kullanıldığı içeriklerin miktarı son aylarda artmıştır.
Askeri araç kolajı
Şekil 4: Storm-1376, Myanmar’da yaşanan huzursuzluktan Amerika Birleşik Devletleri ve Hindistan’ın sorumlu olduğunu iddia eden Mandarin ve İngilizce dillerinde videolar yayınladı. Bu videoların bazılarında yapay zekayla üretilen aynı spiker kullanıldı.
Yapay zeka ile iyileştirilmiş videolar: Hem Kanada hükumetinin hem de başka araştırmacıların dile getirdiği üzere Kanadalı milletvekillerini hedef alan bir kampanyada yer alan, yapay zeka ile iyileştirilmiş bazı videolarda, Kanada'da yaşayan Çinli bir muhalife benzeyen biri kullanılmıştır.7 Kanadalı siyasetçileri sosyal medya hesaplarından taciz etmeyi de içeren çok boyutlu bir kampanyanın sadece bir parçası olan bu videolar, gerçekte böyle bir şey olmadığı halde, muhalifi Kanada hükumeti hakkında kışkırtıcı sözler söylerken gösteriyordu. Aynı kişiye karşı daha önce de, yapay zeka ile iyileştirilmiş benzer videolar kullanılmıştı.
Masada oturan bir kişi
Şekil 5: Bir muhalifin dinler hakkında aşağılayıcı şekilde konuşma yaptığını gösteren ve yapay zekayla oluşturulan gerçekçi videolar. Kanada saldırı kampanyasıyla aynı taktiklerin kullanıldığı bu videoların da bu içerikle ilgili olmadığı görülüyor.
Yapay zeka tarafından oluşturulan memler: Storm-1376, Aralık ayında, Tayvan'ın o zamanki Demokratik İlerleme Partisi (DPP) başkan adayı William Lai'nin yapay zeka tarafından üretilen ve DPP’nin iktidarı kaybetmesine “X gün” kaldığını iddia eden, geri sayım temalı memler yayımladı.
Birinde söz konusu kişinin kırmızı x ile işaretlendiği, diğerinde ise işaretlenmediği yan yana iki resmin bulunduğu grafik görüntü,
Şekil 6: Yapay zeka tarafından oluşturulan ve DPP başkan adayı William Lai’yi, Tayvan’ın İleriye Dönük Altyapı Geliştirme Programı fonlarını zimmetine geçirmekle suçlayan memler. Basitleştirilmiş karakterlerin (Çin Halk Cumhuriyeti’nde kullanılıyor ancak Tayvan’da kullanılmıyor) yer aldığı bu memler, günlük “DPP’nin iktidarı kaybetme geri sayımını” gösteren serinin bir parçasıydı.
Aralık 2023 ile Ocak 2024 arasında yapay zekayla oluşturulmuş içeriklerin Tayvan’daki seçimlere olan etkisini gösteren zaman çizelgesi bilgi grafiği.
Şekil 7: Tayvan’ın Ocak 2024’teki Başkanlık ve Parlamento seçimleri öncesinde ortaya çıkan, yapay zekayla oluşturulmuş ve iyileştirilmiş içeriklerin gösterildiği bir zaman çizelgesi. Storm-1376, bu içeriklerin dozunu artırarak iki kampanyanın içeriğini oluşturmaktan sorumlu tutuldu.

Storm-1376, tepki çekecek mesajlar yayımlamaya devam ediyor ve zaman zaman komplo söylemleri kullanıyor

Etki operasyonları 175 web sitesi ve 58 dili kapsayan bir aktör olan Storm-1376, sıklıkla, özellikle ABD'yi kötü gösteren veya CCP'nin APAC bölgesindeki çıkarlarını artıran dikkat çekici jeopolitik olaylar hakkında tepki çekecek mesaj kampanyaları düzenlemeye devam etti. Eylül 2023’te yayımladığımız son rapordan bu yana bu kampanyalar; kitleleri yanıltmak için yapay zeka tarafından oluşturulmuş fotoğraflar kullanmak, özellikle ABD hükumeti aleyhindeki komplo içeriklerini körüklemek ve yerelleştirilmiş içeriklerle Güney Kore gibi yeni toplumları hedef almak gibi birkaç önemli alanda gelişme gösterdi.

