Adres :
Aşağı Öveçler Çetin Emeç Bul. 1330. Cad. No:12, 06460 Çankaya - Ankara Telefon : +90 312 473 80 41 Faks : +90 312 473 80 46 E-Posta : sde@sde.org.tr

ABD’nin Rusya Kaynaklı Siber Saldırı Beklentisi Gerçekleşecek mi?

Sinan TAVUKCU
21 Nisan 2022 11:10
A-
A+

Ukrayna-Rusya savaşı devam ederken ABD’nin en büyük endişesi, Rusya kaynaklı siber saldırılara maruz kalmaktı. Zira ABD güvenlik kurumlarında Moskova'nın ABD'ye karşı siber saldırı düzenleme riski bulunduğuna ve Rusya’nın kritik ABD altyapı sistemlerine zarar verme kapasitesine sahip olduğuna inanılıyor.

Nitekim, 24 Şubat 2022'de Rus askerleri Ukrayna'ya girmeye başladığında, Başkan Joe Biden bir uyarı yayınlayarak "Rusya, kritik altyapımız olan şirketlerimize karşı siber saldırılar düzenlerse, cevap vermeye hazırız. Aylardır, siber savunmalarını güçlendirmek ve Rus siber saldırılarına karşı cevap verme yeteneğimizi keskinleştirmek için özel sektörle yakın bir şekilde çalışıyoruz” açıklamasıyla Rusya’yı bir siber saldırıda bulunmama konusunda ikaz etmek ihtiyacı duymuş, Rus siber saldırılarına karşı ABD, müttefikleri ve ortakları ile birlikte cevap vereceklerini ilan etmişti.[i]

Ukrayna saldırısından sonra birden fazla Rus hükümeti web sitesi dikkat çekici şekilde Rusya dışında çevrimdışı oldu. Bu kararmanın Rusya hükümetini hedef alan geniş bir (DDoS) saldırısı yüzünden mi olduğu yoksa Rusya’nın tedbir amaçlı bir kapatma uygulaması mı yaptığı halen tartışılıyor.

Biden’ın yukarıda bahsettiğimiz Rusya’yı tehdidinin öncesinde 11 Ocak 2022'de, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, Rus siber saldırı tehdidini özetleyen ve son yıllarda Rus liderliğindeki gelişmiş bilgisayar korsanlığını teknik ayrıntılarıyla anlatan bir uyarı bildirisi yayınlamıştı. Bildiri, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Soruşturma Bürosu (FBI) ve Ulusal Güvenlik Ajansı (NSA) tarafından ortaklaşa yazılmıştı.[ii]

Uyarıda; Rus devlet destekli APT (Advanced Persistent Threat) aktörlerinin siber casusluk konusunda sofistike ticari ve siber yetenekler sergilediğinden, güvenliği ihlal edilmiş kurumsal ve bulut ortamlara sızarak buralarda kalıcı, tespit edilmemiş, uzun vadeli erişim sağlama becerisi gösterdiğinden bahsedilerek, Savunma Sanayi Üssü'nün yanı sıra Sağlık ve Halk Sağlığı, Enerji, Telekomünikasyon ve Devlet Tesisleri Sektörleri de dahil olmak üzere çeşitli ABD devlet kurumları ve uluslararası kritik altyapı kuruluşlarını bu APT aktörelerin gelişmiş siber yetenekler kullanarak hedefe aldıkları açıklandı. Metinde, bu saldırılara karşı ikaz ve alınacak tedbirler yer aldı.

Geçen yıl 15 Nisan 2021’de Beyaz Saray Brifing Odası (The White House Brıefıng Room)’dan yayınlanan metinde (FACT SHEET: Imposing Costs for Harmful Foreign Activities by the Russian Government)[iii]

; Biden yönetimi, hükümet ve istihbarat servislerinin ABD egemenliğine ve çıkarlarına aykırı eylemleri dolayısıyla Rusya'ya bedelini ödetmek için adımlar attığından söz edilerek, Rusya'nın zararlı dış faaliyetlerine tam anlamıyla cevap verme ve caydırma konusundaki kararlılığını göstermek için Başkan Biden’ın güçlendirilmiş yetkiler sağlayan yeni bir yaptırım yürütme emrini imzaladığı açıklanmıştı.

