İsviçre parlamentosu web sitesi 12 Haziran’da birkaç saatliğine çevrimdışı oldu. Kısa süre sonra Rus yanlısı siber tehdit aktörü NoName057(16)’nin Telegram kanalına bir mesaj çıktı.
Bandera üyesi Zelensky, bu hafta 10. Sıraya katılan İsviçre’ye teşekkür etti.inci AB’nin Rusya’ya karşı yaptırım paketi” ifadeleri kullanıldı.
“Ayrıca İsviçreli Rus düşmanlarına ‘teşekkür ettik’ ve yöneticiler yabancı IP’ye erişimi kapattıktan sonra İsviçre Parlamentosunun web sitesine DDoS füzeleri gönderdik.”
Bunu, İsviçre’deki büyük hükümet ve kamu hizmeti web sitelerine yönelik bir DDoS saldırısı yağmuru izledi. Bazıları birkaç saatliğine, bazıları iki güne kadar çevrimdışı kaldı.
Bir gün içinde, İsviçre Federal Adalet ve Polis Departmanı, İsviçre demiryolu şirketi Südostbahn, Federal İçişleri Bakanlığı ve diğer bazı devlet dairelerinin de dahil olduğu web siteleri devre dışı kaldı.
Son olarak, 14 Haziran’da NoName057(16) tarafından yapılan başka bir Telegram gönderisi, yoğunlaşan saldırıların ardındaki gerçek nedeni ortaya çıkardı.
Yazıda, “Yarın bir Bandewrist olan Zelensky, İsviçre parlamentosunda görüntülü sohbet yoluyla para dilenmeyi planlıyor” denildi.
DDoS saldırıları dört gün daha devam etti.
NoName İsviçre’ye saldırıyor
İsviçre maliye bakanlığı, birkaç federal yönetim web sitesinin kullanılamadığını derhal kabul etti. Ancak bunun bir DDoS saldırısı olduğunu kabul etmeyi veya NoName’e atfetmeyi reddettiler.
İlginç bir şekilde, DDoS saldırıları, 8 Haziran’da, çeşitli İsviçre departmanları için hükümet yazılımı sağlayan Xplain adlı bir teknoloji firmasının bir fidye yazılımı saldırısına kurban gittiği önceki bir olayı takip etti.
Çalınan veriler şifrelendi ve saldırganlar fidye istedi.
Ele geçirilen verilerin bir kısmı daha sonra karanlık ağda yayınlandı. Xplain, İsviçre ordusu ve gümrük departmanı gibi müşterilere ülke güvenliği amaçlarına yönelik yazılımlar sağlayarak hizmet vermektedir. Saldırı, Play ransomware grubuna atfedildi.
Telegram kanalında ortaya atılan iddialara göre, aralarında ulusal ve bölgesel yönetimler, devlet daireleri ve kamu kuruluşlarının da bulunduğu toplam 60 hedef bulunuyordu.
İsviçre yönetimi, etkilenen hizmetleri geri getirmeyi ve sistemlerinin güvenliğini ve dayanıklılığını sağlamayı başardı.
Rusya, Ukrayna ve İsviçre Bağlantısı
Ukrayna cumhurbaşkanı Volodymyr Zelenskyy 15 Haziran’da İsviçre parlamentosuna hitaben yaptığı konuşmada, barışın yeniden sağlanmasına yardımcı olmak için Ukrayna’ya silah ihracatının engellenmesi çağrısında bulundu.
Rusya’nın saldırganlığının yol açtığı acılara kayıtsız kalmadığı için İsviçre’ye şükranlarını dile getirdi.
Saldırganlığa son vermede dayanışmanın önemini vurgulayarak, İsviçre’nin Rusya’ya karşı ortak Avrupa yaptırımlarına verdiği desteği kabul etti. Başkan, bu amaca ulaşmak için bir araç olarak yaptırımların yoğunlaştırılması çağrısında bulundu.
Başkan, İsviçre’nin şu anda Ukrayna’yı korumak için silahların yeniden ihracatına izin verilmesini tartıştığını kabul etti.