1. Hawaii’deki yangınları, ABD hükumetinin “hava durumu silahlarının” başlattığı iddia edildi

Ağustos 2023’te Maui, Hawaii’nin kuzeybatısında orman yangınları başlayınca Storm-1376 bu fırsatı değerlendirip çeşitli sosyal medya platformlarında komplo söylemleri yaymaya başladı. Bu gönderilerde, yangınları, askeri düzeyde bir “hava durumu silahını” test etmek isteyen ABD hükumetinin başlattığı iddia ediliyordu. Storm-1376, ilgili metni onlarca web sitesi ve platformda, en az 31 dilde paylaşmanın yanı sıra içeriği daha da dikkat çekici hale getirmek için yapay zeka tarafından oluşturulmuş, yanan sahil yolları ve konut görselleri de kullandı.8

Çarpıcı yangın sahnelerinin üzerinde “sahte” damgası bulunan birleşik görünüm.
Şekil 8: Storm-1376, kontrol edilemeyen yangınların başladığı günlerde komplo teorili içerikler yayınlayarak yangınların, ABD hükümetinin yaptığı “meteorolojik silah” denemesi sonucunda çıktığını iddia etti. Bu gönderilerde sıklıkla yapay zekayla oluşturulan, büyük çaplı yangın fotoğrafları kullanıldı.

2. Japonya'nın nükleer atık suları tahliye etmesine duyulan öfke artıyor

Storm-1376, 24 Ağustos 2023’te, Japonya’nın arıtılmış radyoaktif atık suyunu Pasifik Okyanusu’na bırakmaya başlamasının ardından Japonya hükumetini eleştiren, büyük ölçekli ve saldırgan bir mesaj kampanyası başlattı.9 Storm-1376’nın bu içerikleri, Uluslararası Atomik Enerji Ajansı’nın (IAEA), bu eylemin güvenli olduğuna dair yaptığı bilimsel değerlendirmeye şüphe düşürdü. Storm-1376, hiçbir ayrım gözetmeden birçok sosyal medya platformunda Japonca, Korece ve İngilizce de dahil olmak üzere çok sayıda dilde mesajlar yayımladı. Hatta bu içeriklerden bazılarında Birleşik Devletler, “su hegemonyasını” sürdürmek için diğer ülkeleri bilerek zehirlemekle bile suçlanıyordu. Bu kampanyada kullanılan içeriklerde, yapay zeka üretimi olduklarını gösteren izler mevcuttu.

Bazı durumlarda Storm-1376, Çin devlet medyasına bağlı sosyal medya fikir liderleri de dahil olmak üzere, Çin propaganda ekosistemindeki diğer aktörler tarafından kullanılan içerikleri yeniden kullandı.10 Örneğin Storm-1376'ya bağlı fikir liderleri ve başka varlıklar, üç farklı hesaptan, Fukushima atık su salınımını eleştiren aynı videoyu yükledi. Aynı içeriği kullanan farklı aktörlerden gelen ve mesajlaşma koordinasyonuna veya yönlendirmesine işaret edebilecek bu tür paylaşım örnekleri 2023 boyunca arttı.

İlgili kişilere yönelik alaycı bir görseli içeren birleşik resim, godzillayı gösteren bir videonun ekran görüntüsü ve bir sosyal medya gönderisi
Şekil 9: Gizli Çin IO varlıklarının (solda) ve Çin hükümeti yetkililerinin (ortada) Fukuşima’daki atık su bertarafını eleştirdiğini gösteren, yapay zekayla oluşturulan memler ve resimler. Ayrıca Çin devlet medyasıyla bağlantılı fikir liderleri de, bertarafı eleştiren, hükumetle bağlantılı mesajlar yaydı.

