ABD’deki Siber Operasyonun Sorumlusu Rus İstihbaratı mı?

Ersin Çahmutoğlu Asistan, Güvenlik Çalışmaları

Siber saldırıların kapsamı ve niteliği ortaya çıktıkça sadece APT29 değil Rus istihbarat servislerine bağlı APT gruplarının çoğunun bu operasyonda bulunabileceği düşüncesi ağırlık kazandı.

Amerika Birleşik Devletleri’nin (ABD) en büyük siber güvenlik şirketlerinden olan FireEye, 8 Aralık tarihinde yayımladığı bir yazıda şirket olarak komplike bir siber saldırıya uğradıklarını açıkladı. Şirketin CEO’su Kevin Mandia tarafından kaleme alınan yazıda, kimliği/menşei henüz tespit edilemeyen siber tehdit aktörlerinin, FireEye’a ait operasyonel siber araçları elde ettikleri belirtildi.

Başta ABD olmak üzere dünyada birçok devlete siber güvenlik ürünleri sağlayan FireEye’ın söz ettiği operasyonel siber araçlar “Red Team Tools” olarak adlandırılıyor. Şirketin, hizmet verdiği devletlere/şirketlere ait sistemlerdeki zafiyetleri belirlemek için güvenlik testi amacıyla kullandığı bu operasyonel araçların, yabancı veya düşman unsurların eline geçmesi ABD genelinde panik ortamı oluşturdu. FireEye’ın bu açıklamasının ardından ABD’de faaliyet yürüten bir başka önemli yazılım şirketi SolarWinds de siber saldırılara uğradıklarını ve Orion adlı ağ yazılım ürünlerinin istismar edildiğini açıkladı.

Her iki olayın da “büyük bir siber kampanya” kapsamında olduğu ve arkasında bir devletin bulunduğu şeklindeki açıklamalar sonrasında yaşanan gelişmeler hem ABD’de hem de dünyada ilgiyle takip edildi. Şirketlerin siber saldırılara uğradıklarını açıklamalarının ardından birçok devlet kurumu da bu saldırılardan dolayı mağdur olduklarını duyurmaya başladı. ABD’de Hazine Bakanlığı, Enerji Bakanlığı, İç Güvenlik Bakanlığı ve Savunma Bakanlığı gibi kritik kurumların siber saldırılardan etkilendiklerinin ortaya çıkmasının ardından ABD istihbarat servisleri ve siber güvenlik kurumları alarm durumuna geçti.

ABD alarm durumundayken 17 Aralık tarihinde, teknoloji devi Microsoft tarafından yapılan bir açıklama, siber güvenlik dünyasında âdeta sarsıntıya neden oldu. Microsoft Başkanı Brad Smith tarafından kaleme alınan detaylı yazıda, ABD’yi hedef alan siber saldırı dalgasının Microsoft sistemlerini de etkilediği ortaya çıktı. Birçok uzman gibi Smith de bu saldırıları, devlet destekli organize gruplar tarafından yürütülen başarılı bir casusluk operasyonu olarak nitelendiriyor. ABD’nin en önemli devlet kurumlarıyla birlikte adı geçen büyük şirketlerin de siber saldırıya uğraması birçok tartışmayı beraberinde getirdi.

Saldırıya Uğrayan Şirketler Seçilmiş Hedef miydi?

Siber güvenlik sektöründe lider şirketlerden biri olarak bilinen ve 2004 yılından beri faaliyetlerini yürüten FireEye, sahip olduğu teknik siber kapasite ve yetenekleriyle öne çıkmaktadır. Buna ilaveten başta ABD’deki Ulusal Güvenlik Ajansı (NSA), Pentagon, FBI ve kritik bakanlıklar olmak üzere dünya çapında birçok devlet ve şirkete hizmet vermektedir. Dolayısıyla şirketin sahip olduğu “bigdata” (büyük veri) miktarı devasa boyuttadır ve yürüttüğü siber faaliyetlerden dolayı birçok istihbarat teşkilatından daha değerli verileri elinde tutmaktadır.

FireEye’ın bu durumu, bazı devletler için “özel ilgi” hâline gelmekte ve dolayısıyla şirket, yabancı devletler tarafından da hedef alınabilmektedir. Bu konuda da ilk akla gelen devlet Rusya’dır. FireEye’ın; NSA, FBI, Pentagon, NASA ve birçok bakanlığa uzun zamandır hizmet verdiği bilinmektedir. Dolayısıyla şirketin sahip olduğu bilgi ve veriler içerisinde adı geçen kurumların son derece gizli/hassas verileri de yer almaktadır. Bu veriler, ABD ile uzun süredir istihbarat savaşı içerisinde olan Rusya için elbette kritik önemdedir.

Diğer taraftan FireEye şirketinin faaliyetlerinin de Rusları rahatsız ettiği düşünülmektedir. FireEye, kurulduğu yıllardan bugüne kadar devlet destekli siber tehdit aktörleri konusunda raporlar yayımlamaktadır. Bunların başında da Rus APT (Advanced Persistent Threat - Gelişmiş Kalıcı Tehdit) grupları gelmektedir. Dünyadaki bütün Rus APT aktivitelerini ilk ifşa eden şirketin FireEye olduğu göz önünde bulundurulduğunda Ruslar, uzun bir süredir “siber misilleme” kapsamında şirketi gözüne kestirmiş olabilir.

