Rusya ordularının 24 Şubat 2022’de Ukrayna sınırını geçmesinden günler, haftalar, hatta aylar önce, güvenlik uzmanları dünyanın daha önce hiç görmediği, yaklaşmakta olan bir siber savaş konusunda uyarıda bulunuyordu.
Batı’daki kritik hedeflere yönelik, NATO’yu çatışmanın içine çekebilecek yıkıcı saldırılardan söz edilmesi, işgalden önce, Rusya’nın saldırısına zemin hazırlamak için Ukrayna’daki hedeflere yönelik artan hacimlerde siber saldırılar başlatıldığında arttı. Bu, fidye yazılımı dolapları gibi görünen ve davranan, ancak verileri şifrelemek yerine yok eden kötü amaçlı yazılımlar olan birden çok veri silicinin keşfedilmesiyle sonuçlandı.
Geriye dönüp bakıldığında, ne kadar çok kişinin sürüklendiğini görmek kolaydır. Rusya merkezli tehdit aktörleri, son derece aktif, son derece sofistike ve son derece tehlikeli oldukları için siber güvenlik topluluğunun baş belası haline geldiler ve bu hiç de makul değil.
Yakın jeopolitik tarih, Rusya’nın Ukrayna’ya yönelik devlet bağlantılı siber saldırılarıyla dolu bir emsal teşkil ediyor; bunların bazıları, NotPetya gibi, küresel etkilere sahip olacak şekilde yayıldı.
Google Cloud’un Mandiant’ında kıdemli tehdit istihbaratı danışmanı Jamie Collier geriye bakıyor. “Çatışmanın başlangıcında, yayılma konusunda kesinlikle çok fazla endişe vardı” diyor. “Başka bir NotPetya mı göreceğiz yoksa kontrolsüz bir şekilde yayılan her türlü yayılma özelliğine sahip kötü amaçlı yazılımları mı sileceğiz, [and] sadece Ukrayna’da değil, tüm Avrupa’da kritik altyapıyla ilgili endişeler.”
Ancak olayda, siber savaş, kapsamlı olmasına rağmen, birçok kişinin hayal ettiği şekilde gerçekleşmedi. Mandiant’ın Birleşik Krallık ve İrlanda için bölgesel danışmanlık lideri ve EMEA hükümeti için uygulama lideri olan Collier’ın meslektaşı Paul Tumelty şöyle diyor: “Ezici tehdit Ukrayna’nın içinde, Ukrayna çıkarlarına karşı.
“[But] Ukrayna dışındaki Rus hedeflerine karşı casusluğun devam ettiğine dair bazı kanıtlar var, ancak bunlar Ukrayna ile ilgili” diye ekliyor. “APT29 olarak izlediğimiz grubun açık olduğu Avrupa’daki hükümetlerle bir dizi olay müdahale vakası yaptık. [Cozy Bear] büyük ölçüde yaptırımlar ve diplomatik manevralar gibi konularda karar verme süreçlerini izlemek için Avrupa hükümetlerine ve karar alma organlarına karşı siber casusluk faaliyetleri yürütmeye devam ediyor.”
Saldırıların başarısızlığı önemli bir ders
Rusya’nın Kırım’ı yasa dışı olarak ilhak etmesinden ve son 12 aydır süren açık çatışmalardan bu yana geçen dokuz yılda, Ukrayna’nın silahlı kuvvetleri cesaret ve kahramanlığın simgesi haline geldi ve siber savunucuları da kendilerini fazlasıyla savundu.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi’nin (NCSC) CEO’su Lindy Cameron, Rusya’nın Ukrayna’ya yönelik siber saldırılarının amaçlanan etkilerine ulaşamamasının önemli bir ders içerdiğini söylüyor, ancak bu konuda kayıtsızlığa karşı uyarıda bulunuyor.
2022 sonbaharında bir Chatham House konferansında konuşan Cameron, Ukrayna’nın siber savunmasının yıllar içinde oluşturduğu yerleşik gücünün ve Kiev’in dost hükümetlerden ve özel sektör ortaklarından aldığı desteğin, Rus dezenformasyonunun ve siber saldırıların amaçlananlarına ulaşmasını engellediğini söyledi. Ukrayna’yı istikrarsızlaştırmanın etkisi daha da arttı.
