Trace Id is missing

Doğu Asya'dan gelen dijital tehditlerin kapsamı ve etkinliği artıyor

İndir
Paylaş
Bilgisayarın önünde oturan bir kişi

Giriş

Çin’in yaygın  siber operasyonlar ve etki operasyonları (IO) gerçekleştirmesi ve Kuzey Koreli siber tehdit aktörlerinin giderek daha karmaşık eylemlerde bulunması gibi yeni ortaya çıkan eğilimler, Doğu Asya’daki tehdit ortamının hızla değiştiğini gösteriyor.

İlk olarak Çin devletine bağlı siber tehdit grupları, özellikle Güney Çin Denizi bölgesine odaklanarak bu denizi çevreleyen hükumetler ve diğer kritik kuruluşlara yönelik siber casusluk çalışmaları gerçekleştirdi. Buna, Çin’in ABD savunma sektörünü hedef alması ve ABD altyapısının sinyallerini inceleme çabaları da eklenince Çin’in dış ilişkilerinde ve stratejik askeri hedeflerinde rekabet avantajı elde etmeye çalıştığı söylenebilir.

İkinci olarak Çin, geçtiğimiz yıl içinde sosyal medya kullanıcıları üzerinde IO kullanma etkinliğini artırdı. Çin çevrimiçi etki kampanyaları, uzun süredir sadece hacmi önemsiyor ve gerçek olmayan sosyal medya hesapları aracılığıyla kullanıcılara ulaşma sistemini benimsiyordu. Ancak 2022’den bu yana Çin’e bağlı sosyal medya ağları, sosyal medyada gerçek kullanıcılarla doğrudan etkileşime giriyor, ABD seçimleri ile ilgili içeriklerde bazı adayları hedef alıyor ve Amerikalı seçmenler gibi davranıyor. Ayrıca Çin devletine bağlı birçok dilde yayın yapan sosyal medya girişimi de en az 40 dilde yayın yapıp kitlesini 103 milyonun üzerine çıkararak hedef kitleleriyle etkileşime girmeyi başardı.

Üçüncü olarak Çin, geçtiğimiz yıl içinde küresel ayak izini artırmak için yeni dillerle yeni platformlarda çalışmalar yaparak IO kampanyalarını büyütmeye devam etti. Sosyal medyada düzinelerce web sitesine binlerce sahte hesap dağıtarak birden fazla dilde memler, videolar ve iletiler yayıyor. Çin devlet medyası, çevrimiçi haber medyasında, dünya genelindeki medya kuruluşları üzerinde etki bırakmak için incelikli ve etkili bir biçimde çeşitli yöntemler kullanarak kendini Çin ile ilgili uluslararası söylemlerde yetkili ses olarak konumlandırıyor. Bu kampanyalardan birinde, yerel haber siteleri aracılığıyla 35’ten fazla ülkedeki Çin diasporasına Çin Komünist Partisi’nin (CCP) propagandası yapıldı.

Son olarak, Çin’in aksine sofistike bir etki aktörü olma becerisine sahip olmayan Kuzey Kore de dişli bir siber tehdit olmaya devam ediyor. Kuzey Kore’nin, diğer taktiklerin yanı sıra art arda yapılan tedarik zinciri saldırıları ve kripto para hırsızlığından da yararlanarak taktiksel karmaşıklığı artırma ve istihbarat toplamaya olan ilgisi halen sürüyor.

Çin’in siber operasyonlarında odak Güney Çin Denizi ve Birleşik Devletler’in kilit sektörlerine kayıyor

Microsoft Tehdit Analizi, 2023 yılının başından bugüne Çin devletine bağlı siber tehdit aktörlerinin özellikle üç alana odaklandığını tespit etti: Güney Çin Denizi, ABD savunma sektörünün merkezi ve ABD kritik altyapısı.

Çin devletinin desteğiyle yapılan saldırılar, Güney Çin Denizi’ndeki stratejik hedeflerle örtüşüyor

Çin devletine bağlı tehdit aktörlerinin Güney Çin Denizi ve Tayvan’a ilgi göstermeye devam etmesi, Çin’in bu bölgedeki ekonomik, politik ve savunmaya yönelik geniş kapsamlı çıkarlarının bir göstergesi.1 Bölgedeki toprakların hakimiyeti konusunda yaşanan çatışmalar, boğazlar konusunda yaşanan gerginlikler ve ABD ordusunun bölgedeki varlığını artırması gibi hususların tümü Çin’in saldırgan siber etkinliklerinin ardındaki nedenler olabilir.2

Microsoft, yaptığı izlemeler sonucunda Güney Çin Denizi’ni çevreleyen ülkeleri hedef alan bir numaralı tehdit grubunun Raspberry Typhoon (RADIUM) olduğunu gördü. Raspberry Typhoon sürekli olarak bakanlıkları, askeri kuruluşları ve özellikle telefon şirketleri gibi kritik altyapı ile bağlantılı kurumsal şirketleri hedef alıyor. Grup, özellikle Ocak 2023’ten beri daha ısrarcı. Raspberry Typhoon, bakanlıkları ya da altyapıları hedef alırken genellikle istihbarat toplamaya ve kötü amaçlı yazılım çalıştırmaya odaklanıyor. Birçok ülkede, hedef aldıkları bakanlıklar savunma ve istihbaratla ya da ekonomi ve ticaretle ilgili bakanlıklar arasında değişiyor.

Tayvan adasını hedef alan en belirgin tehdit grubu ise Flax Typhoon (Storm-0919). Bu grup, genellikle hedef aldıkları ağda doğrudan bir varlık oluşturmak için özel bir VPN aleti kullanarak öncelikli olarak telekomünikasyon, eğitim, bilgi teknolojisi ve enerji altyapılarını hedef alıyor. Benzer şekilde Charcoal Typhoon (CHROMIUM) da Tayvan eğitim kurumlarını, enerji altyapısını ve teknoloji üretimini hedef alıyor. 2023 yılında hem Charcoal Typhoon hem de Flax Typhoon, Tayvan ordusuyla çalışan Tayvanlı havacılık kuruluşlarını hedef aldı.