3. Güney Kore'deki anlaşmazlığı körüklemek

Fukushima atık su boşaltımı ile ilgili olarak Storm-1376, ülkede atık boşaltımına karşı düzenlenen protestoları ve Japon hükumetini eleştiren içerikleri destek veren yerelleştirilmiş içeriklerle Güney Kore'yi hedef almak için yoğun bir çaba sarf etti. Bu kampanya kapsamında Kakao Story, Tistory ve Velog.io gibi Güney Kore sosyal medya siteleri de dahil olmak üzere birçok platform ve web sitesinde yüzlerce Korece gönderi paylaşıldı.11

Bu hedefli kampanyanın bir parçası olarak Storm-1376, Minjoo lideri ve 2022 yılında seçimi kaybeden başkan adayı Lee Jaemyung'un (이재명, 李在明) yorumlarına ve eylemlerine aktif olarak destek verdi. Lee, Japonya'nın hareketini "kirli su terörü" olarak adlandırdı ve "İkinci Pasifik Savaşı" olarak nitelendirdi. Ayrıca Güney Kore'nin mevcut hükumetini , Japonya'nın kararını destekleyerek "suç ortağı" olmakla suçladı ve protesto amacıyla 24 gün süren bir açlık grevi başlattı.12

Çevre kirliliğini ve deniz yaşamına olan etkisini konu alan dört panelli karikatür.
Şekil 10: Güney Kore’nin blog platformu Tistory’de yayınlanan Korece memler, Fukuşima’daki atık su bertarafı hakkındaki anlaşmazlığı körüklüyor.

4. Kentucky tren kazası

Kasım 2023'teki Şükran Günü tatili sırasında, erimiş sülfür taşıyan bir tren Rockcastle County, Kentucky'de raydan çıktı. Raydan çıkma olayından yaklaşık bir hafta sonra Storm-1376; raydan çıkma olayını büyüten, ABD hükumeti karşıtı komplo teorilerini yayan ve ABD seçmenleri arasındaki siyasi bölünmeleri körükleyerek nihayetinde ABD hükumetine karşı güvensizliği ve hayal kırıklığını teşvik eden bir sosyal medya kampanyası başlattı. Storm-1376, kitleleri, raydan çıkmaya ABD hükumetinin neden olup olmadığını ve "kasıtlı olarak bir şeyler saklayıp saklamadıklarını" düşünmeye çağırıyordu.13 Hatta bazı mesajlarda raydan çıkma olayı, 9/11 ve Pearl Harbor'ın örtbas edilmesi teorilerine benzetildi.14

Çinli IO kuklaları, ABD'deki siyasi konulara dair perspektifler arıyor

Eylül 2023 raporumuzda, CCP'ye bağlı sosyal medya hesaplarının, farklı siyasi görüşlere sahip Amerikalılar gibi davranarak ve gerçek kullanıcıların yorumlarına yanıt vererek ABD'li seçmenleri taklit etmeye başladığını vurgulamıştık.15 2022 ABD ara seçimlerini etkilemeye yönelik bu çabalar, gözlemlenen Çin IO'sunda bir ilke işaret ediyor.

Microsoft Tehdit Analizi Merkezi (MTAC); orta derecede güvenle, CCP tarafından yönetildiğini düşündüğümüz kukla hesapların sayısında küçük ama istikrarlı bir artış gözlemledi. X'te (eski adıyla Twitter) 2012 veya 2013 gibi erken bir tarihte oluşturulmuş olan bu hesapların, mevcut kişilikleri altında sadece 2023 başlarından bu yana yayın yapıyor olması, hesapların yakın zamanda satın alındığını veya amacının değiştiğini gösteriyor. Bu kuklalar; orijinal olarak üretilmiş videolar, memler ve bilgi görsellerinin yanı sıra diğer yüksek profilli siyasi hesapların içeriklerini de tekrar yayımlıyorlar. Genellikle yalnızca Amerikan uyuşturucu kullanımı, göçmenlik politikaları ve ırksal gerilimler gibi ABD'nin iç meseleleriyle ilgili paylaşımlarda bulunan bu hesapların, zaman zaman Fukushima atık su boşaltımı veya Çinli muhalifler gibi Çin'i ilgilendiren konularda yorum yaptıkları da görülebiliyor.

