Ruslar Siber Hibrit Savaşı Çoktan Başlattı!
Trump’ın ilk başkan seçildiği süreçten itibaren ABD ve Rusya, birbirlerine karşı operasyonlar düzenlemek üzere aktif olarak bilgisayar korsanları işe aldıklarını iddia ettiler. Bu, iki ülke arasında siber savaşın başladığının ilanıydı.
Nitekim birkaç yıl önce ABD Başkanı Joe Biden, Rusya’nın ülkesine karşı siber saldırı hazırlığı içinde olduğuna dair istihbarat aldıklarını söylemiş, ABD’deki tüm kuruluşlardan önlem almalarını istemişti. Korkmakta haklılar çünkü Rusya, elinde önemli siber araçlar ve yıkıcı saldırılar düzenleme kapasitesine sahip bilgisayar korsanları bulunan bir siber süper güç. Rus siber birimlerinin efsane saldırılarından söz edelim.
BlackEnergy – Altyapıyı hedef alan kritik saldırılar
Rusya sık sık Ukrayna üzerinde siber saldırı teknikleri deniyor. 2015’te Ukrayna elektrik şebekesi, DDoS saldırıları, siber casusluk ve bilgi imha saldırıları yapmak için kullanılan bir Trojan olan BlackEnergy denilen bir virüsün saldırısına uğramış, ülkenin batısındaki bir elektrik şirketinin 80 bin müşterisi kısa bir süre karanlıkta kalmıştı.
NotPetya – Kontrolsüz yıkım
NotPetya, tarihteki en pahalı siber saldırının kaynağı olarak görülen bir yazılım. ABD, Avrupa Birliği ve İngiltere, bu yazılımla ilgili olarak askeri Rus korsanlarını suçluyor. Ukrayna’da kullanılan popüler bir muhasebecilik yazılımının güncellemesi arasına saklanan bu yazılım, tüm dünyaya yayılarak binlerce şirketin bilgisayar sistemlerini tahrip etmiş ve yaklaşık 10 milyar dolar zarara neden olmuştu. Kuzey Koreli bilgisayar korsanları da benzeri bir saldırı düzenlemekle suçlandı.
Colonial Pipeline – Boru hattı saldırısı
2021’in Mayıs ayında bilgisayar korsanları önemli bir petrol boru hattını devre dışı bırakınca ABD’nin bazı eyaletlerinde olağanüstü hal ilan edildi. Colonial Pipeline adındaki boru hattı, ABD’nin doğu kıyısına verilen akaryakıtın yüzde 45’ini taşıyordu ve kapanması birçok tüketicinin panik içinde benzin istasyonları önünde kuyruk olmasına yol açtı.
Saldırıyı Rus hükümeti için çalışan bilgisayar korsanları değil, ancak merkezi Rusya’da olduğu sanılan DarkSide adındaki grup düzenlemişti. DarkSide, kurbanları fidye yazılımı ve gasp kullanarak hedef alan, Rusya merkezli olduğuna inanılan bir siber suçlu bilgisayar korsanlığı grubu. Boru hattını işleten şirket, bilgisayar sistemini tekrar çalıştırabilmek için korsanlara takip etmesi zor olan sanal para birimi Bitcoin’le 4,4 milyon dolar ödediğini kabul etti.
Dünya genelinde siber saldırılar
2023’ün Ekim, Kasım ve Aralık ayları boyunca dünya genelinde en çok siber saldırı toplayan ülkeler, oltalama yöntemi yani Honeypot (Bal küpü-tuzak sunucu)’larına toplam 1 milyon 836 bin saldırı yansıdı. En çok saldırıyı yapan ülke, 227 bin ile Rusya olurken, 141 bin ile ABD ikinci sırada yer aldı. Bu ülkeleri sırasıyla Polonya, Estonya, Ukrayna, Hindistan, Vietnam, Singapur, Bulgaristan ve İran izledi.
Eylül 2024’te ABD, İngiltere, Ukrayna, Avustralya, Kanada ve beş Avrupa ülkesinden oluşan geniş bir Batılı hükümet ajansları grubu; Ukrayna, ABD ve Avrupa, Asya ve Latin Amerika’daki diğer ülkeleri hedef alan çok sayıda bilgisayar korsanlığı operasyonu başlatan Cadet Blizzard, Bleeding Bear veya Greyscale olarak bilinen bir bilgisayar korsanı grubunun aslında GRU’nun 29155. Birimi’nin bir parçası olduğunu açıkladı.