Ülkelerde gözlemlenen olay sayısını vurgulayan Güney Çin Denizi haritası
Şekil 1: Ocak 2022 ile Nisan 2023 arasında Güney Çin Denizi’ndeki ülkelerde gözlemlenen olay sayısı. Tam raporun 4.sayfasında bu görüntü ile ilgili daha fazla bilgi edinebilirsiniz

Çinli tehdit aktörleri, dikkatlerini ABD’nin bir Deniz Piyadeleri üssü inşa ettiği Guam’a çeviriyor

Circle Typhoon (DEV-0322), Volt Typhoon (DEV-0391) ve Mulberry Typhoon (MANGANESE) gibi Çin merkezli birden fazla tehdit grubu, ABD savunma sektörünün merkezini hedef almaya devam ediyor. Bu üç grubun hedefleri zaman zaman kesişse de aslında bunlar altyapıları ve özellikleri farklı olan üç ayrı aktördür.3

Circle Typhoon, ABD savunma sektörünün merkezine yönelik, aralarında kaynak geliştirme, toplama, ilk erişim ve kimlik bilgisi erişiminin de bulunduğu çeşitli siber etkinlikler yürütür. Ve ABD merkezli savunma ve BT firmalarını hedef almak için sıklıkla VPN aletlerinden faydalanır. Volt Typhoon da çok sayıda ABD savunma şirketine keşif operasyonu düzenlemiştir. Bu kampanyaların en sık hedef aldığı yerlerden biri Guam, özellikle de burada bulunan uydu iletişimi ve telekomünikasyon kuruluşlarıdır.4

Volt Typhoon’un sık kullandığı taktiklerden biri, genellikle altyapı inşa etme amacıyla küçük ofis ve ev yönlendiricilerini ele geçirmektir.5 Mulberry Typhoon da özellikle cihazları hedef alan bir sıfır gün açığı ile ABD savunma sektörünün merkezini hedef almıştır.6 Guam’a yönelik saldırıların artması, Doğu Asya’ya en yakın Birleşik Devletler bölgesi olması ve ABD’nin bölgedeki stratejisinde kritik bir yere sahip olması nedeniyle önemlidir.

Çin tehdit grupları, ABD’nin kritik altyapılarını hedef alıyor

Microsoft, Çin devletine bağlı tehdit gruplarının birçok sektörde ABD’ye ait kritik altyapıları hedef aldığını ve son altı ay içinde önemli bir kaynak gelişimi kaydettiklerini gözlemledi. Bu etkinliklerin arkasındaki bir numaralı grup, en az 2021 yazından bu yana Volt Typhoon ve bu etkinliklerin kapsamını hala tam olarak bilmiyoruz.

Hedef alınan sektörler arasında ulaştırma (limanlar ve demiryolları gibi), kamu hizmetleri (enerji ve su arıtma gibi), medikal altyapı (hastaneler dahil) ve telekomünikasyon altyapısı (uydu iletişimi ve fiber optik sistemler dahil) bulunmaktadır. Microsoft olarak bu kampanyanın, Çin’e, Birleşik Devletler ve Asya arasındaki iletişimi ve kritik altyapının çalışmasını kesintiye uğratacak özellikler sağladığını düşünüyoruz.7

Çin merkezli tehdit grupları, ABD devlet kurumlarının da bulunduğu yaklaşık 25 kuruluşu hedef alıyor

Çin merkezli bir tehdit aktörü olan Storm-0558, 15 Mayıs itibarıyla aralarında ABD ve Avrupa devlet kurumlarının da bulunduğu yaklaşık 25 kuruluşun Microsoft müşteri e-postalarına erişebilmek için sahte kimlik doğrulaması belirteçleri kullanmaya başladı.8 Ancak Microsoft bu girişimi engelledi. Saldırının amacı, e-posta hesaplarına yetkisiz erişim elde etmekti. Microsoft olarak bu etkinliğin, Storm-0558’in casusluk hedefleriyle örtüştüğünü düşünüyoruz. Storm-0558, daha önce de ABD ve Avrupa’daki diplomatik kurumları hedef almıştı.

Çin, stratejik ortaklarını da hedef alıyor

Çin, Kuşak ve Yol Girişimi (BRI) aracılığıyla ikili ilişkilerini ve küresel ortaklıklarını geliştirirken Çin devleti destekli tehdit aktörleri de dünya genelinde özel kurumlara ve devlet kurumlarına karşı paralel siber operasyonlar yürütüyor. Çin merkezli tehdit gruplarının hedefinde; aralarında Kazakistan, Namibya, Vietnam gibi ülkelerin bulunduğu, CCP’nin BRI stratejisiyle uyumlu olan ülkeler var.9 Bu sırada Çin’in geniş bir alana yayılan tehdit etkinlikleri de, muhtemelen ekonomik casusluk veya istihbarat toplama hedefleri doğrultusunda sürekli olarak Avrupa, Latin Amerika ve Asya'da bulunan yabancı bakanlıkları hedef alıyor.10 Çin, küresel etkisini artırdıkça tehdit gruplarının da etkinliklerini artırması beklenmekte. Kısa bir süre önce, Nisan 2023’te Twill Typhoon (TANTALUM), dünya genelindeki insani yardım kuruluşlarının yanı sıra Afrika ve Avrupa’daki devlet organlarını da ele geçirmeyi başardı.

CCP güdümündeki sosyal medya operasyonları, etkin hedef kitle etkileşimini artırıyor

CCP’ye bağlı, örtülü etki operasyonları, artık sosyal medyada hedef kitleleriyle eskisine kıyasla daha başarılı bir şekilde etkileşime girmeye başladı. Bu da çevrimiçi IO varlıklarının karmaşıklaştırıldığını ve geliştirildiğini gösteriyor. Microsoft ve sektör ortakları, 2022 ABD ara seçimleri öncesinde CCP’ye bağlı sosyal medya hesaplarının ABD’li seçmenler gibi davrandığını gözlemlemişti ki bu, CCP’ye bağlı IO için yeni bir alan.11 Bu hesaplar, farklı siyasi görüşlerdeki Amerikalılar gibi davranarak gerçek kullanıcılardan gelen yorumlara yanıt veriyordu.