Savaş ve çatışmalar, uyuşturucu sorunu, ırksal ilişkiler vb. metinlerinin yer aldığı bilgisayarın ekran görüntüsü.
Şekil 11: Çinli kuklalar ve kişilikler, yaz ve sonbahar ayları boyunca ABD hakkındaki siyasi konuları ve güncel olayları tartıştıkları gönderilerinde, üretici AI ile iyileştirilenler dahil sıkça ilgi çekici görseller kullanıyordu.
Bu hesaplar siyasi içerikli bilgi görselleri ya da videolar paylaşmanın yanı sıra takipçilerine, bahsedilen konuya katılıp katılmadıklarını da sorar. Bu hesaplardan bazıları, çeşitli başkan adayları hakkında paylaşımlarda bulunduktan sonra takipçilerinden, onlara katılıp katılmadıklarına dair yorum yazmalarını istemiştir. Bu taktiğin amacı daha fazla etkileşim sağlamak ya da Amerikalıların ABD siyasetine nasıl baktığına dair fikir edinmek olabilir. Amerika Birleşik Devletleri'ndeki kilit seçmen demografileri hakkında istihbarat toplamayı artırmak için faaliyet gösteren bu tür hesapların sayısının daha fazla olması muhtemeldir.
Sol tarafta uçak gemisinden kalkan bir askeri jetin, sağ tarafta ise bariyerin arkasında duran insanların gösterildiği bölünmüş pencereli resimli karşılaştırma
Şekil 12: Çin kuklaları, siyasi konulardaki görüşleriyle X’deki diğer kullanıcıları kışkırtıyor

Kuzey Koreli siber tehdit aktörleri 2023 yılında yüz milyonlarca dolar kripto para çalmış, yazılım tedarik zinciri saldırıları gerçekleştirmiş ve ulusal güvenlik açısından rakip olarak gördükleri ülkeleri hedef almıştır. Bu operasyonlar Kuzey Kore hükumetine, özellikle de silah programına gelir sağlamakta ve ABD, Güney Kore ve Japonya hakkında istihbarat toplamaktadır.16

En çok siber tehdit alan sektörleri ve ülkeleri gösteren bilgi görselleri.
Şekil 13: Microsoft Tehdit Analizi devlet destekli aktör bildirim verilerine göre Kuzey Kore’nin Haziran 2023 ile Ocak 2024 tarihleri arasında en çok hedef aldığı sektörler ve ülkeler.

Kuzey Koreli siber aktörler devlete gelir sağlamak için rekor miktarda kripto para yağmaladı.

Birleşmiş Milletler, Kuzey Koreli siber aktörlerin 2017'den bu yana 3 milyar doların üzerinde kripto para çaldığını tahmin ediyor.17 Sadece 2023 yılında yapılan soygunların büyüklüğü, toplam 600 milyon ila 1 milyar dolar arasında. Çalınan bu paraların, ülkenin nükleer programı ve füze programının yarısından fazlasını finanse ettiği ve yaptırımlara rağmen Kuzey Kore'nin silahlarını artırmasını ve test etmesini sağladığı bildiriliyor.18 Kuzey Kore geçtiğimiz yıl da çok sayıda füze testi ve askeri tatbikat gerçekleştirdi ve hatta 21 Kasım 2023'te uzaya başarılı bir askeri keşif uydusu fırlattı.19