O sırada, “Hükümetler ve özel sektördeki Ukraynalı ve Batılı dijital uzmanlığın çabaları sayesinde her iki çaba da büyük ölçüde başarısız oldu” dedi. “Birçok yönden işgalden alınacak en önemli ders, çok önemli ve çoğu durumda çok karmaşık olan Rus saldırıları değil, Rusya’nın başarısızlığıdır. Ne kadar denerlerse denesinler, Rus siber saldırıları amaçlanan etkiyi yaratmadı.
Cameron, “Rusya, son 10 yılda sürekli olarak onlara saldırarak Ukrayna maçını uygun hale getirdi” diye ekledi. “Siber Kıyamet’i görmedik. Gördüğümüz şey, siber uzayda çok önemli bir çatışma – muhtemelen kayıtlardaki en uzun süreli ve yoğun siber kampanya.”
Siber Kıyamet Birleşik Krallık’ta veya Ukrayna’da olmadığı açık, ancak Armis’in saha baş teknoloji sorumlusu Ziv Dines, savaş bölgesi dışında her şeyin barışçıl ve sessiz olduğu fikrini ele almak konusunda endişeli. Gerçekten de, Rusya’dan yayılan kötü niyetli faaliyetlerin genel hacimlerinin tavan yaptığını söylüyor.
Dines, “İzlediğimiz ağlarda siber saldırılarda ve kötü amaçlı etkinliklerde %15’lik bir artış gördük” diyor. “%500 veya %1.000 değil, ama bir artış oldu, bu yüzden hiçbir şey olmuyor algısını kırmaya çalışıyoruz. Hayır, bir şeyler oluyor ve bunlar dünya çapındaki ağları etkiliyor.”
Dijital dönüşüm engellendi
Kurumsal liderlik, kötü niyetli faaliyetlerdeki bu büyümeye karşı kör değildir. Armis tarafından derlenen yakın tarihli bir rapor, Birleşik Krallık kuruluşlarının %50’sinden fazlasının siber savaş tehdidinin aslında dijital dönüşüm programlarını engellediğine inandığını ortaya koydu. Dines, bunun, kimsenin potansiyel yayılmaya karşı bağışık olmadığına dair artan farkındalıkla bir ilgisi olabileceğini söylüyor.
“Kritik altyapı operatörleri her zaman korkmuştur ve ordularla veya orduyla veya başka bir şeyle çalışan herkes, ama rastgele şirketlere baktığınızda korkmuyorlar” diyor. “Geçen yıl bu değişti. Artık korkuyorlar. Yıkımı gördüler. Bu saldırılarla neler olabileceğini gördüler ve şimdi korkuyorlar. Bu da projelerini etkiliyor.”
Bunun nihai etkisi, diyor Dines, iki ila beş yıl önce büyük ölçekli bir dijital dönüşüm projesi başlatan müşteriler, artık devam etmeden önce Ukrayna’daki savaşın kendilerini maruz bıraktığı risklere ara verip yeniden değerlendirmeleri gerektiğini fark ediyorlar.
Aşırı tepki verme eğilimi?
Bu, gerçekte kimin siber savaşa sürüklenme riski altında olduğuyla ilgili soruları gündeme getiriyor? Collier şöyle diyor: “Eğer büyük, çok uluslu bir kuruluşsanız, diyelim ki yaptırım rejimleriyle bazı etkileşimleri olacak bir banka, orada Rusya’nın sizi hedef alabileceğine dair endişeler var. Bu endişeler makuldü, geçersiz değildi.”
Bununla birlikte, bazı kuruluşların Rus tehdidine aşırı tepki verme ve hatta aşırı düzeltme yapma eğilimini gördü ve buna dikkat etmek ve kaynakları ona ayırmak önemli olsa da, bazıları belki de daha önemli olan diğer konularda topu düşürmüş olabilir. kuruluşlarıyla alakalıdır.
