7 Ekim Cumartesi günü erken saatlerde Hamas görevlileri İsrail ile Filistin’in Gazze bölgesi arasındaki sınıra baskın yaptığında açık savaş Ortadoğu’ya geri döndü. Diğer modern kinetik çatışmalarla benzer şekilde, Hamas ile İsrail arasında gelişen çatışma, buna karşılık gelen ve giderek artan bir çevrimiçi siber savaşı da beraberinde getirerek, dünya çapındaki kuruluşların çatışmadan kaynaklanan siber olaylara kapılma olasılığını artırdı.
Bu arada sivil toplum kuruluşları, savunma yüklenicileri, devlet kurumları ve hatta İsrail’de şubeleri bulunan ilgisiz şirketler gibi çatışmayla bağlantısı olan kuruluşlar, hacktivistlerden ulusa kadar farklı tehdit aktörlerinin hedef aldığı kötü niyetli faaliyetlere karşı yüksek risk altında olacak. devlet destekli gelişmiş kalıcı tehdit (APT) grupları.
Bu düşünceleri aklımızda tutarak, bu yeni siber savaşın neye benzediğini incelemek, görülen tehdit faaliyeti kalıplarını incelemek ve güvenlik ekiplerinin, kuruluşlarını hedef bulmaları durumunda dayanıklılıklarını sağlamak için hangi adımları atabileceklerini sormak için yola çıktık.
Bugüne kadar gözlemlenen faaliyetlerin çoğu, web sitesi tahrifatı veya dağıtılmış hizmet reddi (DDoS) saldırıları yürüten hacktivist gruplara ve çevrimiçi dezenformasyon ve yanlış bilgilendirme kampanyalarına odaklandı; bu tür bot güdümlü kampanyalar, son aylarda X’te (eski adıyla Twitter) yaygın bir şekilde yürütülüyordu. .
SecurityScorecard’ın Saldırı Tehdit İstihbaratı ekibine göre, bugüne kadarki kötü niyetli siber faaliyetlerin çoğunluğu, fiziksel olarak çatışmadan ayrı olan ve Hamas’la bilinen bağlantıları olmayan aktörlerden oluşuyor.
Bu faaliyetin uluslararası kapsamı, her iki tarafı da destekleyen hacktivist gruplar da dahil olmak üzere özellikle dikkat çekicidir – SecurityScorecard, Hindistan ve Ukrayna gibi ülkelerdeki hacktivistlerin İsrail’in tarafını tuttuğuna ve Filistin hedeflerine saldırdığına dair kanıtlar bulurken, Rusya ve İran bağlantılı gruplar da İsrail’i tercih etme eğilimindeydi. İsrail, Bangladeş, Endonezya ve Fas gibi diğer ülkelerin yanı sıra hedefleri de hedefliyor.
Hamas’ın safında yer aldığı bilinen gruplar arasında Rusya bağlantılı Killnet DDoS grubu ve ona bağlı Anonymous Sudan kolektifi yer alıyor; bu grubun ne Anonymous’la ne de Sudanlılarla alakası var. Vurdukları hedefler arasında İsrail hükümetinin web siteleri, Shin Bet/Shabak güvenlik teşkilatı ve Jerusalem Post gazetesi de vardı.
Hedef ne olursa olsun, bu saldırıların çoğunluğunun uzun vadede çok az yıkıcı etkisi oldu; İsrail hedefleri kendilerini uygun şekilde savunabiliyor, Filistinli hedefler ise daha az sayıda ve daha az karmaşık sistemler kullanıyor.
Ortadoğu’daki mevcut siber savaşın gidişatının, Rusya yanlısı ve Ukrayna yanlısı aktörler arasında devam eden siber savaşın 2022 baharında başlamasına benzer bir yol izlediğine dair de açık kanıtlar var.
Aslında, her iki savaşı da takip eden WebsitePlanet’ten Jeremiah Fowler, Ukrayna’nın sözde BT Ordusu da dahil olmak üzere Ukrayna yanlısı hacktivistler tarafından Rusya’ya karşı kullanılan aynı tekniklerin çoğunun şu anda kullanımda olduğunu gördüğünü söyledi.
“Ancak artık daha az etkili görünüyorlar” dedi. “Bu siber savaş taktiklerini farklı kılan en önemli faktör, çatışmalar arasındaki süredir.
