Siber saldırılar, modern savaşların önemli bir parçası haline gelmiş durumda. Bunun son örneğini Rusya’nın Ukrayna saldırısında görmek mümkün. Bu savaşta daha çok demoralizasyon ve bilgi kirliliği olarak hizmet ediyor gibi görünse de siber saldırıların savaşın gidişatına etkisini küçümsememek gerekiyor.
Rus güçlerinin Ukrayna’ya girişinden bir gün önce, Ukrayna’ya ait çeşitli kamu servislerinde yaşanan dağıtık hizmet reddi (DDoS) saldırıları, başta hükümet ve iç işleri olmak üzere çeşitli kamu kurumlarını etkiledi. Rusya’nın Ukrayna’ya yönelik siber saldırılarının savaştan bağımsız olarak, ilk kez yaşanmadığını da hatırlatalım. 2017 yılında aralarında Türkiye’nin de olduğu birçok ülkedeki kamu ve özel kuruluşları hedefleyen NotPetya saldırısı da ülkede ciddi bir ekonomik buhran yaratacak düzeyde etki etmişti. Bu saldırı, tıpkı savaşın başlamasından önceki gün olduğu gibi DDoS saldırılarıyla sistemleri talebe boğarak erişilmez hale getirmenin yanı sıra, dosyalara zarar veren, veri silen bir zararlı yazılımın sistemlere hızla bulaşmasını içeriyor.
Kamu hizmetlerinin erişilmez hale gelmesi elbette can sıkıcı ve mali yönü başta olmak üzere birçok olumsuz etkiye de sahip. Ancak, savaş esnasında elektronik haberleşme, savunma ve harp sistemlerinin yaygınlığı, bir siber saldırıyı herhangi bir başka zamankinden çok daha etkili hale getiriyor. Ukrayna, bir süredir sınırlarına yığılan Rus güçlerinin ülkeye girişi ile sadece askeri olarak değil, teknolojik olarak da bir seferberlik başlattı. Hükümet ülkedeki bilgi teknolojisi uzmanlarını, daha kesin belirtmek gerekirse, hacker’ları ve siber güvenlik uzmanlarını göreve çağırdı. Siber ortamdaki Rus saldırılarını durdurmak, önlemek ve Rus sistemlerine benzer şekilde yanıt verebilmek için konunun uzmanlarından destek arayışı başlarken, savaşta kendisini Rusya’nın karşısında konumlandıran ülkeler ve gruplar da Ukrayna’ya yardıma koştular.
Bunların başında dünyanın dört bir yanından üyelere sahip, meşhur Anonymous geliyor. Kremlin’e dijital bir savaş açan hacker grubunun ilk faaliyetinin 26 Şubat’ta Rus hükümetine ait bazı web sitelerinin erişilmez hale getirilmesi olduğu düşünülüyor. Rusya devletine bağlı haber sitesi rt.com da Anonymous yapsa da yapmasa da bu saldırılardan nasibini aldı.
Filmlerden gerçeğe siber savaş…
Bu saldırıların ne kadar etkili olacağını ise açıklamak için, üstelik barış koşullarında yaşanan eski vakalara bakmak yeterli. 2010 yılında İran’daki iki nükleer santrali kapatacak kadar güçlü bir etki yaratan Stuxnet zararlı yazılımının sistemlere İsrail tarafından bulaştırıldığı iddia edilmişti. 2021’de yaşanan bir olayda ise bu iki santralden biri olan Natanz, yeniden faaliyetlerini sonlandırmak durumunda kaldı ve bu kez İsrail siber sabotajı doğruladı. Daha düşük koordinasyonlu örneklere bakmak isterseniz, tıpkı 1983 yılında benzer bir hikayeyi anlatan War Games filmindekine benzer şekilde, 15 yaşındaki James Jonathan adlı gencin 1999 yılında NASA’nın sistemlerini hack’leyerek kurumun 21 gün kapatılmasına sebep olduğunu söyleyebiliriz. 2015 yılında yine Ukrayna’daki bir enerji şebekesine yapılan siber saldırı da birkaç saat boyunca bölgedeki evlere elektrik verilememesine sebep olmuştu. Gelin Ukrayna-Rusya siber cephesindeki güncel detayları uzmanlardan dinleyelim…
Savaşın siber yüzünde neler oluyor?