Collier, “Fidye yazılımı, Avrupa’daki büyük çoğunluk için en büyük tehdit olmaya devam ediyor” diyor. “Ayrıca Çin ve diğer devletlerin aktif kaldığını gördük, bu nedenle, dışarıdaki tüm diğer tehditler göz önüne alındığında, çoğu için Rusya’ya odaklanmak riskli bir strateji.”
Dines, bazı güvenlik liderlerinin geçmişte biraz naif olabileceğini, çünkü Rusya’nın casusluk hedefleri için çok fazla ilgi uyandıran bir dikeyde faaliyet göstermedikleri için – Rusların onları umursamadığını düşündüklerini ve dolayısıyla onlar güvendeydi. “Artık kimse güvende değil, bu nedenle, zihniyetimin bir parçası ‘tamam, bu yüzden günlük işlerimde ne yapmam veya değiştirmem gerekiyor?’ şeklinde olmalı” diyor.
Mevcut durumu, 11 Eylül 2001 terör saldırılarının ardından uçma sürecinin – özellikle ABD’de – nasıl dramatik bir şekilde değiştiğine benzetiyor.
Dines, “Yeni endüstriler ve yeni güvenlik endişeleri yarattık, havaalanında saatler geçirdik ve düşünce şeklimizi tamamen değiştirdik” diyor. “100 ml’den fazla sıvı içerdiği için uçağa deodorant taşıyamamanız gerçeği 25 yıl önce saçma olurdu, ancak şimdi çok yaygın ve açık. Aynı uzun vadeli etki siberde de oluyor.”
Dersler öğrenildi
Ve her zaman olduğu gibi, siber güvenliğin temellerine dikkat eden kuruluşların bir saldırıya en pahalı hizmeti satın alanlardan daha iyi dayanacağı şeklindeki eski özdeyiş burada bir dereceye kadar geçerliliğini koruyor.
Collier, “Temellere odaklananlar, uzun vadeli başarı için daha iyi ayarlanmış kişiler olma eğilimindedir” diyor.
“Gördüğümüz şey, zaman içinde pek çok Rus faaliyetinin aslında altyapıyı ve kötü amaçlı yazılımları yeniden kullandığıdır. Bu Rus tehdit gruplarının, iyi kaynaklara sahip olsalar da sınırlı kaynaklara sahip insanlar olduğunu unutmamalıyız ve bu, zamanla bu konuda gerçekten bir şeyler yapmak için giderek daha fazla güçlendiğimiz anlamına geliyor – çünkü bunların çoğu ortaya çıkıyor. temelleri kilitlemek ve iyi güvenlik hijyenine sahip olmak.
Tumelty, birçok kuruluşun Covid-19 salgını sırasında yürüttükleri iş sürekliliği tatbikatlarının bir sonucu olarak genel siber güvenlik duruşlarını gözle görülür şekilde iyileştirdiğini bildiriyor.
“Yönetim kurulu seviyesinden duyduğum çoğu şey, uzaktan çalışma ve planlama açısından Covid-19’dan çok şey öğrendikleri ve bu resmi olarak belgelenmemiş olsa da benzer süreç ve metodolojileri benimsedikleri. Ukrayna krizi ve ardından işgalin ilk şokunu atlattıktan sonra her şey her zamanki gibi oldu” diyor.
Ancak bu, hala göz ardı edilen başka zayıflıklar olduğu anlamına gelmez. Tumelty, Mandiant’ın yanıt verdiği birçok siber savaş bağlantılı olayda, yama uygulanmamış veya envantere alınmamış eski donanımların güvenlik açıklarıyla dolu olduğunu ve bazı durumlarda Rus aktörler tarafından önceden ekilmiş ve kötü amaçlı yazılımlarla bezenmiş korsan yazılımlar bulduğunu söylüyor. Varlık yönetimine daha fazla dikkat edilmesini, eski uygulamaların kapatılmasını ve saldırı yüzeyini en aza indirmek için adımlar atılmasını öneriyor.