ABD federal siber güvenlik kurumu, Ocak ayında Microsoft’a yönelik siber saldırının arkasında Rusya devletine bağlı Midnight Blizzard grubundan Rus bilgisayar korsanlarının olduğunu doğruladı. Diğer federal kurumlara, hesaplarının daha da güvenli hale getirilmesi ve ilgili e-postaların analiz edilmesi yönünde bir talimat yayınladı.
Rusya, son dönemde siber savaş çalışmalarını genişletmeye yönelik önemli adımlar atıyor. Özellikle Ukrayna ile yaşanan savaşın ardından, hibrit savaş taktikleri çerçevesinde siber saldırılar ve dezenformasyon kampanyalarının yoğunlaştırıldığı görülüyor.
Rus hackerlar, Avrupa’nın enerji güvenliğini tehdit ediyor.
Batılı istihbarat kaynaklarına göre, Rusya’yla bağlantılı gruplar, hem kamu hem de özel sektöre yönelik siber casusluk ve fidye yazılım saldırıları düzenliyor. Ayrıca sosyal medya platformlarında sahte hesaplar kullanarak kamuoyunu etkileme ve bölme yaratma çabalarına dikkat çekiliyor.
Rusya’nın bu alandaki taktikleri, NATO üyesi ülkeler ve Ukrayna’ya destek veren diğer devletleri hedef alıyor. Ayrıca seri ve hızlı servis dışı bırakma, yani DDoS saldırıları ve veri işlemleri gibi hacktivist operasyonların arttığı rapor ediliyor.
Örneğin, Avrupa’daki kritik altyapılar ve siyasi kurumlar, Rusya’nın etki alanına giren potansiyel hedefleri arasında yer alıyor. Bu gelişmeler, hibrit savaşın gelecekte daha karmaşık hale geleceğine dair endişeleri artırıyor ve uluslararası siber savunmayı güçlendirme çabalarını hızlandırıyor.
Moskova’nın hibrit savaş stratejisi, yalnızca teknik saldırılarla sınırlandırılmıyor; Batı’nın siyasi istikrarını bozmayı ve toplumsal desteği artırmayı da amaçlıyor. Ancak ekonomik ve askeri kısıtlamalar nedeniyle bu stratejinin tam anlamıyla başarılı olması mümkün değil gibi.
Bu bağlamda Rusya’nın siber savaşa yönelik devamlılığının artırıldığı ve hibrit savaş taktiklerinin gelişmiş bir güce dönüştürüldüğü düşünülebilir. Ancak bu tür faaliyetler, uluslararası gelişmelerde büyük gerilimlere yol açmakta ve Batılı ülkeleri de daha güçlü savunma politikaları geliştirmeye yöneltmektedir.
Tüm dünyanın siber korsanları birleşin
Marksist “bütün ülkelerin işçileri, birleşin!” söylemi günümüzde yeniden işlevselleşiyor ama bir farkla. Bu kez birleşenler işçiler değil, siber korsanlar. Bu popüler slogan, Kremlin’in bilgisayar korsanlarından oluşan ekipler oluşturma planına ışık tutuyor.
Rus hükümetinin işe alımcıları, üç yıldan fazla bir süredir, izole sığınaklarda çalışan askeri görevlilere güvenmek yerine, çok çeşitli programcıları araştırıyor, sosyal medya sitelerinde öne çıkan reklamlar yayınlıyor, üniversite öğrencilerine ve profesyonel kodlayıcılara iş teklif ediyor ve hatta potansiyel yetenekler için Rusya’nın suç dünyasında arama yapmaktan açıkça bahsediyor.
Bu adayların askeri sözleşmeli şirketler ve ülke genelindeki askeri üslerde kurulan bilim filoları adı verilen yeni birimler arasında geçiş yapması amaçlanıyor. Rusya; Birleşik Krallık ve diğer müttefiklerin Ukrayna’ya desteğini zayıflatmak amacıyla siber saldırılar düzenliyor. İngiliz siber güvenlik uzmanlarına göre, Kremlin ileriki aşamada İngiliz şirketlerini hedef alabileceği gibi milyonlarca insanı elektriksiz bırakabilir.
