24 Mart 2022

Rusya, Ukrayna işgalinde siber saldırı kullanıyor mu?

5 ay önce yayınlanan bir raporu temel alan Microsoft, Devlet destekli saldırıların yüzde 58'inden Rusya'nın sorumlu olduğunu söylüyordu

Perestroyka sonrası dönemlerde Moskova'ya, o zaman çalıştığım şirketin işleri dolayısıyla gittiğimde şaşkınlıkla öğrendiğim bir konu, orada çeşitli inşaat projelerinde çalışan Türk mühendislerin çocuklarını "Rus devlet okulları"na vermeleriydi. Bunun nedeni, ilkokuldan itibaren verilen "uygulamalı matematik" dersinin başarısıydı.

Biz bu başarıyı, 2000'lerden sonra siber dünyada görmeye başladık. Önce sadece "yapabiliyorum, o zaman yaparım" şeklinde siber saldırılar, sızmalar, virüsler vs., daha sonra kurulan çeşitli para çalmaya yönelik düzenler. Özellikle Amerikan şirket ve bankalarına yapılan saldırılar. Arkasından ABD’nin peşine düştüğü ve bazen çaldıkları paralar sayesinde gezerken yakaladığı Rus hackerlar.

3 yıl önce Amerikalı CrowdStrike firmasının yaptığı bir araştırma bu durumu "Rus Hackerlar, Çinlilerden 13, İranlılardan 16, Kuzey Korelilerden 6 Kat Hızlı" diyerek özetliyordu[1]. Bu araştırma kurulan "Honey Pot" üzerinden yapılmıştı. Rusların beceri düzeylerini buradan da anlamak mümkün.

Peki bu Rus becerisi nerede?

Şimdi soru şu: Ukrayna işgali başladığından bu yana Rusların fiziksel alanda düşe kalka (asker, helikopter vs. kaybederek) savaştığını görüyoruz. Hipersonik silahını bile gördük. Nükleer tehditinde bulunuyor. Peki, siber yeteneğini neden görmüyoruz?

Öyle ki, 5 ay önce yayımlanan bir raporu temel alan Microsoft, devlet destekli saldırıların yüzde 58'inden Rusya'nın sorumlu olduğunu söylüyordu. Onu Ukrayna, İngiltere ve Avrupalı NATO üyeleri izliyor. Aynı rapor Çin için yüzde 10 diyor[2].

Ama Rusya konusunda aslı beklenti, Estonya benzeri bir saldırıydı. 2007 yılında Estonya'ya yapılan 4 günü yoğun, birkaç hafta süren saldırı ülkeyi felce uğratmıştı. Arkasında kimin olduğu ortaya çıkmasa da, hemen olayın niteliği, hem de saldırının görülebilen yüzü nedeniyle Rusların saldırdığı düşünüldü. Farkındalığı en üst düzeye taşıyan bu olay sonrasında AB ve NATO konuya yönelik çalışma başlattı. Estonya'da bir "Siber Mükemmeliyet Merkezi" kuruldu. NATO her sene burada "Kilitli Kalkanlar" adı verilen bir siber tatbikat yapar ve bu tatbikata pek çok NATO üyesi katılır.

Gerçi savaştan 1,5 ay kadar önce Ukrayna'nın 70 kadar (Microsoft kullanan) devlet sitesine fidye görünümlü saldırı oldu. Ama Ukraynalılar bu konuda Microsoft'un aksine "bir şey olmadı" açıklaması yaptılar. Dolayısıyla Ukrayna olayında -gelgeç olaylar dışında- Rusya'dan neden Estonya benzeri büyük bir siber saldırı göremedik? Ya da Ukrayna, Estonya kadar küçük olmadığından mı?

Ya da yanlış soru mu? Yani görüyor muyuz yoksa?

Lapsus$ ve 2-3 ayda hacklediği devler

Son 2-3 aydır Lapsus$ isimli siber saldırganların adeta dansını görüyoruz. Dünyanın en büyük şirketlerinin en gizli bilgilerini tıkır tıkır alıyor ve internette sunuyorlar. En son numaraları Microsoft'un hacklenmesi 2 gün evvel duyuldu.

Bunu yanlış anlamayın, Microsoft'un yazılımlarında hep açıklar gördük. Önce bireylere ve zamanla küçük-orta seviye firmalara hitap eden bu yazılımlar hep bir yerlerinden patlar, "zero day" açıkları görürüz. Bu nedenle de Microsoft düzenli olarak her ay bu açıklara karşı yamalar içeren bülten yayımlar. Çünkü bu açıklar sonucunda, bu yazılımları kullanan firmaların siber saldırıya uğraması, verilerinin ortaya çıkması vs gibi durumlar söz konusudur. Örneğin geçen yıl bu zamanlar hacklenen Microsoft Exchange[5] olayı.