Bu hesaplar hem davranış hem de içerik açısından, çok sayıda belgelenmiş Çin IO taktik, teknik ve prosedürlerini (TTP) yansıtmaktaydı. Örnek olarak hesapların başka bir dile geçmeden önce ilk aşamalarında Mandarin dilinde paylaşım yapmaları, paylaşım yaptıktan hemen sonra Çin'e bağlı diğer varlıklardan gelen içeriklerle etkileşime girmeleri ve "tohum ve amplifikatör" etkileşim modelini kullanmaları gösterilebilir.12 CCP’ye bağlı aktörlerin, fark edilmesi kolay, bilgisayarca oluşturulmuş hesap isimleri, görünen adlar ve profil resimleri kullanarak yaptığı eski IO kampanyalarının aksine13, bu daha karmaşık hesaplar, CCP ile olan bağlarını gizleyebilmek için sahte veya çalıntı kimlik kullanan gerçek kişilerce yönetiliyor.

Bu ağdaki sosyal medya hesapları, Kamu Güvenliği Bakanlığı (MPS) bünyesindeki 912 Özel Çalışma Grubu adı verilen elit bir grup tarafından yürütüldüğü bildirilen etkinliklere benzer davranışlar gösteriyor. ABD Adalet Bakanlığına göre bu grup, binlerce sahte çevrimiçi kişilik yaratan ve demokrasi yanlısı aktivistleri hedef alan CCP propagandası yapan bir sosyal medya trol çiftliği işletiyordu.

Yaklaşık olarak Mart 2023’ten bu yana, Batı sosyal medyasındaki bazı şüpheli Çin IO varlıkları, görsel içerik oluşturmak için üretici yapay zekadan (AI) faydalanmaya başladı. Nispeten daha kaliteli olan bu görsel içerikler de şimdiden, gerçek sosyal medya kullanıcılarından, eski içeriklere nazaran daha fazla etkileşim alıyor. Difüzyon destekli görsel üretiminin özelliklerini taşıyan bu görüntüler, önceki kampanyalarda kullanılan garip görsel içeriklerden daha dikkat çekici. Kullanıcılar da yapay zeka üretiminin tipik göstergelerine rağmen (örneğin, bir kişinin elinde beşten fazla parmak olması gibi) bu görselleri daha sık yeniden paylaşıyor.14

Aynı Black Lives Matter görselini içeren yan yana yerleştirilmiş iki sosyal medya gönderisi.
Şekil 2: İlk olarak CCP'ye bağlı otomatik bir hesap tarafından paylaşılan Black Lives Matter görseli, yedi saat sonra da ABD'li muhafazakâr bir seçmen gibi davranan bir hesap tarafından paylaşıldı.
Özgürlük Heykeli'nin yapay zeka ile oluşturulmuş propaganda görseli.
Şekil 3: Çinli bir IO varlığı olmasından şüphelenilen bir hesap tarafından paylaşılmış, yapay zeka tarafından üretilen bir görsel örneği. Özgürlük Heykeli’nin meşaleyi tutan elinde beşten fazla parmak var. Tam raporun 6.sayfasında bu görüntü ile ilgili daha fazla bilgi edinebilirsiniz.
Açıktan gizliye uzanan bir süreklilik içinde sıralanmış dört fikir lideri kategorisi: gazeteciler, yaşam tarzı fikir liderleri, eş konumdaki kişiler ve etnik azınlıklar
Şekil 4: Bu girişim; geçmişlerine, hedef kitlelerine, işe alım ve yönetim stratejilerine göre dört geniş kategoriye ayrılan fikir liderlerinden oluşmaktadır. Analizimize dahil edilen tüm bireylerin Çin devlet medyasıyla (istihdam, seyahat davetlerini kabul etme veya diğer parasal alışverişler gibi) doğrudan bağlantısı vardır. Tam raporun 7.sayfasında bu görüntü ile ilgili daha fazla bilgi edinebilirsiniz.

Çin devlet medyası fikir lideri girişimi

Sosyal medyada anlamlı etkileşim elde eden bir başka strateji de CCP'nin "çok dilli internet ünlüsü stüdyoları" (多语种网红工作室) kavramı.15 Gerçek seslerin gücünden faydalanan 230'dan fazla devlet medyası çalışanı ve bağlı kuruluşu, tüm büyük Batı sosyal medya platformlarında bağımsız sosyal medya fikir liderleri gibi davranıyor.16 2022 ve 2023 yıllarında, ortalama her yedi haftada bir yeni fikir liderleri ortaya çıkmaya devam etti. Çin Uluslararası Radyosu (CRI) ve diğer Çin devlet medya kuruluşları tarafından işe alınan, eğitilen, teşvik edilen ve finanse edilen bu fikir liderleri, birden fazla platformda 40’tan fazla dilde yayın yapıp toplamda 103 milyonu aşkın bir takipçi kitlesine ulaşarak dünyanın dört bir yanındaki hedef kitlelerinden anlamlı bir etkileşim elde eden, ustalıkla yerelleştirilmiş CCP propagandası yapmaktadır.

Bu fikir liderleri çoğunlukla zararsız yaşam tarzı içerikleri yayımlasalar da bu teknik, aslında Çin'in yurtdışındaki imajını yumuşatmayı amaçlayan CCP propagandasına hizmet ediyor.

Çin devlet medyasının fikir lideri işe alma stratejisi iki farklı gruptaki bireyleri işe alıyor gibi görünüyor: gazetecilikte (özellikle devlet medya kuruluşlarında) çalışma deneyimi olanlar ve yabancı dil programlarından yeni mezun olanlar. Özellikle China Media Group'un (CRI ve CGTN'nin ana şirketi) Pekin Yabancı Çalışmalar Üniversitesi ve Çin İletişim Üniversitesi gibi Çin'in en iyi yabancı dil okullarından mezun olanları doğrudan işe aldığı görülüyor. Doğrudan üniversitelerden işe alınmayanlar ise genellikle eski gazeteciler ve çevirmenler olup fikir lideri olarak "yeniden markalaştıktan" sonra profillerinden devlet medyasına bağlılıklarına dair her türlü açık göstergeyi kaldırıyorlar.