Rusya’nın siber savaş yetenekleri
Rus istihbaratıyla bağlantılı bir hacker grubu olan Sandworm’un gözünü Avrupa enerji şebekelerine dikmesi, Kremlin’in siber savaş kabiliyetinde bir tırmanışa işaret ediyor.
Sandworm hakkında bilinenler
Sandworm’un ünü kendisinden önce geliyor. Resmi olarak Rusya’nın GRU askeri istihbarat birimine bağlı olan grubun yıkıcı siber saldırılarla dolu bir geçmişi var. Ukrayna’da 2015 yılında yaşanan elektrik kesintisini organize etmiş ve 2023 yılında Ukrayna elektrik şebekesinde bir başka büyük kesinti gerçekleştirmişti.
Grubun taktikleri, verileri silen veya sistemleri devre dışı bırakan siliciler gibi yıkıcı kötü amaçlı yazılımları, söylemi etkilemeyi veya hacktivist gruplara yardım etmeyi amaçlayan bilgi hırsızlığı ile harmanlıyor.
Sandworm, Rusya’nın Ukrayna’daki askeri kampanyasını desteklemede önemli bir rol oynadı ve Kremlin’in cephaneliğindeki en aktif ve tehlikeli siber aktör haline geldi. Diğer pek çok hack grubunun aksine Sandworm’un operasyonları sadece yıkıcı değil, aynı zamanda son derece stratejik ve genellikle Moskova’nın daha geniş jeopolitik hedefleriyle uyumlu.
Rusya’nın Ukrayna’da devam eden savaşının rahatsız edici manzarasında, siber güvenlik en kalıcı gizemlerden biri olmaya devam ediyor.
Başlıca Rus siber aktörleri şunlardır:
-FSB: Federal Güvenlik Servisi (Federalnaya Sluzhba Bezopasnosti), büyük bir iç güvenlik ve istihbarat teşkilatıdır. Siber alanda, FSB’nin yetenekleri, teşkilatın 1990’ların sonlarından beri inşa ettiği 18. Merkez veya Bilgi Güvenliği Merkezi ile FSB’nin 2003 yılında Rus elektronik istihbarat (ELINT) teşkilatı, Federal Hükümet İletişim ve Bilgi Ajansı (FAPSI) ve FSB’nin 16. Merkezi veya İletişimde Elektronik İstihbarat Merkezi arasında bölünmüştür.
-SVR: Dış İstihbarat Servisi (Sluzhba Vneshney Razvedki), Rusya’nın casusluk teşkilatıdır ve KGB’nin dış istihbarat şubesinin doğrudan halefidir. Teşkilat hiçbir zaman yapısal reformlardan geçmedi, ancak siber dahil olmak üzere 2010’larda yetenekleri önemli ölçüde genişletildi.
-GRU: Ordu istihbaratı GRU, Rusya ordusunun siber kabiliyetleri, Rusya Genelkurmay Başkanlığı’na bağlı iki müdürlük tarafından yönetiliyor. Bu iki müdürlük, operasyonları yürütüyor ve Rus siber birliklerini ve askeri araştırma ve geliştirme çabalarını denetliyor. Siber komuta, 2010’ların başında yapılan birkaç girişime rağmen hiçbir zaman başlatılmadı. GRU’nun 29155 numaralı birimi, darbe girişimleri, suikastlar ve bombalamalardan sorumlu bir ekip olup, dünyanın dört bir yanındaki hedefleri hedef alan bilgisayar korsanlığı operasyonlarına girişti.
-Başkanlık İdaresi: Komünist Parti Merkez Komitesi’nin doğrudan halefi olan Başkanlık İdaresi, Rusya’nın istihbarat ve güvenlik servislerini denetler. İdarenin ayrılmaz bir parçası olan Rusya Güvenlik Konseyi, siber dahil olmak üzere ulusal güvenliğin tüm alanlarında stratejik düşünce sağlar. Ayrıca Moskova ve Washington arasında bir siber “kırmızı çizgi” de dahil olmak üzere Batılı mevkidaşlarıyla iletişimi sürdürmekle görevli bir hükümet organıdır.
-Özel siber güvenlik şirketleri: Bu şirketler, resmi ve gayriresmi temas ağları aracılığıyla Rusya’nın siber çabasına bağlıdır. Rolleri, uzmanlık sağlamak ve işe alım çabalarına yardımcı olmaktır.