Görüşmedeki tüm katılımcıları, Ukrayna’nın uluslararası hukuka uygun olarak topraklarında barışı yeniden tesis etmek için silah aradığı gerçeğini düşünmeye çağırdı.
“İsviçre’nin Ukrayna’nın korunması ve savunulması için askeri teçhizat ihracatını tartıştığını biliyorum. Bu çok önemli olacaktır. Ukrayna’da barışı yeniden tesis edebilmek için silahlara ihtiyacımız var” dedi.
Oturumun başında Konuşmacı tarafından ifade edilen duyguları yineleyerek, her ulus için özgürlüğü garanti eden kurallara dayalı bir uluslararası düzenin önemini vurguladı.
Başkan Zelenskyy’nin konuşmasının ardından, parlamentonun üst meclisi olan Kantonlar Konseyi Başkanı Brigitte Häberli-Koller, İsviçre’nin her ulusun doğasında var olan meşru müdafaa hakkını tanıyan uluslararası hukuku destekleme taahhüdünü yeniden teyit etti.
NoName neden İsviçre’ye saldırdı?
Bu tiyatroda, DDoS saldırılarının amacını iletmek için oldukça etkisiz bir yol olduğunu düşünebilirsiniz. Güvenlik araştırmacıları aksini söylüyor.
DDoS saldırılarının ardındaki nedenlere ilişkin bir Trustwave raporunda, “Siber suçlular kafa karışıklığı yaratmayı severler ve bazen kaynaklardan yoksun kuruluşları birincil hedeflerinden, yani hassas verileri yağmalamaktan uzaklaştırmak ve yanlış yönlendirmek için DDoS saldırılarına yönelirler” dedi.
“DDoS saldırıları en iyi hiledir, çünkü gürültü ve kaos yaratarak BT personelinizin tüm dikkatini çeker ve düşmanlarınızın aynı anda ağınıza sızması ve veri hırsızlığını maskelemesi için geniş bir fırsat bırakır.”
Raporda, belirli durumlarda, bir DDoS saldırısının potansiyel bir fiziksel saldırı için dijital bir bahane işlevi gördüğüne dikkat çekildi.
Son zamanlarda Trustwave ekibi, iyi bilinen bir yazıcı markasında potansiyel olarak hizmet reddi saldırılarına yol açabilecek web tabanlı bir güvenlik açığını ortaya çıkardı.
Raporda, “Araştırmacılarımız, saldırganların yazıcı saldırısını başlatabileceklerini ve sorunu çözmek için çağrılan “teknisyen” gibi davranarak hedef kuruluşta görünebileceklerini teorileştirdi” dedi.
“Bu kimliğe bürünme, uzaktan asla erişemeyecekleri BT kaynaklarına doğrudan fiziksel erişim sağlamalarına neden olabilir.”
Bu durumda, tüm İsviçre nüfusu şu ya da bu şekilde baskıyı hissetti. NoName’in Mart 2022’deki başlangıcından bu yana faaliyetleri göz önüne alındığında, tehdit grubu bu konuda bir nevi uzman.
NoName057(16): Bir amacı olan organize bir topluluk
Yaygın olarak NoName olarak anılan NoName057(16), Mart 2022’de ortaya çıkan ve o zamandan beri faaliyetlerini sürdüren bir bilgisayar korsanlığı grubudur. Rus yanlısı bir duruşla grup, NoName05716, 05716nnm ve Nnm05716 dahil olmak üzere çeşitli takma adlar altında faaliyet gösteriyor.
Tehdit istihbarat servisi SOCRadar’a göre, NoName’in eylemleri, Rusya’ya karşı açıkça düşmanlık sergileyenlere yanıt veren bir manifesto tarafından yönlendiriliyor.
Grup, adaleti yeniden sağlamak için gereken güce ve deneyime sahip olduğunu iddia ediyor ve bir güç kaynağı olarak gerçeğin değerini vurguluyor. Mali kazanç onların motivasyonu değildir ve benzer düşünen gruplarla işbirliği yapma isteklerini ifade ederler.