Lao dili konuşan fikir lideri Song Siao, COVID-19 salgınının ortasında Çin’in kaydettiği ekonomik toparlanmadan bahseden bir yaşam tarzı vlogu yayımladı.
Şekil 5: Lao dili konuşan fikir lideri Song Siao, COVID-19 salgınının ortasında Çin’in kaydettiği ekonomik toparlanmadan bahseden bir yaşam tarzı videosu yayımladı. Kendi çektiği bu videoda, Pekin’de bir otomobil bayisini ziyaret edip yerel halkla konuşuyor. Tam raporun 8.sayfasında bu görüntü ile ilgili daha fazla bilgi edinebilirsiniz
İngilizce konuşan bir fikir lideri olan Techy Rachel’ın sosyal medya gönderisi.
Şekil 6: Genellikle Çin’deki yenilik ve teknolojiler hakkında paylaşımlar yapan İngilizce konuşan fikir lideri Techy Rachel, içerik temasından saparak Çin casus balonu tartışmaları hakkında fikrini paylaştı. Tıpkı diğer Çin devlet medyası kuruluşları gibi o da balonun casusluk için kullanıldığını reddetti. Tam raporun 8.sayfasında bu görüntü ile ilgili daha fazla bilgi edinebilirsiniz

Fikir liderleri, 40’tan fazla dilde, dünya genelindeki kitlelere ulaşıyor

Devlete bağlı bu fikir liderleri tarafından konuşulan dillerin coğrafi dağılımı, Çin'in artan küresel etkisi ve bölgesel önceliklerinin de bir göstergesi. Hintçe, Sinhala, Peştuca, Lao, Korece, Malayca ve Vietnamca gibi Çince dışındaki Asya dillerini konuşan fikir liderleri, en büyük kitleyi oluşturuyor. Bunların arkasındansa İngilizce konuşan fikir liderleri geliyor.
Dillere göre Çin devlet medyası fikir liderlerinin dağılımını gösteren beş pasta grafiği.
Şekil 7: Dillere göre Çin devlet medyası fikir liderlerinin dağılımı. Tam raporun 9.sayfasında bu görüntü ile ilgili daha fazla bilgi edinebilirsiniz

Çin, dünya genelinde kitleleri hedef alıyor

Fikir liderleri, coğrafi bölgelere ayrılmış yedi farklı kitleyi (dil gruplarına göre) hedef alır. İngilizce veya Çince hedef kitle alanları için grafik gösterilmemiştir.

Çin IO’su, birçok kampanya ile küresel erişimini artırıyor

Çin, 2023 yılında hem yeni diller kullanıp hem de yeni platformlarda yer alarak çevrimiçi IO'sunun ölçeğini daha da genişletti. Bu operasyonlarda, yüksek düzeyde kontrol edilen açık bir devlet medya aygıtı, CCP'nin söylemlerini aklayan ve güçlendiren botlar da dahil olmak üzere gizli veya gizlenmiş sosyal medya varlıklarıyla birlikte kullanılıyor.17

Microsoft, Ocak 2022'de başlayan ve bu yazının yazıldığı sırada hala devam eden, 50'den fazla denizaşırı Çin polis karakolunun varlığını ifşa eden İspanyol sivil toplum kuruluşu (STK) Safeguard Defenders'ı hedef alan, CCP'ye bağlı böyle bir kampanya olduğunu gözlemledi.18 Bu kampanyada, CCP’nin desteklediği, ABD'yi ve diğer demokrasileri eleştiren memleri, videoları ve mesajları yaymak için çeşitli sosyal medya platformlarında ve düzinelerce web sitesinde 1.800'den fazla hesap kullanıldı.

Bu hesaplar yeni dillerde (Hollandaca, Yunanca, Endonezyaca, İsveççe, Türkçe, Uygurca ve daha fazlası) ve yeni platformlarda (diğerlerinin yanı sıra Fandango, Rotten Tomatoes, Medium, Chess.com ve VK gibi) mesajlar yayımladı. Bu operasyonun ölçeğine ve sürekliliğine rağmen, paylaşımlarının gerçek kullanıcılardan nadiren anlamlı bir etkileşim alıyor olması da Çin ağlarının etkinliklerinin ilkel doğasını vurguluyor.

30 bilinen teknoloji markasının, 16 dilden oluşan bir liste ile yan yana sunulan logoları
Şekil 8: CCP destekli IO içeriği birçok platformda ve birçok dilde tespit edilmiştir. Tam raporun 10.sayfasında bu görüntü ile ilgili daha fazla bilgi edinebilirsiniz
Tayvan dilinde video propagandalarının yan yana ekran görüntüsü örnekleri
Şekil 9: Tayvan hükumetini Pekin'e "teslim olmaya" çağıran Tayvan dilinde bir videonun yüksek hacimli paylaşımları. Gösterimler ve paylaşımlar arasındaki büyük fark, büyük olasılıkla koordineli bir IO etkinliği yapıldığı anlamına geliyor. Tam raporun 10.sayfasında bu görüntü ile ilgili daha fazla bilgi edinebilirsiniz