Rusya’nın siber korsanları o kadar başarılı ki ABD ve “Beş Göz” müttefikleri (Avustralya, Kanada, Yeni Zelanda ve Birleşik Krallık) tarafından gelen yeni duyuru, Ukrayna’nın SBU güvenlik servisinin, Rus bilgisayar korsanlarının Ukrayna ordusunun “savaş görevlerini planlamak ve gerçekleştirmek” için kullandığı Android tabletlere sızmaya çalıştığını tespit eden raporunu doğruluyor.
SBU’ya göre, Rus hackerların kötü amaçlı kodu, milyarder Elon Musk’ın şirketinin yaptığı Starlink uydu sistemine, askerlerin mobil cihazlarından gönderilen verileri çalmak için tasarlanmıştı. CNN daha önce Starlink uydularının Ukrayna’nın savaş alanındaki iletişimleri için hayati önem taşıdığını bildirmişti.
Türk-Rus hacker dayanışması
Financial Times’ın özel haberine göre, Türkiye’deki siber suçlar, bu evrimin son örneği olarak karşımıza çıkıyor. Türkiye’deki siber suçluların, Rus “göçmen” bilgisayar korsanlarıyla iş birliği yaparak, on milyonlarca yeni çalınmış kişisel kimlik bilgisini kullanma yoluna girdiği ortaya çıktı.
Rus hackerlar, Türk hackerları eğitiyor: Çalıntı kredi kartı sayılarında artış, Putin’in zorunlu askerlik uygulamasından kaçan göçmen hackerların çalınan finansal verilerle ilgili faaliyetlerde artışa yol açtığı öne sürüldü.
Türkiye’de yaşanan bu siber suç dalgası, Rusya’da yaşanan siyasi ve ekonomik gelişmelerin ardından Türkiye’ye göç eden birçok kişiyle ilişkilendirilmektedir. Birçoğu eğitimli yazılım mühendisi olan binlerce Rus göçmen, Vladimir Putin’in Ukrayna’daki savaş nedeniyle Rusya’dan ayrılmasının ardından Türkiye’ye sığındı. Ancak, bu göçmenlerin bir kısmı geçimlerini sağlamak amacıyla çevrimiçi dolandırıcılık ve sahtekarlık gibi düşük seviyeli suçlara yöneldiler.
Suriye’de siber korsanlar cepheye indi mi?
Suriye rejim ordusu ve ABD destekli Suriye Demokratik Güçleri (ki biz bunlara PYD/YPG diyoruz), muhaliflerin saldırıları karşısında ciddi direniş gösterememesinin nedeni, Türk Siber Saldırı Birimlerinin, düşmanın muhabere/haberleşme/iletişim ağını çökertmesi olabilir mi? Belki de radar sistemlerini kilitlediler. Suriye savaş uçakları havalanamadı. Ne dersiniz?
Kısmi Kaynakça
https://www.bbc.com/news/articles/ceqxezer7nqo
https://mbrteknoloji.com.tr/turkiyedeki-siber-suclar/
https://www.bbc.com/turkce/haberler-dunya-60846366
https://www.wired.com/story/russia-gru-unit-29155-hacker-team/
https://www.infosecurity-magazine.com/news/russian-hackers-target-ukrainian/
https://edition.cnn.com/2023/08/31/politics/military-hackers-russia-ukraine/index.html
https://cepa.org/comprehensive-reports/russian-cyberwarfare-unpacking-the-kremlins-capabilities/
https://www.abc.net.au/news/2021-05-10/cyber-attack-fuel-pipeline-united-states-darkside-colonial-pipe/100127554
https://www.stm.com.tr/tr/medya/haberler/stm-2024un-ilk-siber-raporunu-acikladi-rusya-ve-abd-siber-saldirilarda-basi-cekiyor
https://www.usine-digitale.fr/article/des-hackers-russes-sont-bien-a-l-origine-de-la-cyberattaque-contre-microsoft-en-janvier.N2211490
https://www.nytimes.com/2016/12/29/world/europe/how-russia-recruited-elite-hackers-for-its-cyberwar.html?auth=login-google1tap&login=google1tap
https://www.aa.com.tr/en/russia-ukraine-war/russian-diplomat-claims-west-actively-recruits-hackers-to-carry-out-operations-against-moscow/2838994
https://www.google.com/amp/s/www.ntv.com.tr/amp/teknoloji/rus-hackerlar-turk-hackerlari-egitiyor-calinti-kredi-karti-sayilarinda-artis,XGal-LAgoEyhlADvT5eowA