Ama bu sefer hacklenen, yazılımları kullanan firmalar değil, Microsoft'un kendisi. Üstelik şirketin asıl mal varlığı (asset) olan kaynak kodları çalınmış. Ne kadarı çalındı, ne oldu kendileri raporlarlar ama 37 GB'lik bir veriden bahsediliyor. Microsoft bunun altında bakalım nasıl kalkacak[6]?

Bu kadar mı? Hayır değil!

Lapsus$, Samsung'undan, Nvidia'sına, Vodafone'una, Okta'sına kadar bir çok şirketi son 2-3 ayda hacklemiş durumda. Hani, Nvidia'yı 3 ay önce, Samsung'u 5 ay sonra, Microsoft'u 8 ay sonra değil. Takır takır, üst üste dünyanın en büyük şirketlerinin, en değerli verilerini kısa bir sürede aldı.

Öncesinde Brezilya Sağlık Bakanlığı (SB) ve Brezilya telekomünikasyon operatörü Claro, Portekiz'in en büyük yayın grubu Impresa gibi başka kuruluşları da hackledi.

Bunlar kim mi?

Uzmanlar, bunların kim olduğunu, ancak hackleme yaptıkları yerlerde bıraktıkları izlerden, yazılımlarından, belki bağlantı yollarından falan anlamaya çalışıyorlar. Onların dediğine göre Lapsus$, Rus istihbarat örgütünden birileri olabilir.

SolarWinds saldırısı

Ama asıl büyük saldırının 2020 Aralık ayındaki SolarWinds saldırısı olduğu biliniyor[7]. Bu saldırı konusunda analiz çalışmaları hâlâ sürüyor. Kısaca hatırlatalım, 2020 Aralık ortasında Amerikan yerel ve merkezi hükümetlerinin kullandığı FireEye yazılımının hacklendiği ortaya çıktı. Yapılan incelemeler saldırının en az 9 ay önce başladığını ve sızanların bu süre boyunca içeride kaldıklarını ama ne yaptıklarını (bilgi silmek, değiştirmek, çalmak ya da gözlemek vs.) bilmediklerini açıkladılar.

Fireeye, Amerikan devletinin ve istihbarat kurumlarından yatırım almasıyla bilinen bir firma, çoğu Amerikan devlet kurumunun güvenliğinden sorumlu. Fireeye, saldırının SolarWinds isimli ağ izleme programları firmasının kötücül kod bulaşmış yazılım güncellemeleri üzerinden yapıldığını açıkladı. Bu tür saldırılara "Tedarik Zinciri" saldırısı diyoruz.

Fortune 500 firmalarının büyük kısmı networklerini SolarWinds ile izliyor. Yani saldırının boyutu tahmin edilenin çok üzerinde. Saldırıya uğramış olması muhtemel firmalar ABD ordusunun her şubesi, Adalet, Devlet ve Savunma Bakanlıkları, Beyaz Saray, Ulusal Güvenlik Teşkilatı, Enerji ve Ulusal Nükleer Güvenlik İdaresi Bölümü, ABD’nin en büyük telekom şirketleri, Çeşitli Eyalet hükümeti ve dediğimiz gibi Fortune 500’deki bir çok firma.

ABD ulusal güvenliğine verilen zarar yanında, ülkenin en gelişmiş siber silahlarını korumaktan ve kullanmaktan sorumlu olan kilit kurumlarının itibarı yerle bir oldu. Ancak saldırıda elde edilen bilgilerle ABD’nin bazı gizli faaliyetlerini ifşa etme riski olduğu da kaydediliyor.

ABD cevaben geçen yıl bu zamanlar Rusya İstihbarat Servislerinin ABD’ye karşı "kötü niyetli siber faaliyetler yürütme çabalarını desteklediğini" söylediği Rusya merkezli altı firmaya yaptırım açıkladı[8].

Anlayacağınız, Rusya siber saldırı için Ukrayna'yı dişine göre küçük bulmuş olabilir. Sonuçta NATO'nun burnuna girmesinden rahatsızlığını doğrudan ABD'ye yönelttiği saldırılarla görüyor olabiliriz.

Sputnik Türkiye yerel sitesine neden ulaşılamıyor?

