En son baskısında yıllık Güvenlik RaporuCheck Point Yazılım Teknolojileri, ulus devletler misilleme olmaksızın bir dereceye kadar anonimlik içinde hareket ettikçe, devlet siber operasyonları ile bilgisayar korsanlığı arasındaki sınırların bulanıklaştığı, siber güvenlik alanında çalkantılı bir yılı geride bıraktı.
Bu makalede, Check Point Software’de Tehdit İstihbaratı Grup Yöneticisi olan Sergey Shykevich, yeni bir bilgisayar korsanlığı türünün yükselişine ve jeopolitik ilişkilerin mevcut tehdit ortamı üzerindeki etkisine bakıyor.
Hacktivizm geleneksel olarak Anonymous gibi gevşek yönetilen varlıklarla ilişkilendirilmiştir. Bu merkezi olmayan ve yapılandırılmamış gruplar tipik olarak çeşitli gündemleri desteklemek için işbirliği yapan bireylerden oluşur ve birçok grubun işe alım için açık kapı politikası vardır. Bununla birlikte, geçen yıl boyunca ve Rusya-Ukrayna ihtilafındaki gelişmelerin ardından, bilgisayar korsanlığı ekosistemi hem kaynak kökenleri hem de motivasyonları açısından olgunlaştı.
Hacktivist gruplar örgütlenme ve kontrol seviyelerini sıkılaştırdı ve bugün askere alma ve eğitim, araçları paylaşma, istihbarat ve hedef tahsisi dahil olmak üzere askeri benzeri operasyonlar yürüttüklerini göreceksiniz. Örneğin, savaşın başında Ukrayna BT altyapısına yönelik Rus saldırılarının ardından Ukrayna, “Ukrayna BT Ordusu” adlı benzeri görülmemiş bir hareket kurdu.
Özel bir Telegram kanalı aracılığıyla operatörleri, Rus hedeflerine karşı kampanyalarında 350.000’den fazla uluslararası gönüllüyü yönetiyor. Savaş alanının diğer tarafında, Rusya bağlantılı bir grup olan Killnet, askeri benzeri bir organizasyon yapısı ve yukarıdan aşağıya net bir hiyerarşi ile kuruldu. Killnet, saldırılar gerçekleştiren ve ana komutanlara cevap veren çok sayıda özel ekipten oluşur.
Yeni hacktivist grupların çoğu, hükümet anlatılarıyla bağlantılı olan açık ve tutarlı bir siyasi ideolojiye sahiptir. Diğerleri daha az politiktir, ancak yine de operasyonlarını ekonomik değil sosyal amaçlarla motive edilen özel olarak hedeflenmiş kampanyalar yoluyla daha profesyonel ve organize hale getirdiler.
Kim sorumlu ve kesin olarak biliyor muyuz?
Bu tür bir siber savaş sadece zarar vermekten ibaret değildir. Tüm aktif gruplar, medyada yer almanın öneminin farkındadır ve başarılı saldırıları duyurmak için iletişim kanallarını kullanır ve etkiyi en üst düzeye çıkarmak ve bu tür bilgisayar korsanlığı saldırılarına ilişkin korkuyu yükseltmek için bunları yeniden yayınlar.
Örneğin, Killnet’in Telegram kanalında 91.000’den fazla abonesi var ve burada saldırılar yayınlıyorlar, ekip üyelerini işe alıyorlar ve saldırı araçlarını paylaşıyorlar. Ayrıca, grubun siber uzaydaki başarılarını tanıtmak ve ‘düşmanlarına’ veya Rusya karşıtı varlıklara yönelik başarılı saldırılarının etkisini doğrulamak için büyük Rus medya kuruluşlarında faaliyetine geniş yer veriliyor.
Giderek artan bir şekilde, gerçekte siber saldırılara çok az veya hiç karışmadıkları halde siber saldırıların sorumluluğunu üstlenen gruplarda artan bir eğilim var.
Almanya’nın amiral gemisi Lufthansa, 2023’ün başlarında binlerce yolcunun ülke çapındaki birçok havaalanında mahsur kalmasına neden olan ciddi bir BT sorunu yaşadı. Dış kablolara zarar veren inşaat çalışmalarının sonucu olduğu düşünülüyordu.
Saldırının sorumluluğunu Rusya yanlısı hacker grubu Killnet üstlendi ve bunun Almanya’nın Ukrayna’ya verdiği desteğe misilleme olduğunu söyledi. Grup, sosyal medya kanalları aracılığıyla bir bildiri yayınladı: “Lufthansa çalışanlarının ağını, saniyede üç milyon yağ veri paketi talebiyle öldürdük.”
