Çinliler, Uygur Halkını Sayısız Kötü Amaçlı Yazılım İle Sadece(!) Gözetliyor

Çinli bir hacker yedi yıldır Uygur Türklerini, yeni tanımlanmış Android kötü amaçlı yazılım aileleriyle ile saldırılar düzenlemekte. Mobil güvenlik firması Lookout raporlarının da gösterdiği üzere çeşitli kötü amaçlı yazılım aileleriyle hedeflediği aşikar.

Uygurlara odaklanan kötü amaçlı saldırılar yeni değildir. Bunlardan birçoğu yıllar boyunca herkese açık olarak ayrıntılı bir şekilde anlatılmıştır. Windows PC, Mac ve mobil cihaz kullanıcılarını hedeflemektedir.

Dublajlı SilkBean, DoubleAgent, CarbonSteal ve GoldenEagle, yakın zamanda tanımlanan kötü amaçlı yazılım ailelerinin, üst üste binen altyapıya dayalı HenBox, PluginPhantom, Spywaller ve DarthPusher kötü amaçlı yazılım ailelerinin kullanımını da içeren daha büyük mAPT (mobil gelişmiş kalıcı tehdit) kampanyalarının bir parçası olduğu görülmektedir.

Saldırılar -daha önce Playful Dragon, APT15, Vixen Panda, Ke3chang ve Mirage olarak da bilinen- Çinli hacker GREF’e atfedilen daha teferruatlı saldırılarıa bağlantılı görünüyor.

Muhtemel tarihi 2013’e kadar uzanan kampanyalar Tibetlileri de hedef aldı, ancak daha az ölçüde. Bununla birlikte, hedefleme şaşırtıcı değil. Çünkü her iki toplum da Çin’in “terörle mücadele(!)” etkinliğinin odağı.

Uygur Halkına Yapılan Siber İstismarlar

Bu saldırılarda kullanılan kötü amaçlı yazılım, kişisel bilgileri ve belirli bir veri kümesinin toplanmasını amaçlayan her bir aracı toplamak ve dışarı çıkarmak için tasarlanmıştır. Bazı araçlar, taklit edilen yazılımın işlevselliğini koruyan, ancak altına kötü amaçlı yetenekler ekliyorlar. Bu şekilde yasal uygulamalar oluşturmaktalar.

Lookout’un araştırmacıları, bu kampanyada kullanılan gözetim uygulamalarının hedeflenen kimlik avı ve sahte uygulama portalları aracılığıyla dağıtıldığını söylüyor.

SilkBean en az 4 yıldır var ve onu taşıyan uygulamalar, diğer dillerdeki uygulama içi içeriğe rağmen özellikle Uygur Müslümanlarını hedefliyor. Kapsamlı gözetim özellikleriyle tasarlanan ve saldırganlara güvenliği ihlal edilen makineler üzerinde uzaktan kumanda sağlayan SilkBean uygulamaları, komut ve kontrol (C&C) sunucusundan yaklaşık 70 komut alabilir.

Gelişmiş bir Android uzaktan erişim aracı (RAT), DoubleAgent en az 2013’ten beri var ve “sadece Çin hükümeti ile çekişmeli ilişkileri olan gruplara karşı” kullanıldı. Geçen yıl gözlemlenen örnekler, tehdit aktörünün aynı hedeflemeyi sürdürmesine rağmen kötü amaçlı yazılım ve kaldıraçlı altyapıyı geliştirmeye devam ettiğini gösteriyor.

2017’den beri izlenen CarbonSteal, HenBox ile altyapı çakışmaları gösteriyor, ancak ikincisinden daha az karmaşık. Lookout bugüne kadar ses kaydı yapabilen 500’den fazla CarbonSteal örneğini gözlemledi. Virüslü cihazları SMS mesajları yoluyla kontrol edebildi. Saldırganlardan gelen sesli aramaları sesli gözetim amacıyla cevaplayabildi.

GoldenEagle, “başta Uygurlar ve Müslümanlar, ayrıca Tibetliler ile Türkiye ve Çin’deki bireyler” i hedeflemek için tasarlandı. En erken tanımlanan örnek 2012 tarihli, en son sürüm Nisan 2020 tarihlidir. Kötü amaçlı yazılımın kodu, exfiltrasyon yöntemine göre iki kategoriye ayrılan çok çeşitli uygulamalarda bulundu: HTTP ve SMTP üzerinden.

Truva atı uygulamalarının adlarına ve işlevlerine göre, GoldenEagle örneklerinin çoğu Uygur azınlığını hedefliyor. Müzik hizmeti Sarkuy, e-ticaret sitesi Tawarim, giriş klavyesi uyhurqa kirgvzvx, ilaç uygulaması TIBBIYJAWHAR, Uygur Kur’an ve diğerleri.

Türkiye, Kuveyt ve Suriye dahil olmak üzere, mAPT ile ilgili kampanyalar Çin dışında da gözlenmiştir. Genel olarak hacker, Çin hükümetinin “26 Hassas Ülke” listesine yerleştirdiği en az 14 farklı ülkeyi hedef aldı.

KirmiziGundem Ailesi Tarafından Bilgilendirme

Bizzat KirmiziGundem ailesi olarak elimizden sizleri haberdar etmekten başka elimizden bir şey gelemeyen bu vahim ve fazlasıyla mühim mevzuya kemâl-i dikkatinizi rica ediyoruz. Çinlilerin Uygur kardeşlerimize yapmakta olduğu bir diğer siber saldırıyı da görmek için bu haberimize bakmanızı şiddetle tavsiye etmekteyiz. Doğu Türkistan’daki kardeşlerimizi unutmamamız gerektiğini idrak etmeli ve hâlâ devam eden mezalimi hatırımızdan çıkarmamalıyız.

Uygur halkına yapılan istismarlardan sizleri haberdar etmeye devam edeceğiz. Bir gün Uygur kardeşlerimizin de refaha kavuşmasını ve bizde bu haberleri bir daha yapmamayı temenni ediyoruz.

Kaynak

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir