Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar , Devlet
Daha Fazla Kanıt, Kendini Tanıtan ‘Hacktivist’ Grubun Rus Devletinin Bir Aracı Olduğunu Öneriyor
Mathew J. Schwartz (euroinfosec) •
20 Temmuz 2023
Kendilerini Rus vatansever ilan eden bilgisayar korsanlığı grupları, bir dizi yıkıcı çevrimiçi saldırı yoluyla Moskova karşıtı hedefleri kasıp kavurduklarını iddia etmeye devam ediyor.
Ayrıca bakınız: Kesin E-posta Siber Güvenlik Stratejisi Rehberi
Dağıtılmış hizmet reddi saldırıları kullanan ve bunun ne kadar kötü olduğuyla övünen en yüksek profilli Rus gruplarından biri olan KillNet söz konusu olduğunda, yutturmacaya inanmayın. KillNet’in haberlerde yer almasına neden olan ve belki de politika yapıcıları etkileyen aşırı kendini tanıtmanın yanı sıra, uzmanlar, grubun faaliyetlerinin gerçek dünyadaki siber güvenlik etkisinin yetersiz olduğunu düşünüyor.
Google Cloud’un Mandiant Intelligence bölümü yeni bir raporda, “KillNet’in faaliyetleri, yalnızca kısa süreler boyunca yalnızca sığ etkiler oluşturan DDoS saldırılarına odaklandı.” Dedi.
Mandiant’ın KillNet ve ilişkili gruplar tarafından 1 Ocak’tan 20 Haziran’a kadar başlatılan 500 DDoS saldırısına ilişkin değerlendirmesi, kolektifin bağımsız, vatansever bilgisayar korsanlarından oluşan tabandan bir topluluk olmadığına dair daha fazla kanıt sunuyor. Mandiant, “KillNet’in hedeflemesi, yerleşik ve yeni ortaya çıkan Rus jeopolitik öncelikleriyle tutarlı bir şekilde uyumlu hale geldi; bu da, bu bilgisayar korsanlığı faaliyetinin etki bileşeninin en azından bir kısmının, Rusya’nın Ukrayna’nın işgali karşısında düşman olarak algılanan uluslar içindeki çıkarlarını doğrudan desteklemeyi amaçladığını gösteriyor” dedi.
Araştırmacılar, KillNet ve bağlı kuruluşlarının sıklıkla teknoloji, sosyal medya ve ulaşım firmalarının yanı sıra NATO’ya saldırdığını söyledi. Hedefler arasında Alman devlet kurumları ve finansal hizmet firmaları, AB Parlamentosu, travma merkezleri ve havaalanı web siteleri yer alıyor ve tipik olarak saldırılar çok az gerçek kesintiye neden oluyor.
KillNet’in Telegram kanalı aracılığıyla saldırılarını anlattığını duymak için, bu bilgisayar korsanları yıkıcı olmaktan başka bir şey değil. Aynısı, KillMilk, Tesla Botnet, Anonymous Russia ve Zarya dahil olmak üzere KillNet kolektifinin diğer geçmiş ve şimdiki üyeleri için de geçerli. Anonymous Sudan tarafından yapılan son saldırılar, ücretli bulut altyapısını içeriyor ve daha büyük bir etkiye sahip olsa da bunun bir norm haline gelip gelmeyeceği belli değil.
Bilgi İşlemleri
Rusya’nın Ukrayna’ya karşı topyekûn savaşının ilk günlerinde, Batılı siber güvenlik yetkilileri vatansever bilgisayar korsanlarının askeri kampanyalarla eşgüdümlü olarak önemli siber operasyonları destekleyebileceği konusunda uyardı. Analistler, Rus ordusu tarafından birleşik siber ve kinetik operasyonların kullanılması gibi, stratejinin de gerçekleştirilemediğini söylüyor.
“Özel bir askeri hacker şirketi” olduğunu iddia eden ve REvil ve Conti gibi tanınmış siber suç gruplarıyla ortak olduğunu iddia eden KillNet gibi gruplar, Rusya Devlet Başkanı Vladimir Putin’in politikalarına katılmayan herkese karşı DDoS misilleme tehdidinde bulunarak hala çok gürültü yapıyorlar.
Bazı fidye yazılım gruplarına paralarını kaçırmalarına neden olan bazı grupların aşırı kendini tanıtması, temel becerileri olabilir. Bu yılın başlarında, çatışmanın her tarafındaki gruplarla aynı hizada olan 200’den fazla bağımsız bilgisayar korsanlığı grubunu takip eden Recorded Future’da araştırmacı olan Alexander Leslie, bilgisayar korsanlığı gruplarının havlamasının neredeyse her zaman ısırıklarından daha büyük olduğunu bildirdi.