Kalkanlar yukarı
Bir Rus müdahalesine karşı daha fazla risk altında olabilecek kuruluşlardaki baş bilgi güvenliği görevlileri ve güvenlik ekipleri de ortaya çıktıkça yeni tehdit istihbaratına dikkat etmelidir, çünkü çatışmanın ek bir etkisi de verinin doğasında önemli bir değişikliğe neden olmuştur. SonicWall’da bir tehdit algılama ve müdahale uzmanı olan Immanuel Chavoya’nın işaret ettiği gibi, finansal olarak motive olmuş Rus siber suç ekosistemi.
Bu eğilimin en iyi örneği, sözde iç çatışmalar sırasında Conti fidye yazılımı kartelinin çökmesidir. “Bazı gruplar siyasi ittifaklar ve jeopolitik konusunda bölünmüşken, diğerleri bu gruplar hakkındaki düşüncelerimizi ve onların yeteneklerine ilişkin geleneksel anlayışımızı etkileyen önde gelen operatörleri kaybetti” diyor. “Ayrıca, fidye yazılımı ekosisteminde uzmanlaşmaya doğru bir eğilim gördük ve bu da kesin ilişkilendirmeyi zorlaştırıyor. Bu, riskleri etkili bir şekilde azaltmak için gelişen tehdit ortamını sürekli olarak izlemenin ve analiz etmenin önemini vurguluyor.”
Trustwave güvenlik araştırmacısı Jeannette Dickens-Hale, Rusya’nın siber saldırı yeteneklerini hafife almanın hata olacağını söylüyor.
“Ukrayna, yıllar boyunca çeşitli saldırı türlerini denemek için Rusya’nın siber oyun alanı olsa da, Ukrayna’ya karşı mevcut siber saldırı ve fiziksel savaşın Rusya’nın herhangi bir zayıflığının göstergesi olduğu varsayılmamalıdır” diyor. “Rusya da bu saldırıdan çok şey öğreniyor ve diğer taraftan gerçek dünyada uygulamak için yeni ve bilenmiş becerilerle çıkabilir.
Dickens-Hale, “Bildiğimiz gibi, suçlar genellikle onları yöneten yasalardan önce gelir” diyor. “Tehdit aktörleri yenilik yapıyor ve kolluk kuvvetleri, işlenen suç veya siber suçlar için adaleti sağlayan yasalar hazırlamak ve yürürlüğe koymak zorunda.
“Hibrit savaş – eş zamanlı olarak yürütülen siber ve kinetik saldırılar – savaş arenasında yeni. Bununla birlikte, Tallinn El Kitabı, siber Etkileşim Kurallarını düzenleyen belirli kuralları tanımlar. Her savaş türünde olduğu gibi, bu kurallara ne ölçüde uyulacağı veya bu kuralların ne ölçüde gelişeceği herkesin tahmin edebileceği bir konu.”
Günümüz bilgisayar biliminin gelişimi savaşa çok şey borçludur. Gerçekten de, İkinci Dünya Savaşı sırasında ABD Ordusunun topçu mermilerinin yörüngesini hesaplamasına yardımcı olmak için tasarlanan ENIAC gibi erken ana bilgisayarların geliştirilmesi ile bir akıllı telefon arasında doğrudan bir çizgi vardır.
Rus güçlerinin tamamen çökmesi veya Moskova’da bir tür rejim değişikliği olmaksızın kısa vadede Ukrayna’ya barış geri dönse bile, kinetik savaşın sona ermesi, devlet destekli veya devlet destekli Rus tehdit aktörlerinin oluşturduğu siber tehdide neden olmayacak. Aksi takdirde, azaltmak için.
Rusya istihbarat servislerinin çatışmayı yeni taktikler, teknikler ve prosedürler geliştirmek ve iyileştirmek için kullandığı neredeyse kesin ve daha önce de sık sık gördüğümüz gibi, bu saldırıların yer altı siber suçlulara sızması muhtemel.
14 Şubat 2022’de Ukrayna’daki gerilim tırmanırken, ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatı’ndan Jen Easterly artık ünlü olan “Kalkanları Kaldır” tavsiyesini yayınladı. Şimdi onları bırakma zamanı değil.