Alev Akkoyunlu Laykon Bilişim Operasyon Direktörü
Siber savaşlar, genellikle ülkelerin savaş hedeflerini tam olarak karşılayamasa da sıcak savaşın yanında saldırıya uğrayan ülkenin bankacılık, kamu ve askeri işleyişlerini ciddi anlamda sekteye uğratabilir. Rusya-Ukrayna savaşında vatandaşların ilgisi dijitalin dışında kaldığı için henüz siber saldırılara ait bir rapora ulaşamasak da iki tarafın da aktif olarak siber saldırıları kullandığını biliyoruz. Ocak ayından itibaren Ukrayna Dışişleri Bakanlığı ve Ukrayna Eğitim Bakanlığı da dahil olmak üzere 70’ten fazla hükümet web sitesinin hacklendiğini ya da DDoS gibi ataklarla bazı hizmetlerin geçici süreyle sekteye uğratıldığını gözlemledik. Siber saldırılara gerek duyulmuyor olabilir çünkü kritik bir altyapıyı bombalamak, o altyapıyı siber saldırı ile işlevsiz hale getirmekten daha kolay bir adım. Ancak bununla beraber tüm vatandaşlara ait verilerin ilgili kamu idarelerinden geri getirilemeyecek şekilde silindiğini düşünün. Bu tarz bir saldırı fiziksel olarak bölgeye egemen olunmasını sağlamasa da karşı devleti ve halkını işlevsiz hale getirecektir.
Şu an Rusya’nın siber güçleri kullanmadığına dair bir algı oluşmuş olsa da elimizde bunu kanıtlayacak herhangi bir veri bulunmamaktadır. Rus tarafı, saldırıların hedefindeki bir bölgede kullanılan askeri cihazları etkisiz hale getirdikten sonra yine aynı bölgeyi askeri güç kullanarak tamamen işlevsiz hale getirdiğinde, hack’leme girişimine yönelik kanıtların da ortadan kalktığını söyleyebiliriz. Bununla birlikte Ukrayna tarafı da uluslararası hacker grupları tarafından destekleniyor. Dolayısıyla Rusya merkezli saldırıların birçoğu engelleniyor diyebiliriz. Siber savaş cephelerine baktığımızda Ukrayna’yı destekleyen hacker grupları; Anonymous, GNG, AgainstTheWest, SHDWsec,Ghost Security, Belarusian Cyber Partisans, KelvinSecurity, RaidforumsAdmin iken Rusya’yı; SandWorm, Zatoichi, TheRedBandits, Freecivillian, Conti ve UNC1151 destekliyor.
Sonuç olarak savaş bu seyirde giderse geniş çaplı siber saldırılara ihtiyaç duyulacağını düşünmüyoruz. Aktif bir savaş ortamında bir şehri ele gveçirdikten sonra o şehirdeki elektrik alt yapısını veya kamusal hizmetleri duracak seviyeye getirmeye ihtiyaç kalmayacaktır.
Ukrayna’da siber savaş
Can Erginkurban ESET Türkiye Ürün ve Pazarlama Müdürü
ESET, merkezi Avrupa Birliği içinde olan dünyanın en büyük siber güvenlik şirketlerinden biri ve alanında lider konumda. Kurulduğu günden bu yana işi sadece siber güvenlik olan; başka bir iş ortağı, faaliyet alanı veya politik bir bağı olmayan bir üretici. Elde ettiğimiz verilere göre; 2014’ten bu yana Ukrayna’da hedefli siber saldırılarda (APT saldırılarında) artış gözlemliyoruz.
Bu siber saldırılar ve Ukrayna’daki jeopolitik çatışma ilgisizmiş gibi davranamayız. Fakat altını özellikle çizmeliyiz ki ESET olarak biz ulus devletleri bu olaylarla ilişkilendirecek durumda değiliz, işin bu tarafı istihbarat servislerini ilgilendiriyor. Tüm bulgularımız algılama telemetrimize, zararlı yazılım analizimize ve araştırmalarımıza dayanıyor. Tespit ettiğimiz saldırıları bir APT grubuna, kümeye, operasyona veya saldırı kampanyasına bağlıyoruz.