Sputnik radyo birkaç yıldır Türkiye'de de yayında. Ama evvelki gün web sitesine ulaşılamaz oldu. Siteye erişim engeli mi geldi diye baktık. Öyle bir şey yok. Ama anlaşılan Türkiye'de de olsa, .ru uzantılı olmasa da, tüm Rus siteleri ya Avrupa'dana erişim engelli ve/veya ddos saldırısı altında (şirket https://qrator.net/en/ firmasında dos temizleme hizmeti de alıyor gördüğümüz kadarıyla).

Çünkü bu siteye VPN üzerinden Avrupa'dan ulaşılamıyor ama ABD'deki sunucular üzerinden ulaşmak mümkün. Başka şekilde söylersek, Türkiye internet konusunda kendi haklarına kendisi sahip değil. Avrupa yasakladı mı, kendisi farklı düşünüyor bile olsa, kendi internet egemenliğini kullanamıyor.

Dolayısıyla bu olayda derdimiz Sputnik değil. Bu olayda derdimiz "İnternet Trafik Değişim Noktası". Neredeyse 25 yıldır bu konuyu ısrarla söylüyoruz. Güvenlik açısından ülkemizin kendi bağlantılarını sağlayacağı bir trafik değişim noktasına/hub'ına ihtiyacı var.

Kafkas Ülkeleri, Orta Doğu -ve hatta Uzak Doğu-, Afrika ve Avrupa arasında bir geçit olan bölgemiz aslında "doğal internet kavşağı" olmalıydı[9]. Yani bütün bu ülkelerden gelen bağlantıların düğüm noktası olmalıydık. Hissetmeseniz de, güvenlik, zaman, para ve knowhow sorunu bu. Bu hele ülkemizin güvenliği açısından da, o kadar önemli ki!

Sputnik olayında da gördüğümüz şu: Ülkemizdeki altyapının kötülüğü nedeniyle trafik bazen ta Frankfurt'tan dönüyor. 

11. Kalkınma Planında ve 2019'da yayınlanan ilk Cumhurbaşkanlığı genelgesinde yer almasına karşın, hâlâ bir internet trafik değişim noktası yapmayı beceremeyen bir hükümetimiz var. Çanakkale'ye köprü yapıyor ama İstanbul'a (ve hatta diğer birkaç şehire) bir internet kavşağı (trafik değişim noktası) yapmayı beceremiyor.


Kaynakça

[1] Rus Hackerlar, Çinlilerden 13, İranlılardan 16, Kuzey Korelilerden 6 Kat Hızlı

[2] Microsofta Göre, Devlet Destekli Saldırıların %58inin Arkasında Rusya Var

[3] Estonya'ya Yapılan Siber Saldırı

[4] Ukrayna Kamu Kurumlarına Yapılan, Fidye Saldırısı Görünümlü Yıkıcı Bir Saldırıymış

[5] Microsoft Exchange Server Açığı ile 30 Bin Amerikan Kuruluşu Hacklendi

[6] Lapsus$, Microsoftu Hacklediğine Dair Dosyaları Sızdırdı

[7] Geçen Hafta Meydana Gelen FireEye(SolarWinds) Hacklemesi Çok Büyük

[8] ABD SolarWinds Saldırısına Cevaben 6 Rus Firmasına Yaptırım Açıkladı

[9] James Cowie ; İran ve Irak, Ermenistan Üzerinden Sofyaya ve Avrupaya Bağlanıyor, Türkiye Oyun Dışı Kalıyor

Yazarın Diğer Yazıları

ABD'deki kürtaj kararı, dezenformasyon kanun taslağı ve sosyal medyanın sorumluluğu

Uzmanlar bir yandan da, ABD'deki bu olayın "bir musibet, bin nasihaten evladır" çerçevesinde iyi bir şey olduğu düşüncesinde. Çünkü genel olarak "veri gizliliği" konusunun ne anlama geldiğini, "somut" bir şekilde milyonlarca insana öğreteceği düşüncesinde

Boğaziçili hocaları durduramayan AKP, mail ve bilgilerinde açık mı arıyor?

bir özel firmaya Boğaziçi Üniversitesi'nin akademik ve idari personelin, öğrencilerin ve gelmiş geçmiş tüm mezunların kişisel bilgilerinin bulunduğu dört önemli veritabanına bu kişilerin bilgisi ve onayı olmaksızın erişim verdiler

Felsefe, tarih ve gençler... Bu ülkede ümit biter mi?

Ülkemizdeki her şey bozulduysa da üzülmeyelim. Dünya da daha iyi durumda değil. Önümüze bakıp, nasıl ve neresini düzeltiriz diye düşünmeye başlayalım