İşlemlerini kolaylaştırmak için NoName057(16), DDosia Projesi olarak bilinen özel bir Telegram kanalına sahiptir. Bu platform, iletişim merkezi olarak hizmet eder ve Dosia aracını kullanmalarını destekler.
Siber güvenlik şirketi Avast, NoName057(16)’nın DDosia projeleri aracılığıyla, öncelikle Avrupa kurumlarının ve şirketlerinin web sitelerini hedef alan Dağıtılmış Hizmet Reddi (DDoS) saldırılarına katılmaya devam ettiğini bildirdi.
Faaliyetleri, Ukrayna ile devam eden ihtilafta Rusya’ya verdikleri destekle aynı hizadadır ve savaş boyunca eylemlerine sürekli bağlılıklarını ortaya koymaktadır.
Katılımı teşvik etme çabasıyla NoName057(16), DDosia araçlarını yükleyen ve saldırılara katılan kişilere açıkça kripto para birimi ödemeleri sunuyor.
Avast’ın raporu, grubun ilk Python tabanlı pilot varyantlarında performans sınırlamalarıyla karşılaştıktan sonra daha etkili bir Go platformuna geçmeyi planlayarak, grubun DDoS saldırılarının verimliliğini artırmak için aktif olarak çabaladığını gösteriyor.
Genellikle, devlet destekli aktörler eylemleri için nadiren övgü talep ederler ve atıf çabalarını engellemek için karmaşık teknikler kullanarak kimliklerini gizlemek için büyük çaba sarf ederler. Öte yandan NoName057(16), Rus bağlantıları konusunda hiçbir endişe duymuyor.
NoName057(16), jeopolitik rakiplerine karşı açıkça siber saldırı kampanyaları başlatan devlet destekli tehdit aktörleri listesinin sonuncusudur.
Diğer avantajların yanı sıra, siber paralı askerler oyuncular için çok büyük bir avantaj sunar: Temsil eksikliği
NoName057(16) ve en geniş Ulus Devlet aktörleri listesi
New Yorker’ın yakın tarihli bir raporu, Hintli kiralık bilgisayar korsanlarının ilginç bir özelliğini vurguladı: “etik” veya “beyaz şapka” bilgisayar korsanlığı hizmetlerinin açıkça reklamını yapan rakip firmalar ve LinkedIn’de hedef odaklı kimlik avı istismarlarıyla övünen bireysel bilgisayar korsanları.
Bu davranış, Rusya, İran ve Kuzey Kore gibi otoriter ülkelerde halka ifşa olmadan ihtiyatlı bir şekilde faaliyet göstermeyi tercih eden siber suçluların aksinedir.
Bununla birlikte, Hintli bilgisayar korsanları, otoriter ülkelerdeki muadilleriyle önemli bir özelliği paylaşıyor gibi görünüyor: hükümetleriyle zımni bir ittifak.
Rapora göre, Hindistan’daki en büyük on iki kiralık bilgisayar korsanlığı firması, özel işleri de üstlenirken sürekli olarak hükümetle ilgili bazı projelerde yer alıyor.
Bu model, hem devlet hem de özel sektördeki siber güvenlik araştırmacıları tarafından gözlemlenmiştir.
Bazı Hintli kiralık bilgisayar korsanlığı gruplarının, Hindistan’ın Çin ve Pakistan ile siber savaş alanına kadar uzanan yoğun rekabetiyle birlikte, Hindistan hükümetinin çıkarlarıyla uyumlu faaliyetlere geçiş yaptıkları biliniyor.
Ulus devlet aktörlerinin siber ortamdaki yükselişi, hükümetler, kuruluşlar ve siber güvenlik uzmanları için önemli bir zorluk teşkil ediyor. Uzmanlaşmış becerileri, devlet destekli kaynakları ve anonimlik taahhütleriyle, gelişen siber savaş alanında zorlu bir gücü temsil ediyorlar.