Bunlar fareler üzerinde başarılı olan deneylerdi. Artık dünyadaki herhangi bir havaalanının herhangi bir navigasyonunu ve teknik ekipmanını nasıl durduracağımızı biliyoruz. Başka kim Ukrayna’ya silah tedarik etmek istiyor?’
Bu iddialı mesaja rağmen, Killnet’in saldırıyla herhangi bir ilgisi olduğuna ve aslında kötü şöhretlerini artırmaya ve korku düzeylerini artırmaya çalıştıklarına dair çok az kanıt var.
Bir saldırıdan kimin veya hangi örgütün sorumlu olduğunu belirlemek her zaman kolay değildir ve olay potansiyel olarak devlet destekli olduğunda daha da zordur.
Maskenin arkasındaki kişi (veya hükümet) kimdir?
Sorumluluğu üstlenmek ile sorumlu olmak arasında büyük bir fark vardır. Anonimlik kisvesi altında faaliyet göstermek, devlet destekli saldırıları meşrulaştırmanın bir yolu olarak görülebilir, ancak bu ne zaman kargaşa yerine teröre dönüşür?
Notre Dame Üniversitesi tarafından yürütülen araştırma, devlet destekli bilgisayar korsanlığının ‘devletler tarafından birbirlerine karşı geleneksel güç kullanımının amacı veya hedefi olarak genellikle arananlara benzer siyasi etkiler üretmeyi amaçlayan siber alandaki silahlar ve saldırılar’ olduğunu savunuyor.
Böyle bir yaklaşım, ulus devletlerin siber dünyada anonim olarak ve belki de en önemlisi misilleme korkusu olmadan ve saldırıların sorumluluğunu üstlenmeden hareket edebilmesi anlamına gelir.
Saldırılar, finans veya sağlık kurumları, hükümet binaları, enerji tedarikçileri veya acil servisler gibi kritik altyapı bileşenlerini hedef alarak maksimum kesintiye neden olmayı amaçlar. Bu kadar önemli bir desteğe rağmen, bunun gibi bir saldırının etkileri, güç kullanılmış olanlarla aynı seviyede olabilir.
Rusya’nın Ukrayna’yı işgalinden önce bilgisayar korsanlığı ciddi bir bağlamda nadiren kullanılan bir terimdi ve muhtemelen düşüşteydi. Ancak savaş, bilinen ve bilinmeyen grupların faaliyetlerinde bir artışa neden oldu.
Bu bilinmeyen taraflar, siyasi kazanç için hedeflere yönelik saldırılar gerçekleştirmeleri için devlet kurumları tarafından potansiyel olarak desteklendikleri için en fazla entrikayı yaratanlardır.
Örneğin, Rusya’nın Ukrayna’yı işgalinden sonraki 48 saat içinde Rus kaynaklı olduğundan şüphelenilen siber saldırılarda %800’lük bir artış oldu. Etkinlik de yavaşlamadı.
Check Point Research’e göre 2022’nin ikinci yarısında Rusya’ya bağlı en büyük bilgisayar korsanlığı grupları olan Killnet, ilginç bir şekilde yalnızca %5’i Ukraynalı olan 650’den fazla kuruluşu veya kişiyi hedef aldı. Siber saldırılara yardım etmek için devlet kaynaklarını kullandığına inanılan sadece Rusya değil, İran, İsrail ve Çin’deki grupların da devlet destekli faaliyetlerle bağlantıları olabileceği iddia ediliyor.
Bilgisayar korsanlığı 2023’te nasıl görünecek?
Bu yeni bilgisayar korsanlığı çağındaki saldırıların sıklığı ve karmaşıklığı, kökenleri hakkında soru işaretleri uyandıracak. Maskenin arkasında kim veya hangi örgüt var ve eylemleri siyasi kazanç veya terör amaçlı mı? Önümüzdeki yıl, neyin hükümet, bilgisayar korsanı veya siber saldırı olduğunu tespit etmek giderek daha zor hale gelecek.
Bilgisayar korsanlığından devlet destekli terörizm olarak bahsetmek için çok erken olabilir, ancak hiç şüphe yok ki, birini diğerinden ayırmak giderek zorlaşıyor. Jeopolitik gerilimler dünya gündemine hakim olmaya devam ederken, bu yeni siber savaş çağı iyileşmeden önce daha da kötüye gidecek.