Siber güvenlik firması Proofpoint'in raporuna göre, mart ile haziran 2025 arasında Tayvan'ın yarı iletken endüstrisi ve finansal analistleri hedef alan koordineli siber casusluk faaliyetlerinde bir artış yaşandı. Bu saldırıların en az üç yeni ve belgelenmemiş Çin bağlantılı grubun (UNK_FistBump, UNK_DropPitch ve UNK_SparkyCarp) işi olduğu belirtiliyor. Dördüncü bir grup olan UNK_ColtCentury'nin (TAG-100 veya Storm-2077 olarak da biliniyor) ise hedefleriyle güven ilişkisi kurduktan sonra Spark adlı bir uzaktan erişim trojanı (RAT) kullandığı rapor ediliyor.
Bu saldırıların, ABD'nin ihracat kısıtlamaları ve Tayvan'ın gelişmiş çip üretimindeki hakimiyeti nedeniyle Pekin'in yarı iletken kendi kendine yeterliliğe yönelik uzun vadeli çabalarının bir parçası olduğu düşünülüyor. Saldırganlar, yarı iletken tasarımı, üretimi, testi ve tedarik zincirlerinde yer alan kuruluşların yanı sıra, Tayvan'ın yarı iletken sektörünü takip eden yatırım analistlerini de hedef almış durumda.
Proofpoint'in tahminlerine göre, hedef alınan kuruluş sayısı 15 ila 20 arasında değişiyor. Bunlar arasında orta ölçekli işletmelerden büyük küresel şirketlere ve en az bir ABD merkezli uluslararası bankanın analistleri de bulunuyor. Tayvan'ın önde gelen çip üreticileri TSMC, MediaTek, UMC, Nanya ve RealTek yorum yapmaktan kaçınırken, yapılan saldırıların hangi firmaları etkilediği veya başarıya ulaşıp ulaşmadığı henüz doğrulanmadı. Ancak tüm durumlarda saldırıların temel motivasyonunun "casusluk" olduğu belirtiliyor.
Saldırı kampanyalarında çeşitli yöntemler kullanıldı. UNK_FistBump grubu, iş arayanlar gibi davranarak ve PDF özgeçmiş kılığında zararlı dosyalar ekleyerek ele geçirilmiş Tayvan üniversite e-posta hesaplarından hedefli kimlik avı saldırıları başlattı. Bu dosyaların açılması, Cobalt Strike beacon'larının veya daha önce dünya çapında 70'ten fazla kuruluşa yönelik saldırılarla ilişkilendirilen Voldemort adlı özel bir C tabanlı arka kapının (backdoor) dağıtılmasına yol açtı. UNK_DropPitch ise büyük yatırım firmalarındaki finansal analistlere odaklanarak, sahte bir yatırım şirketindenmiş gibi davranıp zararlı PDF bağlantıları aracılığıyla DLL tabanlı zararlı yazılımlar içeren ZIP arşivleri indirdi.
Bu zararlı DLL dosyalarının, yan yükleme (side-loading) tekniği kullanılarak çalıştırılmasıyla HealthKick arka kapısı kuruldu veya 45.141.139[.]222 gibi saldırgan kontrolündeki sunuculara ters bağlantı açıldı. UNK_SparkyCarp ise farklı bir taktik izleyerek, sahte hesap güvenlik e-postaları göndererek kurbanları accshieldportal[.]com gibi kimlik avı sitelerine yönlendirdi ve giriş bilgilerini çalmak için özel bir araç kullandı. Bu, klasikleşmiş bir saldırı yöntemi olarak dikkat çekiyor.
Tayvanlı siber güvenlik firması Team5, Tayvan'ın yarı iletken endüstrisini hedef alan e-posta tabanlı tehditlerde bir artış olduğunu bildiriyor. Bu firmaya göre, saldırganlar genellikle daha küçük tedarikçilerin ve ilgili endüstrilerin zayıf güvenlik açıklarını kullanarak sisteme sızmaya çalışıyor. Örneğin haziran ayında, yarı iletken tedarik zinciri için kritik öneme sahip bir kimya şirketine Çin bağlantılı Amoeba grubunun bir kimlik avı kampanyası düzenlediği rapor edildi. Bu tür ikincil sektörlere (ham maddeler, lojistik veya danışmanlık gibi) odaklanma stratejisi, tedarik zincirinin daha az korunan noktalarından faydalanarak genel bir etki yaratmayı amaçlıyor.
Bu kampanyaların kapsamı ve ölçeği, Tayvan'ın yarı iletken hakimiyeti etrafındaki artan jeopolitik gerilimi gözler önüne seriyor. Proofpoint araştırmacıları, daha önce gündemde olmayan bazı kuruluşların da hedef alındığı konusunda uyarıyor. 2023 sonunda, Avrupa'nın en büyük çip üreticisi NXP'nin Chimera grubu tarafından iki yıldan uzun süre fark edilmeden ele geçirildiği ve hassas çip tasarımı fikri mülkiyetinin çalındığı ortaya çıkmıştı. Saldırganların bazen sadece bir veya iki son derece hedeflenmiş e-posta gönderdiği, diğer kampanyalarda ise tüm kuruluşları ele geçirmek için 80'e kadar e-posta kullanıldığı belirtiliyor.
Washington'daki Çin Büyükelçiliği, bu raporlara yanıt olarak siber saldırıların küresel bir sorun olduğunu ve Çin'in "her türlü siber suça kararlılıkla karşı çıktığını ve mücadele ettiğini" yineledi. Bu yılın başlarında, ABD Hazinesi'ne yönelik bir saldırı ve Guam'ın kritik altyapısını hedef alan Çinli hackerların keşfedildiği rapor edilmişti. Bu operasyonlar, hedefleme, araçlar ve taktikler açısından Çin bağlantılı siber casusluk gruplarının özelliklerini taşıdığı için açıkça Çin devlet çıkarlarıyla uyumlu görünüyor. Tayvan yarı iletken endüstrisi, küresel çip tedarik zincirinin merkezinde yer alması ve ABD'nin devam eden ihracat kontrol önlemleri göz önüne alındığında, dünyanın en değerli istihbarat hedeflerinden biri olmaya devam ediyor.