CCP haber sitelerinden oluşan örtülü bir küresel ağ

CCP'ye bağlı IO'nun genişlediğini gösteren bir başka dijital medya kampanyası da CCP'nin dünya çapındaki tüm Çince medyanın yetkili sesi olma hedefini destekleyen ve ağırlıklı olarak Çince yayın yapan, 50'den fazla haber sitesinden oluşan bir ağdır.19 Dünyanın dört bir yanındaki farklı Çin diaspora topluluklarına hitap eden büyük ölçüde bağımsız, bağlantısız web siteleri olarak görünmelerine rağmen teknik göstergeler, web sitesi kayıt bilgileri ve paylaşılan içerikler sayesinde büyük ölçüde emin olarak bu web sitelerinin, CCP'nin Çin sınırları ötesindeki etkisini güçlendirmekten sorumlu bir organ olan Birleşik Cephe Çalışma Departmanına (UFWD) bağlı olduğunu söyleyebiliriz.20
Küresel Çin diasporasını hedefleyen web sitelerinin 20'den fazla Çin web sitesi logosunu içeren dünya haritası.
Şekil 10: Bu medya stratejisinin bir parçası olarak değerlendirilen küresel Çin diasporasını hedefleyen web sitelerinin haritası.  Tam raporun 11.sayfasında bu görüntü ile ilgili daha fazla bilgi edinebilirsiniz

Bu sitelerin çoğu IP adreslerini paylaştığından, Microsoft Defender Tehdit Analizi ile etki alanı çözümlerini sorgulamak, ağdaki daha fazla siteyi keşfetmemizi sağladı. Web sitelerinin çoğu, ön uç web HTML kodunu paylaşıyor ve bu kodda gömülü web geliştirici yorumlarının bile farklı web sitelerinde genellikle aynı olduğunu görebiliyoruz. Sitelerin 30'dan fazlası, UFWD'nin medya ajansı olan Çin Haber Servisi’nin (CNS) "tamamına sahip olduğu bir yan kuruluşunun" aynı uygulama programlama arabirimi (API) ve içerik yönetim sistemini kullanıyor.21 Çin Sanayi ve Bilgi Teknolojileri Bakanlığı kayıtları, UFWD'ye bağlı bu teknoloji şirketinin ve başka bir şirketin bu ağa en az 14 haber sitesi kaydettirdiğini ortaya koyuyor.22 UFWD, yan kuruluşlarını ve üçüncü taraf medya şirketlerini bu şekilde kullanıp doğrudan bir ilgisi olduğunu gizleyerek küresel bir kitleye ulaşabilir.

Bu web siteleri bağımsız haber sağlayıcıları olduklarını öne sürseler de sıklıkla aynı Çin devlet medyası makalelerini yeniden yayımlayıp genellikle de içeriğin orijinal kaynağı olduklarını iddia ediyorlar. Genel olarak uluslararası haberleri ve Çin devlet medyasının sıradan haberlerini yayımlayan bu siteler, siyasi olarak hassas konularda ise büyük ölçüde CCP'nin söylemleriyle uyumlu hareket ediyor. Örneğin bu web sitesi ağındaki yüzlerce makale, COVID-19 virüsünün Fort Detrick'teki ABD askeri biyolojik araştırma laboratuvarında üretilen bir biyolojik silah olduğuna dair yanlış iddiaları destekliyor.23 Siteler ayrıca Çinli hükumet yetkililerinin, COVID-19 virüsünün Çin'de değil ABD'de ortaya çıktığını iddia eden açıklamalarını ve devlet medyası makalelerini de sıklıkla dolaşıma sokuyor. Bu web siteleri, CCP kontrolünün Çince medya ortamına ne ölçüde nüfuz ettiğinin ve Parti'nin hassas konulardaki eleştirel haberciliğe nasıl engel olduğunun bir göstergesidir.

Birden fazla sitenin ortak yayımladığı makaleleri gösteren akor diyagramı.
Şekil 11: Web siteleri yerele özgü gibi görünse de aynı içerikleri paylaşır. Bu akor diyagramı da birden fazla site tarafından yayımlanan ve birbiriyle örtüşen makaleleri göstermektedir. Tam raporun 12.sayfasında bu görüntü ile ilgili daha fazla bilgi edinebilirsiniz
Bir Çin Haber Servisi makalesinin İtalya, Macaristan, Rusya ve Yunanistan'daki kitleleri hedefleyen web sitelerinde nasıl yeniden yayımlandığını gösteren ekran görüntüleri
Şekil 12: Çin Haber Servisi ve diğer Çin devlet medyası kuruluşları "DSÖ'den Ukrayna'daki karanlık ABD biyo laboratuvarlarını ifşa eden açıklama" başlıklı bir makale yayımladı. Bu makale daha sonra Macaristan, İsveç, Batı Afrika ve Yunanistan'daki kitleleri hedefleyen web sitelerinde de yayımlandı. Tam raporun 12.sayfasında bu görüntü ile ilgili daha fazla bilgi edinebilirsiniz

Çin devlet medyasının küresel erişimi

Yukarıda açıklanan kampanya, şaşırtmacasıyla dikkat çekse de CCP güdümündeki medyanın küresel izlenme oranının büyük çoğunluğunu iyi niyetli Çin devlet medyası web siteleri oluşturuyor. CCP yabancı dillerde de yayın yapmaya başlayıp24 yurtdışında Çin devlet medyasına ait bürolar açarak25 ve ücretsiz Pekin dostu içerik sağlayarak26 dünyanın dört bir yanındaki ülkelerin haber medyasına propaganda enjekte etmiş ve "söylem gücünün" (话语权) erişim alanını genişletmeye başlamıştır.27
CCP'nin açık propaganda ekosisteminin anlık görüntüsünü gösteren kuruluş şeması.
Şekil 13: CCP'nin açık propaganda ekosisteminin bir parçasını oluşturan işlev ve kuruluşların anlık görüntüsünü gösteren kuruluş şeması. Tam raporun 13.sayfasında bu görüntü ile ilgili daha fazla bilgi edinebilirsiniz

Çin devlet medya kuruluşlarının web sitelerindeki trafiği ölçmek

Microsoft'un AI for Good Laboratuvarı, Çin dışındaki kullanıcılardan Çin hükumetinin çoğunluk hissesine sahip olduğu sitelere olan trafik akışını ölçmek için bir endeks geliştirdi. Endeks, Haziran 2022'de tanıtılan Rus Propaganda Endeksi (RPI) gibi, bu siteleri ziyaret eden trafiğin internetteki genel trafiğe oranını ölçüyor.28

Çin devlet medyasına beş etki alanı hakimdir ve bunlar, tüm Çin devlet medyası sayfa görüntülemelerinin yaklaşık %60'ını oluşturur.

