Çin uyruklu bir kişi, ABD’de, Ulusal Havacılık ve Uzay Dairesi (NASA), araştırma üniversiteleri ve özel şirketler tarafından oluşturulan bilgisayar yazılımlarına ve kaynak kodlarına izinsiz erişim elde etmek için “yıllar süren” bir hedefli oltalama (spear-phishing) kampanyası yürütmekle suçlanıyor.
39 yaşındaki Song Wu, 14 adet elektronik dolandırıcılık ve 14 adet ağırlaştırılmış kimlik hırsızlığı ile suçlanıyor. Hüküm giymesi halinde, her bir elektronik dolandırıcılık suçu için azami 20 yıl hapis cezası ve ağırlaştırılmış kimlik hırsızlığı suçu için ardışık olarak iki yıl daha hapis cezası alabilir.
Wu, 2008 yılında kurulan ve merkezi Pekin’de bulunan Çin devletine ait bir havacılık ve savunma holdingi olan Aviation Industry Corporation of China’da (AVIC) mühendis olarak çalışıyordu.
Şirketin internet sitesinde yer alan bilgilere göre, AVIC’in “100’den fazla yan kuruluşu, yaklaşık 24 halka açık şirketi ve 400.000’den fazla çalışanı” bulunuyor. Kasım 2020 ve Haziran 2021’de, şirket ve bazı yan kuruluşları, Amerikalıların şirkete yatırım yapmasını yasaklayan ABD yaptırımlarına maruz kaldı.
Song’un ABD merkezli araştırmacıları ve mühendisleri taklit etmek için e-posta hesapları oluşturmayı içeren ve daha sonra havacılık mühendisliği ve hesaplamalı akışkanlar dinamiği için özel kısıtlı veya tescilli yazılım elde etmek için kullanılan bir spear-phishing kampanyası yürüttüğü söyleniyor.
Yazılım ayrıca gelişmiş taktik füzelerin geliştirilmesi ve silahların aerodinamik tasarımı ve değerlendirmesi dahil olmak üzere endüstriyel ve askeri uygulamalar için de kullanılabilir.
ABD Adalet Bakanlığı’nın iddiasına göre bu e-postalar NASA, ABD Hava Kuvvetleri, Donanma Kara Kuvvetleri ve Federal Havacılık İdaresi’ndeki çalışanlara, ayrıca Georgia, Michigan, Massachusetts, Pennsylvania, Indiana ve Ohio’daki büyük araştırma üniversitelerinde çalışan kişilere gönderildi.
Ocak 2017 civarında başlayan ve Aralık 2021’e kadar devam eden sosyal mühendislik girişimleri, havacılık alanında çalışan özel sektör şirketlerini de hedef aldı.
Sahte mesajlar, bir meslektaş, arkadaş ya da araştırma veya mühendislik topluluğundaki başka kişiler tarafından gönderilmiş gibi görünüyordu ve hedeflenen kişilerden ellerindeki yazılım veya kaynak kodlarını göndermeleri ya da erişime açmaları isteniyordu. Adalet Bakanlığı, kullanılan yazılımın adını veya sanığın şu anda nerede olduğunu açıklamadı.
FBI Atlanta’dan Sorumlu Özel Ajan Keri Farley, “FBI ve ortaklarımız, şirketlerimizin en hassas ve değerli bilgilerini çalmaya çalışan dünyanın dört bir yanındaki siber suçluların ifşa edilebileceğini ve sorumlu tutulabileceğini bir kez daha gösterdi” dedi.
“Bu iddianamenin gösterdiği gibi, FBI, korunan bilgileri çalmak için yasadışı ve aldatıcı uygulamalara girişen herkesin tutuklanması ve kovuşturulması için çabalıyor.”
İddianame ile eş zamanlı olarak, ABD Adalet Bakanlığı, Çin vatandaşı Jia Wei’ye karşı da ayrı bir iddianameyi açıkladı. Jia Wei, Mart 2017’de bir ABD merkezli ismi açıklanmayan bir iletişim şirketine sızarak, sivil ve askeri iletişim cihazlarına, ürün geliştirme ve test planlarına ilişkin gizli bilgileri çalmakla suçlanan Halk Kurtuluş Ordusu’nun (PLA) bir üyesi olarak tanımlanıyor.
Adalet Bakanlığı, “Yetkisiz erişimi sırasında Wei ve suç ortakları, ABD şirketinin ağına sürekli yetkisiz erişim sağlamak üzere tasarlanmış kötü amaçlı yazılımlar yüklemeye çalıştılar,” dedi. “Wei’nin yetkisiz erişimi yaklaşık olarak Mayıs 2017 sonuna kadar devam etti.”
Bu gelişme, Birleşik Krallık Ulusal Suç Ajansı’nın (NCA) 21 yaşındaki Vijayasidhurshan Vijayanathan ve 19 yaşındaki Aza Siddeeque adlı üç kişinin, siber suçluların bankaların dolandırıcılık karşıtı kontrollerini atlatıp banka hesaplarını kontrol altına almalarını sağlayan bir web sitesi işletmekten suçlu bulunduğunu duyurmasından haftalar sonra gerçekleşti.
OTP.agency adlı hizmet, aylık abonelerine banka hesap sahiplerini sosyal mühendislik yöntemleriyle kandırarak, gerçek tek seferlik şifreleri (OTP) veya kişisel bilgilerini ifşa etmelerini sağlamalarına olanak tanıdı.
Yeraltı hizmetinin, üçlünün tutuklanmasının ardından çevrimdışı hale getirildiği Eylül 2019 ile Mart 2021 arasında 12.500’den fazla kişiyi hedef aldığı söyleniyor. Operasyonun ömrü boyunca ne kadar yasadışı gelir elde ettiği şu anda bilinmiyor.
NCA, “Haftada 30 sterline mal olan temel bir paket, HSBC, Monzo ve Lloyds gibi platformlarda çok faktörlü kimlik doğrulamanın atlanmasına izin verdi, böylece suçlular hileli çevrimiçi işlemleri tamamlayabildi” dedi. “Elit bir plan haftada 380 sterline mal oluyor ve Visa ve Mastercard doğrulama sitelerine erişim sağlıyordu.”
