Romanya İstihbarat Servisi’nin gizliliği kaldırılmış bir raporunda, ülkenin seçim altyapısının 85.000’den fazla siber saldırının hedefi olduğu belirtiliyor.
Tehdit aktörleri ayrıca seçimle ilgili web sitelerine erişim bilgilerini ele geçirdi ve bunları, ilk başkanlık seçim turuna bir haftadan kısa bir süre kala bir Rus hacker forumunda sızdırdı.
33 ülkeden saldırılar
Romanya İstihbarat Servisi (SRI), 19 Kasım’da ülkenin Daimi Seçim Otoritesinin (AEP) BT altyapısının bir siber saldırının hedefi olduğunu söyledi.
Saldırgan, hem genel ağa hem de AEP’nin dahili ağına bağlı olan haritalama verilerini (gis.registrulelectoral.ro) içeren bir sunucunun güvenliğini ihlal etti.
Bu olayın ardından bec.ro (Merkezi Seçim Bürosu), roaep.ro ve registrulelectoral.ro (seçmen kaydı) dahil olmak üzere Romanya seçim sitelerinin hesap bilgileri bir Rus siber suç forumunda sızdırıldı.
SRI’ye göre saldırgan, oturum açma bilgilerini yasal kullanıcıları hedef alarak veya oylama bölümlerinde operatörlere yönelik eğitim sunucusundaki güvenlik açıklarından yararlanarak elde etti.
Rumen istihbarat teşkilatı, 85.000 saldırının ilk cumhurbaşkanlığı seçim turunun ertesi gecesi olan 25 Kasım’a kadar devam ettiğini ve hedeflerin seçim altyapısına erişim sağlamak ve onu tehlikeye atmaktan halkın seçim bilgilerini değiştirmeye ve sistemlere erişimi engellemeye kadar değiştiğini söylüyor .
SRI, gizliliği kaldırılan raporunda, tehdit aktörünün 33’ten fazla ülkedeki cihazlardaki SQL enjeksiyonu ve siteler arası komut dosyası çalıştırma (XSS) güvenlik açıklarından yararlanarak sistemleri ihlal etmeye çalıştığını belirtiyor.
Teşkilat ayrıca, Romanya’nın seçim altyapısının hâlâ ağda yatay hareket etmek ve kalıcılık sağlamak için kullanılabilecek güvenlik açıklarından etkilendiği konusunda da uyarıyor.
Etki kampanyası
Her ne kadar SRI bu saldırıları belirli bir tehdit aktörüne bağlamasa da kurum, faaliyet için gerekli işleyiş şekli ve kaynakların bir devlet aktörünü işaret ettiğine inanıyor.
BleepingComputer tarafından görülen gizliliği kaldırılmış başka bir raporda SRI, Romanya cumhurbaşkanlığı seçimlerini hedef alan bir etki kampanyasını anlatıyor; burada 8 milyondan fazla aktif takipçisi olan 100’den fazla TikTok Rumen etkileyicisi, cumhurbaşkanı adayı Calin Georgescu’yu tanıtan seçim içeriğini dağıtmak için manipüle edildi.
Etkileyiciler, Georgescu’nun başkanlık profilini anlatan hashtag’lerin yer aldığı videoları dağıtmak için 20.000 takipçi için 100 dolardan başlayan meblağlar aldı.
Romanya İçişleri Bakanlığı (MAI), bu videoların görünürlüğünün 13 Kasım’dan itibaren keskin bir şekilde arttığını ve 26 Kasım’da yüz milyonlarca izlenmeyle en çok konuşulan içerik sıralamasında 9. sıraya ulaştığını söylüyor.
MAI, nüfuz sahibi kişilerin Georgescu’nun kampanyası için dağıttığı metinlerden bazılarının Moldova’daki Rusya yanlısı cumhurbaşkanı adayını tanıtan metinle aynı olduğuna dikkat çekiyor.
SRI, Georgescu’nun kampanyasının seçim gününden yaklaşık iki hafta önce “çok aktif” hale gelen 25.000 TikTok hesabından yararlandığını söylüyor.
Bu hesapların neredeyse 800’ü 2016 yılında oluşturuldu ve Georgescu’nun kampanya mesajlarını iletmeye başladıkları 11 Kasım’a kadar neredeyse hiç aktif değildi.
SRI, Rusya’nın saldırıları ve etki kampanyasını düzenlediğini özellikle belirtmiyor ancak Romanya Dış İstihbarat Servisi (SIE), Rusya’nın diğer ülkelerdeki seçimlere yakın geçmişteki müdahale geçmişine ilişkin bir analize dikkat çekiyor.
SIE, Moskova’nın Romanya’yı düşman bir devlet olarak algıladığını çünkü Romanya’nın ittifakın doğu kanadında NATO’nun askeri varlığına izin vererek Rusya’nın güvenliğini kışkırttığını ve tehdit ettiğini belirtiyor.
Diğer doğu ülkeleriyle birlikte Romanya, Rusya’nın propaganda ve dezenformasyon yoluyla, Avrupa şüphecilerini destekleyerek ve kamu gündemini kendi çıkarlarına göre şekillendirerek demokratik seçimleri etkileme çabalarının hedefi oluyor.