Çin medyasının tüketimini gösteren grafik
Tam raporun 14.sayfasında bu görüntü ile ilgili daha fazla bilgi edinebilirsiniz

Bu endeks, Çin devlet medyası kuruluşlarının, zaman içinde ve coğrafyaya göre, göreceli başarısındaki eğilimleri aydınlatabilir. Örneğin Güneydoğu Asya Ülkeleri Birliği (ASEAN) üyesi ülkeler arasında Singapur ve Laos, Çin devlet medyası web sitelerine üçüncü sıradaki Brunei'nin iki katından daha fazla trafik çekerek öne çıkıyor. Filipinler ise Çin devlet medyası web sitelerine Singapur ve Laos'tan 30 kat daha az trafik çekerek en alt sırada yer alıyor. Mandarin dilinin resmi dil olduğu Singapur'da Çin devlet medyasına gösterilen yüksek ilgi, Çin'in Mandarin dilindeki haberler üzerindeki etkisini yansıtmaktadır. Laos'ta ise Çince konuşanların sayısı çok daha azdır ve bu da Çin devlet medyasının ülke ortamındaki göreceli başarısını yansıtmaktadır.

En çok ziyaret edilen etki alanı olan PhoenixTV'nin ana sayfasının ekran görüntüsü.
Şekil 14: Tüm sayfa görüntülemelerinin %32'sine sahip olarak en çok ziyaret edilen alan adı olan PhoenixTV'nin ana sayfası. Tam raporun 14.sayfasında bu görüntü ile ilgili daha fazla bilgi edinebilirsiniz

Giderek daha karmaşık hale gelen Kuzey Kore siber operasyonları istihbarat topluyor ve devlet için gelir yaratıyor

Kuzey Koreli siber tehdit aktörleri, amacı (1) devletin düşman olarak gördüğü Güney Kore, Amerika Birleşik Devletleri ve Japonya’nın etkinlikleri hakkında istihbarat toplamak, (2) kendi askeri yeteneklerini geliştirmek için diğer ülkelerin askeri yetenekleri hakkında istihbarat toplamak ve (3) devlet için kripto para fonları toplamak olan siber operasyonlar yürütür. Geçtiğimiz yıl boyunca Microsoft, farklı Kuzey Koreli tehdit aktörlerinin hedeflerinin daha fazla örtüşmeye başladığını ve Kuzey Koreli etkinlik gruplarının karmaşıklığının arttığını gözlemledi.

Kuzey Kore'nin sualtı araçlarının test etmek gibi siber öncelikleri, denizcilik teknolojisi araştırmalarına önem verdiklerini gösteriyor

Geçtiğimiz yıl Microsoft Tehdit Analizi, Kuzey Koreli tehdit aktörlerinin ortak hedeflerinin arttığını gözlemledi. Örneğin üç Kuzey Koreli tehdit aktörü; Ruby Sleet (CERIUM), Diamond Sleet (ZINC) ve Sapphire Sleet (COPERNICIUM), Kasım 2022'den Ocak 2023'e kadar denizcilik ve gemi inşa sektörünü hedef aldı. Microsoft daha önce farklı Kuzey Kore etkinlik gruplarının hedeflerinin bu denli çakıştığına tanık olmadığından, bahsi geçen dönemde denizcilik teknolojisi araştırmalarının, Kuzey Kore hükumeti için yüksek bir öneme sahip olduğu kanısına varıyoruz. Mart 2023'te Kuzey Kore'nin, Güney Kore-ABD Özgürlük Kalkanı askeri tatbikatı öncesinde bir uyarı olarak Japon Denizi'ne (diğer adıyla Doğu Denizi) doğru bir denizaltıdan iki stratejik seyir füzesi denemesi yaptığı bildirildi. Aynı ayın ilerleyen günlerinde ise Kuzey Kore'nin, ülkenin doğu kıyısı açıklarında, Japon Denizi'ne doğru iki adet Haeil sualtı saldırı aracı denediği iddia edildi. Denizlere yönelik bu askeri yetenek testlerinin yapıldığı dönem, üç Kuzey Koreli siber grubun istihbarat toplamak için deniz savunma varlıklarını hedef almasından kısa bir süre sonrasına denk geliyor.

Kuzey Kore rejimi istihbarat toplamaya öncelik verdiği için tehdit aktörleri de savunma firmalarına saldırıda bulunuyor

Kasım 2022'den Ocak 2023'e kadar Microsoft, Ruby Sleet ve Diamond Sleet'in savunma firmalarına saldırıda bulunmasıyla ikinci bir hedef çakışması örneği gözlemledi. İki tehdit aktörü de Almanya ve İsrail merkezli iki silah üretim şirketine saldırıda bulundu. Bu, Kuzey Kore hükumetinin, ülkenin askeri yeteneklerini geliştirmek üzere yüksek öncelikli toplama gereksinimlerini karşılamak için aynı anda birden fazla tehdit aktörü grubunu görevlendirdiğini gösteriyor. Diamond Sleet, Ocak 2023'ten bu yana Brezilya, Çekya, Finlandiya, İtalya, Norveç ve Polonya'daki savunma şirketlerine de saldırıda bulundu.
Kuzey Kore'nin savunma sektörünü en sık hedef aldığı ülkeleri gösteren pasta grafiği
Şekil 15: Mart 2022'den Mart 2023'e kadar Kuzey Kore’nin savunma sektörünü hedef aldığı ülkeler

Rus hükumeti ve savunma sektörü, Kuzey Kore'nin istihbarat toplama çalışmalarının hedefi olmaya devam ediyor

Çok sayıda Kuzey Koreli tehdit aktörü yakın zamanda Rus hükumetini ve savunma sektörünü hedef aldı ve aynı zamanda Rusya'ya Ukrayna'daki savaş için malzeme desteği sağladı.32 Örneğin Mart 2023'te Ruby Sleet, Rusya'daki bir havacılık ve uzay araştırma enstitüsünün kontrolünü ele geçirdi. Buna ek olarak Onyx Sleet (PLUTONIUM) ise Mart ayı başında Rusya'daki bir üniversiteye ait bir cihazı ele geçirdi. Ayrı olarak, Opal Sleet (OSMIUM) ile ilişkilendirilen bir saldırgan hesabı, aynı ay içinde Rus diplomatik devlet kurumlarına ait hesaplara kimlik avı e-postaları gönderdi. Kuzey Koreli tehdit aktörleri, ülkenin Ukrayna'daki savaşa odaklanması nedeniyle Rus kurumları hakkında istihbarat toplama fırsatından yararlanıyor olabilir.