Ulus Devlet Aktörleri, genellikle kendi uluslarının askeri, istihbarat veya devlet kontrol aygıtlarıyla yakın bağlara sahiptir ve onları yüksek derecede teknik uzmanlıkla donatır.
Bazıları, casusluk, propaganda veya dezenformasyon kampanyalarına katılmalarını sağlayan belirli dil, sosyal medya veya kültürel beceriler için seçilir. Kapsamlı kaynakları ve hükümetlerinin desteğiyle, hükümet çalışanlarından veya silahlı kuvvetler üyelerinden talimat alıyorlar.
Hükümetler tarafından görevlendirilen bu yetenekli kişiler, değerli verilere veya istihbarata erişmek amacıyla hedef hükümetleri, kuruluşları ve hatta bireyleri bozmak veya tehlikeye atmak için uzmanlıklarını kullanır.
İlgili devletlerinin zımni desteğinden yararlanarak, kendi ülkelerindeki yasal sonuçlardan korunarak cezasız bir şekilde faaliyet gösteriyorlar.
Milliyetçilikle motive olan Nation State Actors’ın tek bir hedefi vardır: diğer uluslardan sırlar elde etmek veya siber yollarla operasyonlarını bozmak.
Yöntemleri, endüstriyel sırları çalmak, kritik ulusal altyapıyı sabote etmek, politika tartışmalarına kulak misafiri olmak, liderlerini gücendiren şirketleri tasfiye etmek veya kendi uluslarının sınırları içinde ve ötesinde propaganda ve dezenformasyon kampanyaları başlatmak gibi hedefli görevleri içerir.
Nation State Actors’ın yüksek profilli bireylerdeki güvenlik açıklarından yararlanmak için özenle hazırlanmış hedefli kimlik avı e-postaları kullanması ile sosyal mühendislik çok önemli bir rol oynuyor.
Ayrıca, kötü niyetli yazılımları dağıtmak için stratejik web sitelerinden ödün vererek, hiçbir şeyden habersiz ziyaretçileri tuzağa düşürebilirler. Sosyal ağlarda sahte profiller oluşturmak veya hedef kuruluşların tedarik zincirlerine sızmak gibi daha ileri sosyal mühendislik taktikleri de kullanılır.
Ulus Devlet Aktörlerinin emrindeki müthiş yetenekler, onların karmaşık saldırılar gerçekleştirmelerine olanak tanır.
Örneğin, Stuxnet kötü amaçlı yazılımı özellikle İran’ın nükleer üretim tesislerini hedef alarak operasyonlarının kapsamını gösterdi.
Sofacy ve Operation Cleaver gibi gruplar da hükümetlere ve kuruluşlara karşı koordineli saldırılar gerçekleştirme yeteneklerini gösterdiler.
Eylemlerinin sonuçları, ABD’nin Kuzey Kore’ye yaptırımlar uygulamasına yol açan Sony Pictures’a yönelik 2014 siber saldırısında örneklendiği gibi, jeopolitik sonuçlara kadar uzanabilir.
Ulus Devlet Aktörleri, siber savaşa dahil olmalarına ek olarak, muhalifleri veya aktivistleri takip etmek, bozmak ve onlara zulmetmekle görevlendirilebilir.
Diğerleri, kamuoyunu manipüle etmek ve işverenlerinin itibarını artırmak için trol ordularını kullanarak propaganda ve dezenformasyon kampanyalarında uzmanlaşmıştır.
Sanayi kuruluşları ve düşünce kuruluşları, iş ve devlet sektörlerindeki katılımcılardan topladıkları güven nedeniyle giderek artan bir şekilde siber saldırıların hedefi haline geliyor.
Bu kuruluşlar, hassas bilgilere dolaylı erişim sağlayarak onları kötü niyetli aktörler için çekici hedefler haline getirir.
Bu arada, NoName İngiliz firmalarını hedef almaya başladı. Sebep? Zelenskyy, Rishi Sunak ile telefon görüşmesi yaptı!