PARA ARAŞTIRMA/ TAYGUN DELİOGLU Rusya'nın Ukrayna'ya yönelik askeri müdahalesi öncesinde başlayan ve Ukrayna'daki kritik kamu kurumlarını, bankaları, finans merkezlerini hedef alan siber saldırılar, 23 Şubat itibarıyla artışa geçti. Rusya tarafından desteklendiği iddia edilen aktörlerin yürüttüğü saldırılar ve Ukrayna'nın karşı saldırıları, geniş ölçekli bir siber savaşın başlangıcı oldu.
Söz konusu siber saldırıların devam ettiği saatlerde hem Ukrayna hem Rusya için dünya çapında tepkiler de gelmeye başladı. Özellikle Batı'dan gelen tepkiler doğrudan Rusya'yı hedef alıyor. Başta ABD ve İngiltere olmak üzere AB ve NATO'nun üst düzey isimleri, Rus siber operasyonlarını sert bir dille kınadı ve Ukrayna'ya açık destek verdi.
Rusya Ukrayna siber cephesinde süren savaşta Ukrayna'nın AB'den teknik destek talep etmesi sonucu öncelikle altı AB ülkesinden olumlu yanıt geldi ve gerekli adımların atıldığı, haberlere yansıdı. Diğer yandan NATO'dan gelen açıklamalar da Ukrayna'nın talebi halinde ülkenin ulusal siber altyapısının Rusya kaynaklı siber saldırılardan korunması amacıyla her türlü desteğin verebileceği şeklindeydi.
Ukrayna'ya Batı'dan gelen bu desteklere ilaveten Anonymous gibi küresel hack'tivist gruplardan da Ukrayna devletine destek geldi. İddialara göre Rusya'nın siber altyapısına saldırabileceklerini belirten grup, belirli üyeleriyle aktif olduklarını da belirtti.
Rus devlet televizyonlarını hack'leyerek Ukrayna'da yaşanan olayları paylaştılar ardından Putin'e ait olduğu iddia edilen 'Graceful' isimli lüks yata saldırı düzenlediler yatın deniz trafik verileri değiştirildi ve yat, Ukrayna'nın Rusya tarafından ele geçirilen Yılan Adası'nda kaza yapmış gibi gösterildi. Bunun ardından hacker'lar, yatın rotasını da değiştirerek hedef noktayı 'Hell (Cehennem) olarak düzenledi. Hell'in yanı sıra grubun da isminin 'Anonymous' ve 'Anonleaks' olarak görüldüğü hedef nokta, ayrıca Putin'e de küfür içerdi: 'FCKPTN'. Hackerlar, daha sonrasında bu saldırıyı düzenlemelerini sağlayan sistemi açığa çıkardı.
SİBER SEFERBERLİK BAŞLATTI İDDİASI
Diğer yandan Ukrayna hükümetinin ulus genelinde bir "siber seferberlik" başlattığı da söyleniyor. Basına yansıyan bilgilere göre hükümet, yeraltı platformlardaki bütün hacker gruplarına çağrı yaparak ülkenin siber savunması ve karşı ofansif siber operasyonlar için kurulacak olan siber orduya katılmalarını istedi.
Diğer taraftan, Ukrayna Dijital Dönüşüm Bakanı Mykhaylo Fedorov, Ukrayna siber altyapısını korumak ve Rusya'daki hedeflere siber operasyonlar yürütmek için "IT Army of Ukraine" adında bir ordu kurduklarını açıkladı. Grubun Telegram hesabında, Rusya'daki devlet kurumlarını ve büyük şirketleri de içeren bir liste paylaşıldı ve operasyonların başladığı belirtildi.
Halihazırda bir siber ordusu bulunmayan Ukrayna'nın Rus menşeli siber saldırılara karşı koyabilmek için böyle bir yöntem izlediği düşünülüyor. Bu girişimin Rus siber operasyonları karşısında ne kadar etkili olabileceği ise tartışma konusu.
DEVLET DIŞI SİBER AKTÖRLER DEVREDE
Rusya cephesinde de devlet dışı siber aktörlerin girişimleri söz konusu. Rus menşeli olduğuna dair çok güçlü iddialar olan ve dünyanın en etkili ransomware (fidye yazılımı) grupları arasında gösterilen Conti grubu, açık bir şekilde Rusya'ya destek vereceklerini ve siber operasyonlarda rol alacaklarını duyurdular. Grubun Tor ağında yer alan blogundaki açıklamada; Rusya'da ve Rusça konuşulan tüm bölgelerdeki unsurların herhangi bir siber saldırıya maruz kalması durumunda, ABD ve diğer karşı ülkelerin Conti tarafından hedef alınacağı belirtildi.
Aralık 2019'dan beri, özellikle Kuzey Amerika kıtasında büyük şirketleri ve devlet kurumlarını hedef alan Conti ransomware grubu, sızmayı başardığı sistemlerdeki gizli bilgileri çalmakta ve kendi bloglarında fidyenin ödenmemesi durumunda yayınlamaktadır. Grubun saldırı biçimine baktığımızda;
-İçinde zararlı WORD dosyası ya da zararlı link bulunan ve kişiye özel hazırlanmış oltalama mailler attığı,
-Çalınmış ya da zayıf şifre koruması bulunan RDP erişim bilgilerini kullanarak ilgili sisteme eriştiği,
-Sahte telefon çağrıları yaptığı,
-Arama motorlarına optimize edilmiş zararlı yazılım yüklü siteleri kullandığı,
-Kurumlara ait dışarıya açık bulunan sistemlerdeki yaygın zafiyetleri istismar ettikleri görülüyor.