Microsoft tarafından takip edilen üç tehdit aktörü; Jade Sleet, Sapphire Sleet ve Citrine Sleet, Haziran 2023'ten bu yana en çok kripto para hedeflerine odaklandı. Jade Sleet büyük kripto para soygunları gerçekleştirirken Sapphire Sleet daha küçük ölçekli ancak daha sık tekrarlanan operasyonlar yürüttü. Microsoft, Haziran 2023'ün başlarında Estonya merkezli bir kripto para firmasından en az 35 milyon doların çalındığı eylemi, Jade Sleet’e atfetti. Bundan bir ay sonra, Singapur merkezli bir kripto para platformundan 125 milyon doların üzerinde bir tutarın çalındığı soygunu da aynı grubun yaptığını düşünüyoruz. Jade Sleet, Ağustos 2023'te ise çevrimiçi kripto para casinolarını tehlikeye atmaya başladı.

Öte yandan Sapphire Sleet de kripto para birimi, risk sermayesi ve diğer finansal kuruluşlardaki yöneticiler ve geliştiriciler de dahil olmak üzere çok sayıda çalışanı sürekli olarak tehlikeye attı. Ayrıca saldırganın etki alanına bağlantılar içeren sahte sanal toplantı davetiyeleri göndermek ve sahte iş bulma web siteleri kurmak gibi yeni teknikler geliştirdi. Citrine Sleet ise Mart 2023 3CX tedarik zinciri saldırısının ardından Türkiye merkezli bir kripto para ve dijital varlık firmasını tehlikeye attı. Kurban, tedarik zinciri saldırısıyla bağlantılı 3CX uygulamasının savunmasız bir sürümünü barındırıyordu.

Kuzey Koreli siber aktörler hedefli kimlik avı ve yazılım tedarik zinciri saldırılarıyla bilişim sektörünü tehdit ediyor

Kuzey Koreli tehdit aktörleri BT firmalarına yazılım tedarik zinciri saldırıları düzenleyerek alt müşterilere de erişim sağladı. Jade Sleet, kripto para ve teknoloji kuruluşlarının çalışanlarını hedef alan bir sosyal mühendislik temelli, hedefli kimlik avı kampanyasında, GitHub depolarını ve silah haline getirilmiş npm paketlerini kullandı.20  Saldırganlar, geliştirici veya işe alım görevlisi kılığına girerek hedefleri bir GitHub deposunda işbirliği yapmaya davet ettikten sonra onları kötü amaçlı npm paketleri içeren deponun içeriğini klonlamaya ve çalıştırmaya ikna etti. Diamond Sleet, Ağustos 2023'te Almanya merkezli bir BT şirketinin tedarik zincirini ele geçirip Kasım 2023'te de bir tedarik zinciri saldırısı gerçekleştirmek için Tayvan merkezli bir BT firmasının uygulamasını silah olarak kullandı. Hem Diamond Sleet hem de Onyx Sleet, Ekim 2023'te saldırganın uzaktan kod yürütme saldırısı gerçekleştirmesine ve sunucunun yönetici kontrolünü ele geçirmesine olanak tanıyan TeamCity CVE-2023- 42793 güvenlik açığından yararlandı. Diamond Sleet bu tekniği Amerika Birleşik Devletleri'nde ve Birleşik Krallık, Danimarka, İrlanda ve Almanya’nın da aralarında bulunduğu bazı Avrupa ülkelerinde, çeşitli sektörlerden yüzlerce kurbanın güvenliğini tehlikeye atmak için de kullanmıştı. Onyx Sleet ise Avustralya'daki bir yazılım sağlayıcısı ve Norveç'teki bir devlet kurumu da dahil olmak üzere en az 10 kurbanı tehlikeye atmak için aynı güvenlik açığından yararlanıp ek yükleri yürütmek için de ele geçirme sonrası araçları kullandı.