“Hacktivistlerin Rusya’ya karşı siber savaş ilan etmesinden bu yana geçen 19 ay içinde, dünya çapındaki siber güvenlik uzmanları ve istihbarat servisleri analiz etmek, hazırlanmak ve Rusya’nın siber savunmasındaki başarısızlıklardan ders alarak kendilerini izole etmeye çalışmak için zaman buldu.
Fowler, “Sonuçta siber savaşın mevcut ve gelecekteki herhangi bir çatışmada önemli bir rol oynayacağı bir gerçek” dedi. “Siber uzay artık tanımlanmış angajman kuralları olmayan ikinci bir cephe görevi görüyor. Hacktivistler ve hükümete bağlı gruplar bir taraf seçebilir ve belirli becerilerine göre çok sayıda saldırı başlatabilir ve görünüşte yalnızca birkaç tıklamayla çatışmanın ölçeğini değiştirebilir.
Hamas’ın dikkati OpSec’te
İki çatışma arasında gözlemlenen önemli bir fark, Hamas’ın ilk saldırısından önce siber faaliyet eksikliğidir. Rusya hükümeti tarafından aylar öncesinden sinyali verilen Rusya’nın Ukrayna’yı işgal etmesinden önce, Ukrayna, kritik hedefleri önceden yumuşatmak için tasarlanmış yaygın bir siber saldırı kampanyasıyla bombalandı.
Gazze savaşında durum böyle değildi ve bu pek de sürpriz değil, çünkü Hamas, operasyonel güvenliğe (OpSec) olağanüstü bir dikkatle ilk saldırısını planlamak için aylarca, belki de yıllarca, zorunluluktan dolayı harcadı. Hatta Hamas’ın bazı üst düzey üyelerinin İsrail istihbaratı tarafından ele geçirilmesi ihtimaline karşı tamamen karanlıkta bırakıldığı ileri sürüldü.
Bu nedenle, saldırının İsrail’i tamamen şaşırtması için Filistin yanlısı grupların ve Hamas’a bağlı aktörlerin faaliyetlerini normal seviyelerle sınırlaması gerekebilir. SecurityScorecard’ın istihbarat ekibine göre durum neredeyse kesinlikle böyleydi.
Strike Threat Intelligence ekibi, “SecurityScorecard’ın yakın zamanda genişletilmiş Hamas’a bağlı mesajlaşma kanalları koleksiyonu, Hamas’ın operasyonunun çatışmanın başlamasından önce nasıl veya ne zaman başlayacağına dair hiçbir kanıt içermiyor” dedi.
“Bu, diğer çağdaş savaşların aksine, siber ve bilgi operasyonlarının sıklığının veya etkisinin savaş öncesinde artmadığını gösteriyor.
“Örneğin bir Rus hacktivist grup İsrail’e karşı çıkabilir ve savaşın başlamasının ardından İsrail hedeflerine saldırı girişiminde bulunabilir, ancak böyle bir grubun Hamas’la kendisine gerekli erken belirtileri sunabilecek bir ilişkiye sahip olması pek olası değildir. Strike ekibi, fiziksel saldırıların başlangıcı olarak siber operasyonlar yürütmeyi amaçladıklarını belirtti.
Bu örnekte Hamas’ın izolasyonu ve İsrail’in açık teknolojik üstünlüğü, fiziksel çatışmadan önce neden hiçbir siber faaliyetin yaşanmadığını da açıklamaya yardımcı olabilir.
Savunma duruşu
Bugüne kadar görülen en yaygın etkili siber saldırı biçiminin DDoS saldırıları olduğu göz önüne alındığında, savunucuların DDoS azaltımlarını uygulamayı bir öncelik olarak düşünmesi gerekiyor. DDoS azaltma hizmetlerinin uzman tedarikçisi Radware, savunma stratejisi için güçlü bir temel olarak aşağıdaki kontrol listesini önermektedir:
- Önleyici koruma uygulamak için kullanılabilecek aktif tehdit aktörleri hakkında güncel istihbarat toplayın; örneğin, onların etkinlikleriyle ilişkili IP aralıklarını reddetme listelerine ekleyin;
- Gerçek trafiğe izin verirken trafik anormalliklerini hızlı ve doğru bir şekilde tespit etmek ve engellemek için davranış temelli algılamayı uygulayın;
- Yeni tehditlere ve sıfır günlere karşı hızla koruma sağlamak için gerçek zamanlı imza oluşturmayı uygulayın;
- Bağlı sistemlere ve cihazlara yönelik DDoS saldırılarını hesaba katan bir siber güvenlik acil müdahale planı hazırlayın ve test edin;
- Daha yüksek hacimli saldırıları hedefleyebilecek ve kanal doygunluğuna karşı koruma sağlayabilecek gerçek zamanlı saldırı önlemeyi etkinleştirmek için şirket içi ve bulut DDoS koruma hizmetlerinin hibrit karışımlarını ekleyin.