Saldırıda hedef olan diğer şirket SolarWinds ise FireEye’dan farklı olarak yazılım çözümleri üretmektedir. Orion adlı ağ yazılımı içine yerleştirilen “backdoor” (arka kapı) sayesinde gerçekleştirilen siber saldırı, tedarik zinciri saldırısı olarak nitelendirilmektedir. Tıpkı FireEye gibi ABD’deki kritik kurumlara hizmet veren şirket ayrıca dünyaya da bu ürünlerini satmaktadır. Şirketin sunduğu yazılımı kullanan bütün sistemlere sızmayı başaran ve DarkHalo olarak adlandırılan tehdit aktörlerinin, dünya çapında ne kadar kişi ya da kurumu etkilediği ise şimdilik net olarak bilinmemektedir.

ABD’yi Sarsan Bu Saldırılar Ne Anlama Geliyor?

ABD’nin önemli şirketlerini ve devlet kurumlarını etkileyen siber saldırıların devlet destekli bir organizasyon tarafından yapıldığı açıkça anlaşılmaktadır. Son derece sofistike ve iyi planlanıp uygulanmış siber saldırılar, küresel casusluk operasyonunun bir parçası olarak da değerlendirilmektedir. Dolayısıyla saldırıların arkasında sıradan hacker gruplarının olmadığı, hatta doğrudan istihbarat servislerinin bu süreçte etkin rol aldığı varsayılabilir.

Saldırılar ilk ortaya çıktığında bazı uzmanlar, operasyonu gerçekleştiren aktörün Rus dış istihbarat servisinin kontrol ettiği APT29 grubu olduğunu dile getirmişlerdir. Siber saldırıların kapsamı ve niteliği ortaya çıktıkça sadece APT29 değil Rus istihbarat servislerine bağlı 20’ye yakın APT grubunun büyük çoğunluğunun bu operasyonda rol alabileceği düşüncesi ağırlık kazanmıştır.

Siber operasyonların kaynağı hakkında yorumlar yapılırken aynı zamanda ABD’nin siber güvenlik düzeyi de tartışılmaya başlanmıştır. ABD’nin ulusal anlamda siber güvenlik zafiyeti olduğu düşüncesine yol açan siber saldırılar, yeni bir siber saldırı dalgasının gelebileceğine dair endişeleri de beraberinde getirmiştir. Microsoft Başkanı Smith’in de belirttiği gibi ABD ulusal siber altyapısında giderilmesi zor siber güvenlik zafiyetlerinin olduğu düşünülmektedir.

ABD’deki bu olası zafiyetlere dair düşüncenin belki de en önemli dayanağı, söz konusu tehdit aktörlerinin, mart ve nisan ayları civarında ABD kurumlarına sızdığı ve operasyonu yaklaşık 9 aydır yürütmekte olduğu iddiasıdır. Diğer deyişle gelişmiş siber kabiliyetlere sahip bu aktörler, ABD’nin gelişmiş sistemlere sahip siber güvenlik radarına yakalanmadan “içeride” kalabilmeyi başarmışlardır. Böylece ulaşmak istedikleri istihbarat verilerini de çoktan elde etmiş olabilirler. Bu nedenle, siber saldırı sonrası açıklama yapan devlet kurumları dışında, ilerleyen günlerde aslında çok daha fazla kurumun saldırıya maruz kaldığı açıklanabilir. Aylar sonra fark edilen bir operasyonun, hangi kurumlarda nelere yol açtığı hâliyle sonradan ortaya çıkacaktır. Öyle ki FireEye müşterileri arasında olan NSA ve USCYBERCOM’un (ABD Siber Komutanlığı) bile saldırıdan etkilenen kurumlar arasında olma ihtimali bulunmaktadır.

Bilişim alanındaki liderliği yanında siber güvenlik çözümleri konusunda da önemli çalışmalar yapan Microsoft şirketinin saldırıya uğrayan şirketler arasında yer alması hem devlet hem de özel sektör bazında bazı adımların atılması gerektiğini göstermektedir. Hatta Microsoft ürünlerinin bulunduğu ülkelerde de benzer girişimlere ihtiyaç olabilir. Şirketin raporuna göre siber saldırılardan %80 oranında etkilenen ABD’nin dışında, %20’lik kısımda yer alan 7 ülkede (Kanada, Meksika, Belçika, İngiltere, İspanya, İsrail, Birleşil Arap Emirlikleri) de bazı sorunlar yaşanmaya başlamıştır. Rusya haricinde bütün gelişmiş ülkelerde tespit edilen siber saldırılar, şimdilik sadece adı geçen ülkeleri etkilemiştir. Bu listenin yakında uzayabileceği; hatta muhtemelen sadece Microsoft değil ABD menşeli olan şirketlerin ve dünyada ürünlerinin yaygın biçimde kullanıldığı ülkelerin de bu siber operasyondan etkilenebileceği öngörülmektedir.

ABD, APT, FireEye, Rusya, Siber

Dünyayı Tehdit Eden Casus Yazılım: Pegasus

Ersin Çahmutoğlu

Stratejik siber silah olarak tanımlayabileceğimiz Pegasus casus yazılımı şahıs ya da şirketlere değil, sadece devletlerin istihbarat servislerine ve kolluk kuvvetlerine satılıyor. Bu satışlar da İsrail Savunma Bakanlığı’nın onayından geçmek zorunda.

İran’da Kritik Altyapılar Yeniden Siber Saldırıların Hedefinde

Ersin Çahmutoğlu

İran’a defalarca siber operasyon yürüten İsrail’in, Mayıs 2020’de Bender Abbas Limanına gerçekleştirdiği siber saldırılara atıf yapılarak bu saldırıların da İsrail tarafından yapıldığı öne sürülmektedir.