-Grubun istismar ettiği bilinen en yaygın zafiyetler arasında;
-2017 Microsoft Windows Message Block 1.0 Server zafiyetleri (CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148,
-"PrintNightmare" zafiyeti olarak bilinen Windows'taki CVE-2021-34527
-"Zerologon" olarak bilinen Microsoft Active Directory Domain Controller sisteminde bulunan CVE-2020-1472 bulunuyor.
Aynı şekilde bir diğer ransomware grubu olan CoomingProject de benzer bir açıklamayı kanallarında yayınlayarak Rusya'ya açık desteklerini belirtti. Öte yandan Rusya ve Ukrayna arasındaki gerilime sadece fidye grupları dahil değil. Gerginliğin ivme kazandığı son bir haftada birçok tehdit aktörü, gerek doğrudan Ukrayna'yı hedef alan, gerekse ABD ordusuna ait bir dizi veriyi satışa çıkarmış ya da paylaşmış durumda.
Bahsi geçen bu veri satışlarından özellikle FreeCivilian hareketi, Ukrayna vatandaşlarını doğrudan ilgilendiren kritik bir örnek. Tehdit aktörünün satmakta olduğu verilerin arasında vatandaşların kimlik ve ehliyet bilgileri yer almakta. Ayrıca Dışişleri Bakanlığı, Sağlık Bakanlığı gibi birçok devlet kurumuna ait veri tabanları da şu an DarkWeb'de satışta.
DAHA DA BÜYÜYECEK
Hem Ukrayna hem de Rusya siber cephesinden gelen bu tür açıklamalar, iki devlet arasındaki siber savaşın devlet dışı aktörlerin de devreye girmesiyle daha da büyüyeceğini gösteriyor. Batılı ülkelerin ve NATO, AB gibi uluslararası örgütlerin sürece dahil olması da siber savaşın neden olacağı olumsuz etkilerin daha da genişlemesine neden olabilecektir.
Bu bağlamda odağımızı Türkiye'ye çevirdiğimizde, Rusya ve Ukrayna arasındaki gerilimin Türkiye'deki gerek devlet kurumlarını gerekse de savunma ve enerji alanında faaliyet yürüten şirketleri etkileyebileceği görülüyor. Türkiye'nin özellikle son yıllarda Ukrayna ile gerçekleştirmiş olduğu savunma iş birlikleri, Rusya destekli siber aktörler tarafından hedef alınabilecekleri yönünde değerlendirmeye neden oluyor. Ayrıca mevcut gerilimde Türkiye'nin bir NATO üyesi olarak yer alması ve çatışmaya yaklaşımda izlediği yol, devlet kurumlarının ve büyük şirketlerin özellikle DDoS ve ransomware saldırılarına uğrama olasılığını artırıyor.
SİBER SAVAŞTA HANGİ HACKER GRUBU HANGİ ÜLKEYİ DESTEKLİYOR?
Ukrayna'nın yanında olanlar:
Dünyanın en ünlü hacker grubu olan Anonymous, savaşta Ukrayna'nın yanında yer alıyor.
Anonymous'a bağlı bir hacker grubu olan GNG de aynı şekilde Ukrayna'yı destekliyor.
Geçtiğimiz günlerde Rusya merkezli bir banka olan SberBANK'a siber saldırı düzenleyen GNG, bu saldırıyı Ukrayna haklına destek vermek amacıyla yaptığını açıklamıştı.
Bunlar dışında DeepNetAnon, DDoSecrets, IŞİD'e ait web sitelerine saldırmak için kurulmuş olan Ghost Security gibi gruplar da Ukrayna'nın yanında yer alıyor.
Ayrıca IT Army of Ukraine, AgainstTheWest, SHDWsec, Belarusian Cyber Partisans, KelvinSecurity ve Raidforums Admin de Ukrayna'yı destekleyen hacker grupları arasında bulunduğu belirtiliyor.
Rusya'nın yanında olanlar:
Savaşta Ukrayna'yı destekleyen hacker gruplarının sayısı bir hayli etkileyici olsa da bu; siber açıdan en güçlü devletlerinden olan Rusya'nın yanında yer alan hacker grupları olmadığı anlamına gelmiyor.
Kritik altyapı konusunda son derece başarılı bir ekip olan Conti, tüm kaynaklarını Rusya'yı savunmak için Rusya'yı savunacağını belirterek siber savaşta Rusya'nın tarafında olduğunu açıklamıştı. Minsk merkezli hacker grubu UNC1151, savaşta Rusya'nın yanında yer alanlardan.
Ayrıca Rusya'nın tarafında yer alan Zatoichi, bilgi kirliliği yayarak siber savaşa destek veriyor.
Hacker grubu SandWorm da Rusya'yı destekleyenler tarafında bulunuyor.
Ayrıca Freecivillian, The Red Bandits ve Coomingproject'in de Rusya'yı destekleyen hacker grupları olduğu belirtiliyor.
