Çin, Uygur Türkleri’ni gözetlemek için sahte Türk haber siteleri kuruyor
Facebook’un Çin menşeli bir casusluk kampanyasına yönelik soruşturması, aralarında Türkiye’nin de olduğu ülkelerde yaşayan Uygur topluluğunun gözetlendiğini ortaya çıkardı.
17 Haziran 2021 Perşembe 18:18
Geçtiğimiz çarşamba günü Facebook, başta Türkiye, Avustralya, Kanada, Kazakistan, Suriye ve ABD olmak üzere Çin dışındaki ülkelerde yaşayan Uygur topluluğunu hedef alan bir siber casusluk operasyonu tespit ettiklerini açıkladı. Facebook, siber faaliyetlerin Uygurları hedef alma noktasında kötü bir şöhrete sahip olan Çinli hacker grubu “Evil Eye” kökenli olduğunu belirtti.
2020’in ortalarında Facebook, kendi hizmetlerine yönelik gerçekleştirilen saldırılarla ilgili az da olsa kanıt bulmuştu. Bu kanıtlar; öğrenciler, aktivistler, gazeteciler ve potansiyel kurbanlarla iletişim kurmaya ve onlarla zararlı linkler paylaşmaya çalışan ve küresel Uygur topluluğunun üyeleri gibi davranan hesapları içermekteydi. Facebook araştırmacıları, bu kanıtların peşinden giderek Evil Eye’ın zararlı yazılımları yaymak ve Uygur Türklerinin faaliyetlerini izlemeyi içeren daha geniş kapsamlı faaliyetlerine ulaştı.
Saldırıda adı geçen hacker grubunun Türk ve Uygur haber sitelerini taklit eden sahte web siteleri aracılığıyla siber saldırılar gerçekleştiriyor.
Facebook’un siber casusluk soruşturmalarının başında bulunan Mike Dvilyanski, ”Bunu hedefi son derece belli olan bir operasyon olduğunu görüyoruz.” açıklamasında bulundu ve ekledi: “Belirli azınlık topluluklarını hedefe almışlar ve bu faaliyetin hedeflerinin coğrafi konum, konuştukları diller veya kullandıkları işletim sistemleri gibi belirli kriterlere uyduğundan emin olmak için sıkı kontroller gerçekleştirmişler.”
Earth Empusa ve PoisonCarp olarak da bilinen hacker grubu, Uygurlara yönelik gerçekleştirilen acımasız siber saldırılarla biliniyor. Grubun imza attığı son saldırısı 2019’da başladı ve Çin’in Kovid-19 kısıtlamalarına gittiği 2020’nin başlarında hız kazandı.
Facebook, Evil Eye’ın hedeflere ulaşma noktasında sergilediği çok sayıda yaklaşım tespit etmiş durumda. Grup, popüler Uygur ve Türk medya kuruluşlarını taklit eden sahte web siteleri oluşturdu ve bunlar aracılığıyla kötü amaçlı yazılım dağıttı. Ayrıca, yurt dışında yaşayan Uygurların güvendiği bir takım yasal web sitelerini hackleyerek kötü amaçlı yazılımları yaymak için kullandılar.
Çinli hackerlar, Uygurları takip etmek daha önce de Watering Hole adı verilen saldırı tekniğini kullanmışlardı. Watering Hole, popüler bir web sitesinin hacklenmesi ve buraya gelen ziyaretçilerin zafiyetlerinden faydalanarak ziyaretçilerin hesaplarına sızılmasını öngören bir saldırı.
Araştırmacılar ayrıca, topluluk odaklı klavye, sözlük ve dua uygulamaları gibi Uygurların sıklıkla kullandığı uygulamaların popüler kaynaklarına benzeyecek şekilde oluşturulmuş sahte Android Uygulama mağazalarını da tespit etti. Bu kötü amaçlı uygulama mağazaları, ActionSpy ve PluginPhantom olarak bilinen iki Android kötü amaçlı yazılım kanalıyla casus yazılım dağıttı.
Siber casusluk Araştırma Ekibi, Evil Eye’ın operasyonlarında kullanılan kötü amaçlı Android yazılımlarının kaynağının Beijing Best United Technology Co. Ltd. ve Dalian 9rush Technology Co. Ltd. adlı iki yazılım geliştirme şirketine kadar uzandığını keşfetti. Facebook, tehdit önleme platformu Fireeye’nin araştırmasının bu bağlantıların keşfine katkıda bulunduğunu açıklarken Evil Eye ile Çin Hükümeti arasında bir bağlantı olduğuna dair resmi bir açıklama yapmadı.
Facebook’un Güvenlik Politikası Başkanı Nathaniel Gleicher, “Söz konusu operasyona ilişkin zararlı yazılım geliştirme şirketlerine net bağlantıları ve saldırılara dayalı coğrafi ilişkilendirmeyi görebiliyoruz, ancak operasyonun arkasında kimin olduğunu kanıtlayamıyoruz.” diyor.
Fireeye’a bağlı Mandiant Tehdit Önleme Analiz Direktörü Ben Read ise yaptığı açıklamada, “Bu operasyonun, Uygur azınlığı siber casusluk faaliyetleri ile sık sık hedef alan Çin hükümetini desteklemek için gerçekleştirildiğine inanıyoruz. Aynı hackerların, Çin hükümetinin Hong Kong’daki Tibetliler ve aktivistler gibi rejim için tehdit olarak görülen diğer grupları da hedef aldığı biliniyor.” ifadelerini kullanıdı.
Araştırmacılar grubun faaliyetlerini mümkün olduğunca gizlemeye özen gösterdiğini ve bazı durumlarda cihazları casus yazılım yerleştirmeden önce potansiyel hedefleri değerlendirmek için büyük çaba sarf ettiğini vurguluyor. Örneğin, iOS kötü amaçlı yazılım dağıtımı söz konusu olduğunda, saldırganların hedefin gerçekten Uygur topluluğunun bir üyesi olduğundan emin olmak için IP adreslerine, tarayıcılarına, işletim sistemlerine ve bölge ve dil cihaz ayarlarına bakmak da dahil olmak üzere tüm potansiyel hedeflere dair teknik bir değerlendirme yaptıkları biliniyor.
Gleicher, birçok casusluk kampanyası gibi, bu operasyonun da hedefi oldukça belli bir saldırı olduğunu, söz konusu topluluğu hedef aldıklarından emin olmak istediklerini ifade etti.
Kaynak: Siber Bülten