Kuzey Koreli gruplar kripto para hırsızlığı ve tedarik zinciri saldırıları aracılığıyla daha karmaşık operasyonlar sergiliyor

Microsoft, Kuzey Koreli etkinlik gruplarının kripto para hırsızlığı ve tedarik zinciri saldırıları aracılığıyla giderek daha karmaşık operasyonlar yürüttüğünü gözlemliyor. Ocak 2023'te Federal Soruşturma Bürosu (FBI), Haziran 2022'de Harmony's Horizon Bridge'den 100 milyon dolar değerinde kripto para çalma eylemini gerçekleştirenin Jade Sleet (DEV-0954), diğer adıyla Lazarus Group/APT38 olduğunu paylaştı.33 Microsoft ise 2022'de ABD merkezli bir finansal teknoloji şirketinin tedarik zincirine yapılmış olan bir saldırıdan faydalanarak Mart 2023’te gerçekleştirilen 3CX tedarik zinciri saldırısını yapanın Citrine Sleet (DEV-0139) olduğunu duyurdu. Microsoft, ilk kez bir etkinlik grubunun, daha önceki bir saldırıda ele geçirilen bir tedarik zincirini kullanarak başka bir tedarik zinciri saldırısı gerçekleştirdiğini gözlemlemiştir ki bu da Kuzey Kore siber operasyonlarının artan karmaşıklığını gösterir.

Emerald Sleet, uzmanları dış politika bilgileriyle yanıt vermeye ikna etmek için denenmiş ve doğrulanmış hedefli kimlik avı taktiğini kullanıyor

Emerald Sleet (THALLIUM), Microsoft'un geçtiğimiz yıl boyunca izlediği en aktif Kuzey Koreli tehdit aktörü unvanını koruyor. Grup, istihbarat toplama amacıyla dünyanın dört bir yanındaki Kore Yarımadası uzmanlarına sık sık kimlik avı e-postaları göndermeye devam ediyor. Aralık 2022'de Microsoft Tehdit Analizi, Emerald Sleet'in Amerika Birleşik Devletleri ve onların müttefiği olan ülkelerdeki etkili Kuzey Kore uzmanlarını hedef alan kimlik avı kampanyalarını ayrıntılı olarak açıkladı. Microsoft, Emerald Sleet'in kötü amaçlı dosyalar veya kötü amaçlı web sitelerine bağlantılar dağıtmak yerine benzersiz bir taktik kullandığını tespit etti: saygın akademik kurumları ve STK'ları taklit ederek kurbanları Kuzey Kore ile ilgili dış politikalar hakkında uzman görüşleri ve yorumlarıyla yanıt vermeye ikna etmek.

Özellikler: Etki

Kuzey Kore geçtiğimiz yıl YouTube ve TikTok gibi video paylaşımı yapılan sosyal medya platformlarında sınırlı etki operasyonları yürütmüştür.34 YouTube'daki Kuzey Koreli fikir liderleri çoğunlukla günlük hayatları hakkında vloglar yayınlayan ve rejim hakkında olumlu söylemleri teşvik eden, içlerinden biri sadece on bir yaşında olmak üzere kız çocukları ve kadınlardır. Bu fikir liderlerinden bazıları, videolarında İngilizce konuşarak daha geniş bir küresel kitleye ulaşmayı amaçlıyor. Kuzey Kore'nin fikir liderlerinin etkisi, Çin devlet medyası destekli fikir liderleri girişimine kıyasla çok daha düşüktür.

Jeopolitik gerilimler siber etkinlikleri ve etki operasyonlarını artırırken geleceğe bakmak

Çin son yıllarda siber kabiliyetlerini artırmaya devam etmiş ve IO kampanyalarında çok daha hırslı davranmıştır. Yakın vadede Kuzey Kore’nin bölgedeki siyasi, ekonomik ve savunma çıkarlarıyla ilgili hedeflere odaklanmaya devam etmesini bekliyoruz. Ayrıca her kıtada, CCP'nin jeopolitik hedeflerinin hem muhaliflerine hem de destekçilerine karşı daha geniş kapsamlı siber casusluk eylemleri de bekleyebiliriz. Çin merkezli tehdit grupları etkileyici siber yetenekler geliştirmeye ve kullanmaya devam etse de “ele geçir ve sızdır” kampanyaları yürüten İran ve Rusya'nın aksine Çin'in siber operasyonlarla etki operasyonlarını birleştirdiğini gözlemlemedik.

Diğer kötü niyetli etki aktörleriyle kıyaslanamayacak bir ölçekte etkinlik gösteren Çin'e bağlı etki aktörleri, önümüzdeki altı ay boyunca birkaç önemli eğilim ve olaydan faydalanmaya hazırlanıyor.

İlk olarak video ve görsel medyadan yararlanan operasyonlar norm haline geliyor. Uzun süredir yapay zeka tarafından üretilen profil resimlerini kullanan CCP'ye bağlı ağlar, bu yıl görsel memler için de yapay zeka tarafından üretilen görüntüleri kullanmaya başladı. Devlet destekli aktörler talep ettikleri propagandaların oluşturulması konusunda özel içerik stüdyolarından ve halkla ilişkiler firmalarından da yararlanmaya devam edecek.35

İkinci olarak Çin, sosyal medya varlıklarına zaman ve kaynak yatırımı yaparak gerçek etkileşim çabasını sürdürecektir. Derin kültürel bilgi ve dil bilgisine ek olarak yüksek kaliteli video içeriğine sahip fikir liderleri, başarılı sosyal medya etkileşimlerinde öncü olmuştu. CCP de gizli sosyal medya kampanyalarını desteklemek için bu sosyal medya kullanıcıları ile etkileşim kurmak ve kültürel bilgi birikimini göstermek gibi taktikleri uygulayacaktır.