Elde edilen veriler siber savaşın Ukrayna’da çok daha önceden başladığını ve küreselleşmenin de etkisiyle olumsuz sonuçlarının dünyanın birçok yerinde şirketleri etkilediğini gösteriyor. Kullanıcıların ve BT yöneticilerinin dikkatli olması gerekiyor.
Yıllardır Ukrayna’ya karşı hedefli kampanyalar yürüten en dikkat çekici APT gruplarından bazıları: Sandworm, Sednit, Lazarus, The Dukes, InvisiMole, Gamaredon, Buhtrap olarak ortaya çıkıyor. 2013’ün sonundan bu yana Ukrayna’daki yüksek değerli hedeflere karşı daha fazla kampanya gözlemliyoruz. Önceki yıllarda bile (2012) Ukrayna’da BlackEnergy saldırıları gördük. Bir yıl kadar sonra Industroyer ortaya çıktı. Bir elektrik trafo merkezine saldırıldı. Enerji sektörüne karşı saldırılara GreyEnergy kümesi devam ederken ağırlıklı olarak finans sektörüne karşı saldırıları TeleBotlar düzenledi. Haziran 2017’deki ünlü NotPetya salgınının arkasında da TeleBotlar vardı. Saldırının başlamasından sadece birkaç saat sonra potansiyeli önce bölgede ve sonrasında da küresel olarak hissedildi. Küresel olarak yayılmasını nedeni, NotPetya’nın EternalBlue istismarını kullanarak ağ solucanı olarak yayılmasıydı ve birçok küresel şirketin Ukrayna’da şubeleri veya ağ bağlantıları vardı. Bu sahte fidye yazılımının neden olduğu hasar 10 milyar doların üzerine çıktı ve bu sayı muhtemelen ulaşım devleri Maersk ve Fedex, Rus petrol şirketi Rosneft veya ABD merkezli ilaç şirketi Merck gibi en büyük kurbanlar tarafından bildirilen ve buzdağının sadece görünen kısmı.
Son olaylara bakacak olursak, 23 Şubat’ta Rus askeri işgalinden bir gün önce, bir dizi DDoS saldırısı oldu. Hemen arkasından Ukrayna’daki bilgisayarları hedef alan çok daha yıkıcı bir saldırı daha keşfettik. HermeticWiper dediğimiz zararlı yazılım saldırısı, Ukrayna yerel saatiyle 17:00’den Rus işgalinden sadece birkaç saat önce başladı. İkinci zararlı yazılım parçası, yerel ağda diğer ulaşılabilir makineleri bulmaya çalışan ve HermeticWiper’ı yerel ağa dağıtan bir solucan olan HermeticWizard’dı.
Kötü amaçlı yazılımın üçüncü parçası HermeticRansom adlı fidye yazılımıydı. Go dilinde yazılmıştı ve HermeticWiper ile aynı anda dağıtıldı. Kısa bir süre sonra, Ukrayna’da konuşlandırılan başka bir zararlı tespit ettik: IsaacWiper.
Saldırganların ana hedefleri
- CASUSLUK & VERİ TOPLAMA: Dosya çalma, tuş kaydetme, ekran görüntüsü alma vb.
- SABOTAJ: Farklı bileşenler kullanıldı
- BlackEnergy pluginleri
- KillDisk variantları
- NotPetya ve diğer sahte fidye yazılımları
- HermeticWiper, IsaacWiper ve diğerleri
Buraya kadar buzdağının sadece bildiğimiz kısmı. Ukrayna son sekiz yıldır siber saldırılar açısından ağır ateş altındaydı.
Sırada ne var?
- Saldırıların devam edeceği kesin. Öte yandan, savaş artık sahaya indiği için APT seviyesindeki siber saldırılarda bir artış olacağını düşünmüyoruz. Genel olarak saldırıların artmamasını fakat devam etmesini bekleyebiliriz.
- Makale Ukrayna’ya odaklandı ancak grupların çoğu zaman içinde diğer ülkeleri de hedef aldı.
- Kullanıcıların ve BT yöneticilerinin tetikte olması gerekir.
- ESET hem uç nokta güvenlik çözümlerinde koruma sağlamak ve geliştirmek hem de özel raporlar yayınlamak için tehdit istihbaratı sağlamaya ve saldırganların faaliyetlerini izlemeye devam edecek.
Bu yazı Digital Report Dergisi 13. sayısında yayınlanmıştır.
