Yazan: Jacques de la Riviere, Gatewatcher CEO’su
Çok az önek siber güvenlik pazarını ‘devlet destekli’ kadar heyecanlandırır.
Etiket, yüksek profilli kuruluşları ve bireyleri hedef alan, iyi donanımlı, yüksek kaynaklara sahip ekiplerin imajını hemen çağrıştırıyor. Ukrayna’daki savaş, Kuzey Kore ve İran gibi ülkelerin saldırı operasyonlarının yanı sıra bu görüntülerin kamuoyunda daha da öne çıkmasına neden oldu.
Her zamanki gibi gerçek, kurgudan daha tuhaftır: çünkü ‘devlet destekli’ tehditler son derece gerçek ve mevcut olmakla birlikte, hayal edilebileceğinden çok daha ayrıntılıdır.
Devlet destekli hedefler
Bu bağlamda “devlet destekli”, basitçe ulusal bir hükümet tarafından desteklenen siber saldırılar anlamına gelir. Bu, saldırılardan doğrudan hükümetin sorumlu olduğu anlamına gelmiyor ancak hükümet destek veya teşvik sağlıyor.
Bu destek, ister saldırganlara fon sağlanması, ister araçların geliştirilmesi olsun, finansal destek şeklinde olabilir. Alternatif olarak bu, eğitim ve kaynaklar olabilir ya da bu sınırlar içerisinden kaynaklanan siber operasyonları göz ardı ederek sadece bir sığınak ve koruma kombinasyonu sunmak olabilir.
Saldırılar ‘sponsor devletin’ siyasi ve ekonomik hedefleriyle bağlantılı. En yaygın amaç, farklı bir ülkedeki işletmelerin fikri mülkiyet haklarının çalınması veya yalnızca kamuoyunu etkilemektir.
Ancak daha uç durumlarda, devlet destekli saldırılar, elektrik şebekeleri veya iletişim sistemleri gibi kritik altyapıları bozmayı, hatta siber saldırılar siber savaşa dönüştüğü için bilgi çalarak askeri avantaj elde etmeyi hedefleyebilir.
Devlet destekli teknikler
Bu kadar güçlü kaynaklara sahip olan devlet destekli gruplar sıklıkla karmaşık teknik ve taktiklerden oluşan bir cephaneliğe erişime sahip oluyor. Ancak izole edilmiş, yalnız kurt aktörlerle veya aslında küçük organize suç çeteleriyle karşılaştırıldığında, devlet destekli grupları karakterize eden yönlerden biri, bu araçların belirli bir hedefe göre hizalanmasıdır.
Örneğin, casusluk veya hassas verilerin çalınması birincil hedefse, devlet destekli grupların şunları kullandığı görülmüştür:
- Hedef odaklı kimlik avı: Meşru görünen e-postalar hazırlamak, hedefleri kandırarak bilgileri ifşa etmeleri veya kötü amaçlı bağlantılara tıklamaları.
- Wateringhole saldırıları: Hedefin sık sık ziyaret ettiği web sitelerinin güvenliğini ihlal etmek, ziyaret ettiklerinde bilgisayarlarına kötü amaçlı yazılım bulaştırmak.
- Sıfırıncı gün saldırıları: Yazılımdaki önceden bilinmeyen güvenlik açıklarından yararlanılarak genellikle yazılım geliştiricilere yönelik hedefli saldırılar yoluyla elde edilir.
- Ancak başka yerlerde, kritik altyapıyı felce uğratmaya çalışırken bu gruplar şunları kullandı:
- Hizmet reddi (DoS) saldırıları: Bir sistemi trafiğe boğarak yasal kullanıcılar için erişilemez hale getirir.
- Kötü Amaçlı Yazılım: Verileri silebilen, dosyaları fidye için şifreleyebilen veya işlemleri aksatabilen yıkıcı yazılım.
- Tedarik zinciri saldırıları: Yazılım sağlayıcılarını, ürünlerine kötü amaçlı kod yerleştirmeleri ve kullanıcıları bilmeden etkilemeleri için hedef almak.
- Son olarak, kamuoyunu (tipik olarak siyasi söylem etrafında) etkilemek ve manipüle etmek için kullanılan bir dizi teknik de vardır:
- Sosyal mühendislik: Dezenformasyon yaymak, propaganda yapmak veya huzursuzluğu kışkırtmak için sosyal medya platformlarını kullanmak.
- Bilgisayar korsanlığı ve sızdırma: Rakipleri itibarsızlaştırmak veya kamuoyunu etkilemek için hassas bilgileri çalmak ve yayınlamak.
- Botnet’ler: Sahte haberleri yaymak ve çevrimiçi konuşmaları manipüle etmek için kullanılan, güvenliği ihlal edilmiş cihazlardan oluşan ağlar.
- Hatta bu tekniklerin ardındaki düşüncenin karmaşıklığının bir işareti olarak farklı bağlamlarda bile kullanılıyorlar.
Casusluk odaklı saldırılar genellikle uzun vadeli kampanyalardır ve bilgi çıkarmadan önce hedeflerde güven oluşturur. Saldırganlar genellikle savunma, enerji veya finans gibi belirli, yüksek değerli sektörlere odaklanır.
Karşılaştırıldığında, aksaklık odaklı saldırılar hızlı ve etkili hasarı hedefler. Gerginliğin arttığı dönemlerde elektrik şebekeleri veya ulaşım sistemleri gibi kritik altyapıları hedef alabilirler.
Diğer yerlerde operasyonları etkilemek hacime bağlıdır. Saldırganlar, seçim sırasında bir bölgeyi propagandaya boğmak için sosyal medya algoritmalarını manipüle edebilir.
Devlet destekli savunma
Bu kısa analizin gösterdiği gibi, devlet destekli siber saldırılar büyük bir tehdit oluşturabilir. Hem işletmeleri hem de kamu sektörü kuruluşlarını savunmak için stratejik bir tepki gereklidir:
Eğitim: Siber güvenlik farkındalığının sağlanması ve bunun sonucundaki eylemler hayati öneme sahiptir. Çalışanları tehditleri tespit etme konusunda eğitmek ve bir ihtiyat kültürünü teşvik etmek temel ilk adımlardır.
Aktif savunma: Güvenlik duvarları, ağ tespiti ve müdahalesi, izinsiz giriş tespiti ve çok faktörlü kimlik doğrulama, hedefleri korumak için güçlü engeller oluşturur.
İşbirliği: Bilgi paylaşımı, daha hızlı tehdit tespiti ve koordineli yanıt anlamına gelir. Sayılarda güç vardır.
İşletmeler, kullanılan teknikleri ve devlet destekli saldırıların ardındaki motivasyonları anlayarak, sürekli gelişen dijital ortamda kritik varlıkları koruma konusunda kendilerini güçlendirebilir. Bu saldırganları yenilmez olarak görmemek önemli olsa da, sundukları tehdidin derinliğini ve kapsamını anlamak da aynı derecede önemlidir.
yazar hakkında
Jacques de la Riviere, Fransa merkezli bir siber güvenlik sağlayıcısı olan Gatewatcher’ın kurucusu ve CEO’sudur. Jacques, OpenCyber, Adneom ve BK Consulting’de çeşitli görevlerde bulundu. Aynı zamanda şu anda 100 Avrupalı yazılım siber güvenlik lideri ve bulut sağlayıcısından oluşan Hexatrust’un başkan yardımcısıdır.
Jacques de la Riviere’ye https://www.hexatrust.com/en/ adresinden çevrimiçi olarak ulaşılabilir.