Bu emir doğrultusunda ABD Siber Komutanlığı (USCYBERCOM) tarafından 15-20 Kasım 2021 tarihleri ​​arasında Virginia'daki Suffolk Müşterek Üssü'nde Cyber Flag 21-1 tatbikatı düzenlendi. Tatbikat, aşağıda etraflıca anlatacağımız, 2020 yılında gerçekleştirilen ve küresel çapta büyük hasara sebebiyet veren “SolarWinds tedarik zinciri saldırısı”yla iyice belirginleşen etkili Rus siber saldırılarına karşı yetenek geliştirmeyi amaçlıyordu. ABD’nin uluslararası ortaklarıyla toplu siber savunma sergileyerek “kötü niyetli siber uzay faaliyetlerini belirleme, senkronize etme ve bunlara yanıt verme yeteneklerini geliştirmeye” çalıştığı tatbikata 23 ülkeden 200'den fazla siber operatör katıldı.

Geçen sene yapılan bu tatbikatın ardından bu yıl, 19-22 Nisan'da Estonya'nın başkenti Tallinn'de dünyanın en büyük canlı siber tatbikatı CCDCOE (NATO İşbirliğine Dayalı Siber Savunma Mükemmeliyet Merkezi)[iv] tarafından düzenlendi. NATO müttefikleriyle NATO ortağı ülkelerden siber güvenlik ve bilişim uzmanlarının katıldığı tatbikatta, sivil ve askeri bilişim sistemleriyle kritik altyapılara yönelik gerçek zamanlı gelişmiş siber saldırılara karşı savunma yöntemlerinin test edilmesi ile kamu ve özel sektör iş birliklerinin nasıl uygulanacağı denenecek. Bu tatbikatın hedefi ve büyüklüğü, Batı tarafından beklenen siber savaşın boyutunun ileri düzeyde olduğunu gösteriyor.

Daha Önce ABD’ye Yönelik Gerçekleşen Rus Siber Saldırıları

ABD’nin Rus siber saldırılarından çekinmesi boşuna değildi. ABD iddialarına göre Rusya kaynaklı siber saldırılar yoğun olarak 2016’da başlamıştı. Rus İstihbarat Servisleri -özellikle Federal Güvenlik Servisi (FSB), Rus Askeri İstihbaratı (GRU) ve Dış İstihbarat Servisi (SVR)- teknoloji sektöründe faaliyet gösteren bazı şirketler eliyle bu operasyonları yönetiyordu.[v]

Rus istihbaratına fatura edilen ama Moskova tarafından "asılsız girişim" olarak nitelendirilen pek çok siber casusluk olayı ABD, müttefikleri ve ortaklarına yönelik siber saldırı listesi içinde yer aldı.[vi]

Bunlar arasında özellikle ABD kurumlarını ya da özel sektörünü hedef alan siber casusluk ya da siber saldırıların önemli olanları şöyleydi.

2016 ABD Seçimleri

6 Ocak 2017'de ABD istihbarat Topluluğu (United States Intelligence Community) Rusya'nın ABD seçim sürecini baltalamayı ve 2016 Amerikan seçimleri sırasında Trump'ın Beyaz Saray adaylığına yardımcı olmayı amaçlayan geniş bir “etki kampanyası” yürüttüğünü iddia eden bir rapor yayınladı.[vii] İstihbarat örgütleri Rusya'nın Clinton'ın kampanyasına zarar vermek ve Trump'a yardım etmek için geniş kapsamlı bir operasyonun parçası olarak kıdemli Demokratların e-postalarını hacklediği sonucuna varmıştı. İddialara göre, Rus Askeri İstihbaratı (GRU) tarafından yönlendirilen Rus bilgisayar korsan grubu - Fancy Bear veya APT28- bu görevi üstlenmişti. ABD'deki 200'den fazla kuruluş (siyasi partiler, düşünce kuruluşları, lobi kuruluşları ve hem Demokratlara hem de Cumhuriyetçilere hizmet eden danışmanlar dâhil) bu siber casusluğun hedefi olmuştu.