Üçüncüsü, Tayvan ve Amerika Birleşik Devletleri, özellikle 2024'te her iki ülkede de yaklaşan seçimlerle birlikte, Çin Uluslararası İstihbarat Teşkilatı için en önemli iki öncelik olmaya devam edecektir. CCP'ye bağlı etki aktörlerinin yakın geçmişte ABD seçimlerini hedef aldığı göz önüne alındığında, bunu tekrar yapacakları neredeyse kesindir. ABD'li seçmenleri taklit eden sosyal medya varlıkları muhtemelen daha karmaşık hale gelecek ve ABD'yi şiddetle eleştiren içeriklerle ırksal, sosyoekonomik ve ideolojik alanlarda anlaşmazlık tohumları ekecektir.

  1. [1]
  2. [2]

    Filipinler'deki yeni üsler ABD'nin bölgedeki askeri varlığını artırıyor, https://go.microsoft.com/fwlink/?linkid=2262254

  3. [3]

    Şu anda grupları birbirine bağlayacak yeterli kanıt bulunmamaktadır.

  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
    https://go.microsoft.com/fwlink/?linkid=2262092https://go.microsoft.com/fwlink/?linkid=2262093; Bu istatistikler, Nisan 2023 verilerini göstermektedir.
  17. [17]
    https://go.microsoft.com/fwlink/?linkid=2262359https://go.microsoft.com/fwlink/?linkid=2262520; Bu etki aktörleri bazen “Spamouflage Dragon” veya “DRAGONBRIDGE” olarak adlandırılır.
  18. [18]
  19. [19]
  20. [20]

    Bkz. Microsoft Tehdit Analiz Merkezi'nin etki atıflarını belirleme çerçevesi. https://go.microsoft.com/fwlink/?linkid=2262095; Çin diasporası, Çin hükumeti tarafından genellikle "denizaşırı Çinliler" veya 华侨 (huaqiao) olarak adlandırılır ve ÇHC dışında ikamet eden Çin vatandaşlığına veya mirasına sahip olanlara atıfta bulunur. Pekin'in Çin diasporasına ilişkin yorumu hakkında daha ayrıntılı bilgi için bkz: https://go.microsoft.com/fwlink/?linkid=2262777

  21. [21]
  22. [22]
  23. [23]

    Çin hükumeti bu anlatının tohumlarını, COVID-19 salgınının başlangıcında atmıştır, bkz: https://go.microsoft.com/fwlink/?linkid=2262170; Bu ağ içinde bu iddiayı destekleyen web siteleri şunlardır: https://go.microsoft.com/fwlink/?linkid=2262438https://go.microsoft.com/fwlink/?linkid=2262259https://go.microsoft.com/fwlink/?linkid=2262439

  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]

    Ukrayna’yı Savunmak: Siber Savaştan Çıkarılan İlk Dersler, https://go.microsoft.com/fwlink/?linkid=2262441

  29. [29]
  30. [30]

    Xuexi qiangguo'nun bir başka yorumu da "Xi'yi Çalış, Ülkeyi Güçlendir" şeklindedir. Bu isim Xi Jinping'in soyadından esinlenen bir kelime oyunudur. Çin'deki hükumetler, üniversiteler ve işletmeler uygulamanın kullanımını güçlü bir şekilde teşvik etmekte, zaman zaman astlarını seyrek kullandıkları için utandırmakta veya cezalandırmaktadır, bkz: https://go.microsoft.com/fwlink/?linkid=2262362

  31. [31]

    Gazete, Şanghay Komünist Parti Komitesi'nin sahibi olduğu Şanghay Birleşik Medya Grubu'na aittir: https://go.microsoft.com/fwlink/?linkid=2262098

  32. [32]
  33. [33]
  34. [34]
  35. [35]

    CCP daha önce SEO manipülasyon teknikleri, sahte beğeniler ve takipçiler ve diğer hizmetler yoluyla IO kampanyalarına yardımcı olan özel sektör şirketlerine yatırım yapmıştı. İhale belgeleri bu tür teklifleri ortaya koymaktadır, bkz:https://go.microsoft.com/fwlink/?linkid=2262522

Siber etki operasyonları Doğu Asya devlet destekli saldırı raporları Devlet destekli saldırı raporları Kimlik avı Tehdit aktörleri

İlgili makaleler

Volt Typhoon, gizlenmek için yerel sistemdeki araçlardan faydalanma tekniklerini kullanarak ABD’nin kritik altyapılarını hedef alıyor

Çin devleti destekli tehdit aktörü Volt Typhoon’un ABD’nin kritik altyapısını hedef almak, casusluk yapmak ve ele geçirilen ortamlarda dolanmak için gizli teknikler kullandığı gözlemlendi.
Daha fazla bilgi edinin

Dijital çağda propaganda: Siber etki operasyonları güveni nasıl aşındırıyor

Ulus devletlerin, demokrasinin gelişimi için ihtiyaç duyulan güvenilir bilgiyi tehdit etmek amacıyla yaydığı propagandaların yer aldığı siber etki operasyonları dünyasını inceleyin.
Daha fazla bilgi edinin

İran, daha fazla etki yaratmak için siber destekli etki operasyonlarına yöneliyor

Microsoft Tehdit Analizi, İran’ın dışında siber destekli etki operasyonlarının arttığını ortaya çıkardı. Yeni tekniklerin ayrıntılarını ve gelecekteki tehdit potansiyelinin nerede olduğunu içeren tehdit içgörüleri edinin.
Daha fazla bilgi edinin

Microsoft Güvenlik'i takip edin