Kritik altyapının operatörleri ayrıca endüstriyel kontrol sistemleri (ICS) gibi operasyonel teknolojileri (OT) etrafındaki savunmaları da güçlendirmek isteyebilir. Güvenlik ekipleri, bu tür cihazların genel internete açık hale getirilmesinin gerçekten gerekli olup olmadığını (spoiler, öyle değil) ve mümkünse, bilinen veya bağımlı IP’leri izin verilenler listesine ekleyerek bunlara erişimi kısıtlamak isteyebilir. onları sanal bir özel ağ (VPN) veya güvenlik duvarı arkasında saklıyorlar.
Savunmacılar, ağları güçlendirmenin ötesinde başka saldırı biçimlerinin olasılığını da düşünmek isteyebilir. Pixel Privacy’nin tüketici gizliliği savunucusu Chris Hauk şunları söyledi: “İsrail bağlantısı olan kuruluşlar, hem dışarıdan hem de içeriden gelebilecek siber saldırılara karşı tetikte olmak isteyecektir. Kuruluşlar, iç sistemlere erişim sağlamak için çalışanlarını kimlik avı planlarının riskleri konusunda eğitmelidir. Ayrıca bazı çalışanların Hamas’a sempati duyması ve muhtemelen içeriden saldırı başlatması da mümkün.”
Buna ek olarak, finansal motivasyona sahip siber suçlular da veri sızıntısı veya fidye yazılımı saldırıları için hedef ağlara erişmek amacıyla savaşı istismar etmeye çalışacaklardır; bu nedenle, Paul Bischoff’un da belirttiği gibi, hem güvenlik ekiplerinin hem de sıradan çalışanların şüpheli faaliyetlere karşı tetikte olmaları önemlidir. Comparetech açıkladı.
Bischoff, “Birleşik Krallık kuruluşları, İsrail-Filistin çatışmasını tıklama tuzağı olarak kullanan kimlik avı saldırılarına karşı dikkatli olmalıdır” dedi. “Kimlik avı e-postaları, mesajları ve telefon çağrıları, kurbanları sahte oturum açma sayfalarına veya kötü amaçlı yazılım taşıyan eklere yönlendiren kötü amaçlı bağlantılara tıklamaları için kandırmaya çalışıyor.
“Mesajların içeriği hayır kurumlarıyla, çatışmayla ilgili yanlış bilgilerle ve hatta askere almayla ilgili olabilir” dedi. “İstenmeyen mesajlardaki bağlantılara veya eklere asla tıklamayın ve parayı veya özel bilgileri vermeden önce daima gönderenin kimliğini doğrulayın.”
Kalkanlar yukarı
Ukrayna’daki savaşın başlamasından birkaç gün önce, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’ndan Jen Easterly, kuruluşları yaklaşan olaylar karşısında dayanıklılıklarını artırmak için adımlar atmaya teşvik etmek amacıyla artık meşhur olan “Kalkanları Yükseltin” uyarısını yayınladı.
Bu durumda, Ukrayna’daki savaşın siber etkisi korkulduğundan çok daha sınırlı oldu; fiziksel savaş bölgesinin ötesinde çok az yıkıcı faaliyet gözlendi; ancak Ukraynalı hedefler bir siber saldırı saldırısıyla karşı karşıya kaldı.
Makul bir güvenle, Hamas-İsrail savaşının siber unsurunun da benzer bir yol izleyeceğini tahmin edebiliriz.
Yine de, gördüğümüz gibi, kendilerini bir şekilde savaşın yakınında bulan veya İsrail ya da Filistin’le bağlantısı olan örgütler, olaya müdahale planlarının tozunu alıp kalkanlarını yükseltmeyi düşünmelidir.