"NotPetya" Siber Saldırısı

Haziran 2017'de "NotPetya" olarak adlandırılan siber saldırı hızla dünya çapında yayılmış, birkaç saat içinde dünyanın dört bir yanındaki kuruluşları çökerterek Avrupa, Asya ve Amerika'da yaklaşık 10 milyar dolarlık hasara neden olmuştu. ABD ve Birleşik Krallık, NotPetya saldırısından Rusya'yı sorumlu tutarak, bunun Ukrayna'yı istikrarsızlaştırma çabasının bir parçası olduğunu öne sürmüş, Trump yönetimi saldırıyı "tarihin en yıkıcı ve maliyetli siber saldırısı" olarak adlandırmıştı. İddialara göre Rus Askeri İstihbarat Örgütü (GRU) içindeki Sandworm hack grubu bu saldırıları düzenlemişti.

SolarWinds Tedarik Zinciri Saldırısı

SolarWinds, dünya çapında yüz binlerce (300.000 şirket ve ajans) kuruluşa ağ ve altyapı izleme için sistem yönetimi araçları ve diğer teknik hizmetler sağlayan büyük bir yazılım şirketidir. Müşterileri arasında Amerika'nın Fortune 500 şirketlerinin çoğu, en büyük 10 ABD telekomünikasyon sağlayıcısı, pek çok ABD devlet kurumu ve ABD Başkanlık Ofisi de bulunmaktadır.

Mart 2020’de SolarWinds, müşterilerin makinelerine kötü amaçlı yazılımların yüklenmesine izin veren yama ve güncellemeler ile küresel teknoloji tedarik zincirini riske attı. 18.000'den fazla SolarWinds müşterisi bilmeden kötü amaçlı güncellemeleri yükledi ve bu yazılım fark edilmeden hızla yayıldı. Bilgisayar korsanları yedi ay boyunca tespit edilmeden sistem içinde kaldılar, hatta virüsten koruma yazılımını devre dışı bıraktılar ve yasal kullanıcılar gibi görünmek için çalınan giriş bilgilerini kullandılar.

ABD Dışişleri Bakanlığı, Savunma Bakanlığı, İç Güvenlik Departmanı, Enerji Bakanlığı, Ulusal Nükleer Güvenlik İdaresi, Ticaret ve Hazine Departmanları, Ulusal Sağlık Enstitüleri hasar gören başlıca devlet kurumları oldu.

Orion yazılım sistemini kullanan dünyadaki çok sayıda hükümet sistemlerine ve binlerce özel sisteme erişim sağlayan bir silaha dönüştürdüğü için SolarWinds tedarik zinciri saldırısı küresel bir saldırı olarak tarihe geçti. Bilgisayar korsanlarının devlet kurumlarından hangi bilgileri çaldığı hala tespit edilebilmiş değil ancak birçok hükümet ve kurumsal ağların sistemin önemli ihlal riskiyle karşı karşıya kaldığında şüphe bulunmuyor. Saldırının tam etkisinin bilinmesi uzun zaman alacak görünüyor.

Beyaz Saray, SolarWinds saldırılarından Rus istihbarat servisi SVR'ye bağlı olduğunu iddia ettiği Nobelium adlı bilgisayar hack grubu suçluyor. Yine, APT 29, Cozy Bear ve The Dukes gibi Rus teknoloji şirketlerinin de SVR kontrolünde siber casusluk kampanyası yürüttüğü iddia ediliyor.

Microsoft Başkanı Brad Smith’in Senato İstihbarat Komitesi’ne verdiği ifadede "araştırmacılar, SolarWinds hack'inde en az 1.000 çok yetenekli mühendisin çalıştığına inanıyor” açıklaması saldırının ne kadar büyük bir organizasyonla gerçekleştirildiğini ortaya koyuyor.

Colonial Pipeline Co. Hacklenmesi

7 Mayıs 2021’de Rus menşeli DarkSide hack grubun gerçekleştirdiği siber saldırı nedeniyle, ABD’nin Colonial Pipeline Co. şirketi Doğu Sahili boru hattını geçici olarak kapatmak zorunda kaldı. Söz konusu hat Doğu Sahili benzininin %45'ini taşıyordu.  Hat kapaması birçok ABD eyaletinde gaz kıtlığına yol açtı, paniğe sebep oldu. Şirketin saldırıdan kısa bir süre sonra hackerlara 4,4 milyon dolarlık fidye ödemesiyle hat geri açıldı.