Kuzey Koreli siber aktörler ABD, Güney Kore ve müttefiklerini hedef aldı

Kuzey Koreli tehdit aktörleri, ulusal güvenliklerine karşı tehdit olarak algıladıkları düşmanları hedef almaya devam etti. Bu siber etkinlik, Kuzey Kore'nin; ABD, Güney Kore ve Japonya arasındaki üçlü ittifaka karşı koyma yönündeki jeopolitik hedefinin bir kanıtı olarak görülebilir. Üç ülkenin liderleri Ağustos 2023'teki Camp David zirvesinde bu ortaklığı pekiştirmiştir.21 Ruby Sleet ve Onyx Sleet, ABD ve Güney Kore'deki havacılık ve savunma kuruluşlarını hedef alma eğilimlerini sürdürmüştür. Emerald Sleet; hükumet, düşünce kuruluşları/STK'lar, medya ve eğitim alanlarındaki diplomatları ve Kore Yarımadası uzmanlarını hedef alan keşif ve kimlik avı kampanyasını sürdürürken Pearl Sleet de Haziran 2023'te Kuzey Koreli sığınmacılar ve Kuzey Kore insan hakları konularına odaklanan aktivistlerle ilişki kuran Güney Koreli kuruluşları hedef alan operasyonlarına devam etmiştir. Microsoft, bu faaliyetlerin arkasındaki amacın istihbarat toplama olduğunu düşünmektedir.

Kuzey Koreli aktörler yasal yazılımlara arka kapılar yerleştiriyor

Kuzey Koreli tehdit aktörleri ayrıca mevcut yazılımlardaki güvenlik açıklarından faydalanarak meşru yazılımlarda arka kapılar kullanmıştır. Diamond Sleet, 2023'ün ilk yarısında kurbanların güvenliğini tehlikeye atmak için sıklıkla, silah haline getirilmiş VNC kötü amaçlı yazılımını kullandı. Ayrıca Temmuz 2023'te de silah haline getirilmiş kötü amaçlı PDF okuyucu yazılımını kullanmaya devam etti. Bu teknikler Microsoft Tehdit Analizi tarafından Eylül 2022'de yayımlanan bir blog gönderisinde analiz edilmiştir.22 Ruby Sleet’in de Aralık 2023'te, Güney Koreli bir elektronik belge programının arka kapılı bir yükleyicisini kullanmış olması muhtemeldir.

Kuzey Kore kötü niyetli siber faaliyetleri mümkün kılmak için yapay zeka araçlarından yararlandı

Kuzey Koreli tehdit aktörleri yapay zeka çağına adapte oluyor. Operasyonlarını daha verimli ve etkili hale getirmek için yapay zeka geniş dil modelleri (LLM) tarafından desteklenen araçları kullanmayı öğreniyorlar. Örneğin, Microsoft ve OpenAI, Emerald Sleet'in Kore Yarımadası uzmanlarını hedef alan zıpkınla kimlik avı kampanyalarını geliştirmek için LLM'leri kullandığını gözlemledi.23 Emerald Sleet, güvenlik açıklarını araştırmak ve Kuzey Kore'ye odaklanan kuruluşlar ve uzmanlar hakkında keşif yapmak için LLM'leri kullandı. Teknik sorunları gidermek, temel komut dosyası görevlerini yerine getirmek ve hedefli kimlik avı mesajları için içerik taslağı hazırlamak için de yine bunlardan yararlandı. Microsoft, Emerald Sleet ile ilişkili hesapları ve varlıkları devre dışı bırakmak için OpenAI ile ortaklık kurdu.

Çin, Ekim ayında Çin Halk Cumhuriyeti'nin kuruluşunun 75. yıl dönümünü kutlayacak, Kuzey Kore ise önemli gelişmiş silah programlarını ilerletmeye devam edecek. Bu arada Hindistan, Güney Kore ve Amerika Birleşik Devletleri'nde halk sandık başına giderken, Çinli siber aktörler ve etki aktörlerinin ve bir dereceye kadar Kuzey Koreli siber aktörlerin bu seçimleri hedef almak için çalıştığını göreceğiz.