Information Security Media Group’a verdiği demeçte, “Bu gruplar tarafından ileri sürülen iddiaların ezici çoğunluğu yanlıştı, yanıltıcıydı veya etki açısından abartılıydı” dedi.
Bu tür saldırıların amacının, Rus savaş makinesini gerçekte olduğundan daha korkutucu ve daha etkili göstererek, hedeflerin siber güvenliğini değil, psikolojilerini bozmak gibi göründüğünü söyledi. Bir risk, savunucuların ve politika yapıcıların hileye kanmasıdır.
Mandiant Intelligence’ın baş analisti John Hultquist, “Rus yanlısı bilgisayar korsanları, gösterişli hedefleri vurarak ve bir dizi kimlik üstlenerek gerçekten dikkatimizi kırmaya çalışıyor” dedi. “Ciddi bir olayı gerçekleştirmeyi başarabilirler, ancak acil etkilerin onlar için güvenlik duygumuzu baltalamak kadar önemli olmadığını unutmamalıyız.”
Anonim Sudan Çıkış Yapıyor
Mandiant’ın bildirdiğine göre, Ocak 2022’den beri faaliyette olan KillNet’in öyküsündeki dikkate değer bir değişiklik, KillNet’in Anonymous Sudan bağlı kuruluşunun “KillNet kolektifi tarafından iddia edilen toplam DDoS saldırılarının %63’ünü oluşturan” yükselişi oldu.
Anonymous Sudan, büyük isimli hedeflere dayanmak için daha etkili çevrimiçi bozma yetenekleri getiriyor. Geçen ay Microsoft, Azure ve Microsoft 365 kesintilerinin Anonim Sudan’dan kaynaklandığına dair raporları doğruladı.
Grubun kesintileri, tipik KillNet saldırısından daha karmaşıktı. Avustralyalı siber güvenlik firması CyberCX, Anonymous Sudan’ın “DDoS trafiğinin kaynağını dağıtmak ve gizlemek için proxy’ler” kullandığını bildirdi. Bu proxy’lerin çoğu, erişimin ayda on binlerce dolara mal olacağına inandığı ücretli hizmetler gibi görünüyordu.
Anonim Sudan’ın DDoS savaşını sürdürmek için pahalı çevrimiçi altyapıyı kullanması, yoksul bir Doğu Afrika ülkesinden faaliyet gösteren tamamen gönüllülerden oluşan bir grup olma iddiasını baltalıyor. Mandiant, “Rus hükümetiyle bağlantılı aktörler, tarihsel olarak, Batı ülkelerini hedef almadaki rollerini gizlemenin bir yolu olarak sahte bilgisayar korsanlığı cepheleri kullandılar.” Dedi.
En iyi bilinenlerden biri, 2016 ABD başkanlık seçimlerini etkileme girişiminin bir parçası olarak WikiLeaks’e veri sızdıran sözde bilgisayar korsanı Guccifer 2.0’dı. ABD hükümeti bilgisayar korsanının Rusya’nın FSB askeri istihbarat teşkilatından başkası olmadığını söyledi.
Anonymous Sudan’ın vekalet faturalarını kim ödüyor? Belki de tüm KillNet kolektifi doğrudan FSB tarafından bir kesinti olarak yönetiliyor. Ya da belki Rus istihbaratı serbest çalışanlardan oluşan çatlak bir ekip oluşturup onlara bedava votka ve Moskova onaylı hedeflerin bir listesini veriyor.
KillNet ve benzerleri ne kadar yürütülüyor olursa olsun, bu çabaların amacı belirsizliğini koruyor. Belki de DDoS grupları, Rusya’yı olduğundan daha korkunç göstermek için bilgi operasyonları olarak tasarlandı, bu durumda en azından kısmen başarılı oluyorlar. Belki de casusluk operasyonlarını koruyorlardır. Belki de amaç, dikkati Moskova’nın Ukrayna’yı fethetme veya ülkenin kritik altyapısını çökertme konusundaki başarısızlığından uzaklaştırmaktır.
Buna göre, KillNet’in onu Rusya için öldürüp öldürmediğini bilmek artık zor. İngiliz istihbarat yetkilisi Paul Chichester, bu yılın başlarında Rusya’nın siber operasyonlarının başarısını veya başarısızlığını ölçme girişimleri konusunda uyardığı gibi, “Onların ve bizim başarı görüşümüz gelecekte farklı olabilir.”