Biden yönetimi ile Rus yetkililer arasında aylarca süren müzakerelerin ardından fidyeciler Rusya’da tutuklandı. Ancak, bu fidye saldırısı Rus hackerların ABD’nin "kritik” ulusal altyapısına zarar verme kapasitesini göstermesi bakımından önemliydi.

Sonuç

ABD'li yetkililer Rus siber savaşçılarının ABD'deki kilit sistemlere erişebilme ve uzun süreler boyunca tespit edilmeden kalabilme başarısını gösterdiklerini itiraf ediyorlar. Tespit edilen ya da henüz tespit edilemeyen siber sızma ve saldırılarla Rusların hangi kritik kurumlara, alt yapılara ve sistemlere sızdığının bilinememesi, hangi bilgileri ele geçirmiş olduklarının belirlenememesi ve bundan sonraki dönemde zarar verme kapasitelerini kullanma ihtimali ABD yönetimini, müttefiklerini ve stratejik ortaklarını ciddi şekilde endişelendiriyor.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 2020'nin başlarından bu yana, Rusya destekli bilgisayar korsanlarının silah geliştirme, araç ve uçak tasarımı ve diğer alanlarda ABD ordusuyla ortaklık yapan savunma müteahhitlerini (CDC) hedef aldıklarını açıkladı. Ajansa göre; bu bilgisayar korsanları savunma müteahhitlerinin ağlarına erişim sağlıyor, dahili e-posta iletişimleri, ürün geliştirme zaman çizelgeleri ve sözleşmelerle ilgili ayrıntılar gibi sınıflandırılmamış bilgileri, iletişim altyapısı ve bilgi teknolojisi planları hakkında önemli bilgileri elde ediyorlar. Uzmanlara göre, Putin hackerlar yoluyla son dört yıldır Avrupa ve ABD'deki güvenlik açıklarını sistematik olarak test etmiş durumda. Rusların siber saldırı düzenlemek için en etkili olacağı yerler arasında Banka ve Finans kuruluşları da varsayılıyor. Bu tablonun ABD güvenliği için ciddi bir belirsizlik ve tehdit oluşturduğu ortada.

Önümüzdeki dönemde Ukrayna-Rusya savaşının devam ettirilmesi, ABD ve NATO’nun savaşa doğrudan müdahil olmaları halinde Rusya’nın ABD ve müttefiklerini hedef alan siber saldırılara yönelmesi sürpriz olmayacaktır.

Dipnotlar

[i]Remarks by President Biden on Russia’s Unprovoked and Unjustified Attack on Ukraine

https://www.whitehouse.gov/briefing-room/speeches-remarks/2022/02/24/remarks-by-president-biden-on-russias-unprovoked-and-unjustified-attack-on-ukraine/

[ii] Alert (AA22-011A)- Understanding and Mitigating Russian State-Sponsored Cyber Threats to U.S. Critical Infrastructure

https://www.cisa.gov/uscert/ncas/alerts/aa22-011a

[iii] FACT SHEET: Imposing Costs for Harmful Foreign Activities by the Russian Government

https://www.whitehouse.gov/briefing-room/statements-releases/2021/04/15/fact-sheet-imposing-costs-for-harmful-foreign-activities-by-the-russian-government/

[iv] CCDCOE

https://ccdcoe.org/about-us/

[v] Treasury Sanctions Russia with Sweeping New Sanctions Authority

https://home.treasury.gov/news/press-releases/jy0127

[vi] Significant Cyber Incidents Since 2006

https://csis-website-prod.s3.amazonaws.com/s3fs-public/220404_Significant_Cyber_Incidents.pdf?6baqc92oMg0w.0wCwZLP6OATs9MmMmLG

[vii] Background to “Assessing Russian Activities and Intentions in Recent US Elections”: The Analytic Process and Cyber Incident Attribution

https://www.dni.gov/files/documents/ICA_2017_01.pdf