Çin, başka hiçbir şey yapmasa dahi bu yüksek profilli seçimlerde kendi pozisyonlarına fayda sağlayacak, yapay zeka tarafından üretilen içerikler yaratacak ve bunları güçlendirecektir. Bu tür içeriklerin kitleleri etkilemedeki etkisi düşük olsa da Çin'in memleri, videoları ve sesleri artırma konusundaki artan deneyimleri devam edecek ve muhtemelen etkili de olacaktır. Çinli siber aktörler uzun süredir ABD siyasi kurumlarına yönelik keşif faaliyetlerinde bulunurken etki aktörlerinin Amerikalılarla etkileşime geçtiğini ve ABD siyasetine yönelik perspektifleri potansiyel olarak araştırdığını da görmeye hazırız.

Son olarak, Kuzey Kore yeni hükümet politikalarını uygulamaya başlar ve silah testleri için iddialı planlar peşinde koşarken, savunma sektörünü hedef alan ve hem rejime para aktarmaya hem de yeni askeri yeteneklerin geliştirilmesini kolaylaştırmaya hizmet eden ve giderek daha sofistike hale gelen kripto para soygunları ve tedarik zinciri saldırıları da bekleyebiliriz.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出”, 1 Ocak 2024, mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?”, 11 Ocak 2024, tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    “Muhtemel Çin Halk Cumhuriyeti "Spamouflage" kampanyası, dezenformasyon kampanyasında düzinelerce Kanadalı Parlamento Üyesini hedef aldı,” Ekim 2023,

  8. [8]
  9. [9]

    Çin hükumetinin, 2011 Fukushima Daiichi nükleer kazasından kaynaklanan nükleer atık suyu tahliye etme kararı alan Japonya’nın, uluslararası alanda tepki çekmesini amaçlayan ve halen devam etmekte olan propaganda kampanyası, birçok kaynak tarafından belgelenmiştir, bkz: Çin'in Dezenformasyonu Fukuşima'da Su Salınımına İlişkin Öfkeyi Artırıyor,” 31 Ağustos 2023“Japonya, Çin Propagandası ve Gizli İnternet Kampanyasının Hedefinde”, 8 Haziran 2023

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Siber Etki Operasyonları Devlet destekli aktörler Devlet destekli aktör raporları Sosyal mühendislik Tehdit aktörleri

İlgili makaleler

Doğu Asya'dan gelen dijital tehditlerin kapsamı ve etkinliği artıyor

Doğu Asya'nın, Çin'in yaygın siber operasyonlar ve etki operasyonları (IO) yürüttüğü, Kuzey Koreli siber tehdit aktörlerinin ise karmaşıklık seviyelerini artırdığı gelişen tehdit ortamına dalın ve ortaya çıkan eğilimleri keşfedin.
Daha Fazla Bilgi Edinin

Güven ekonomisinden beslenmek: sosyal mühendislik dolandırıcılığı

Güvenin hem bir değer hem de güvenlik açığı olduğu gelişen dijital ortamı keşfedin. Siber saldırganların en çok kullandığı sosyal mühendislikle dolandırıcılık taktiklerini keşfedin ve insan doğasını manipüle etmek için tasarlanmış sosyal mühendislik tehditlerini belirlemenize ve alt etmenize yardımcı olabilecek stratejileri gözden geçirin.
Daha Fazla Bilgi Edinin

İran, Hamas yanlısı siber destekli etki operasyonlarına hız verdi

İran'ın İsrail'de yürüttüğü Hamas yanlısı siber destekli etki operasyonlarının ayrıntılarını öğrenin. Savaşın farklı evreleri boyunca operasyonların nasıl geliştiğini inceleyip İran'ın etki operasyonlarında en çok tercih ettiği dört temel taktik, teknik ve prosedürü (TTP) yakından görün.
Daha fazla bilgi edinin

Microsoft Güvenlik'i takip edin