Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Rusya-Ukrayna Savaşı Devam Ederken Dağıtılmış Hizmet Reddi Saldırıları Düşüyor
Mathew J. Schwartz (euroinfosec) •
28 Şubat 2024
Rusya’nın Ukrayna’ya karşı fetih savaşı devam ediyor, ancak yüksek profilli web sitelerinin kullanılabilirliğini geçici olarak kesintiye uğratma stratejisi heyecanı sürdürmekte başarısız olduğundan, kendini Kremlin yanlısı ilan eden hacktivistlerin sayısı azalıyor gibi görünüyor.
Ayrıca bakınız: Web Semineri | Hileli URL Hileleriyle Mücadele: En Son Kimlik Avı Saldırılarını Nasıl Hızlı Bir Şekilde Tanımlayabilir ve Araştırabilirsiniz?
KillNet gibi gruplar henüz sürekli olarak çevrimiçi bir baş belasından daha tehlikeli hale gelmedi. Mandiant’ın küresel istihbarat başkanı Sandra Joyce, bu ayın başlarında gazetecilere verdiği demeçte, DDoS kesintilerinin yarattığı manşetlere rağmen, KillNet ve benzerleri tarafından başlatılan saldırıların “yalnızca kısa süreli yüzeysel etkiler yaratma eğiliminde olduğunu” söyledi.
Dijital gönüllüler, genellikle sosyal medya sitesi Telegram aracılığıyla hizmet reddi saldırıları, web sitesi tahrifatları ve veri sızıntısı saldırılarının sorumluluğunu üstlenmeye devam ederken, DDoS iddialarının sayısı 2023’ün son ayları ve bu yılın ilk haftalarında azaldı .
Siber güvenlik firması Kela, çatışmanın hemen öncesinde veya ilk günlerinde ortaya çıkan en aktif beş grubun (KillNet, NoName057(16), Anonim Rusya, Phoenix ve Halkın Siber Ordusu) iddialarının ikinci yarıda “önemli ölçüde daha düşük” olduğunu söyledi 2023 yılı ve 2024 yılının başı, 2023 yılının ilk altı ayıyla karşılaştırıldığında.
Faaliyet hiçbir şeye azalmadı. Geçtiğimiz ay, NoName057(16), diğer adıyla NoName, birden fazla İsviçre federal kurumunun halka açık web sitelerine saldırarak sitelerin geçici olarak kullanılamaz hale gelmesine neden olduğunu iddia etti. İsviçre hükümeti saldırıların etkisini reddetti ve bunların Ukrayna Devlet Başkanı Volodimir Zelenskyy’nin Davos’taki yıllık Dünya Ekonomik Forumu toplantısına katılmasıyla aynı zamana denk gelecek şekilde zamanlanmış gibi göründüğünü söyledi (bkz: İsviçre Hükümeti Rahatsız Edici Düzeyde DDoS Kesintileri Bildirdi).
Hacktivist grupların sorunu, saldırılarının genellikle kolaylıkla absorbe edilebilmesidir. Geçen Eylül ayında Kanada havalimanlarında KillNet tarafından gerçekleştirilen otomatik kiosklar ve elektronik kapıların arızalanması yaklaşık bir saat sürdü.
Mandiant’tan Joyce, bu saldırının etkisinin “çok fazla olmadığını” söyledi. Saldırıların ardındaki stratejinin kinetik olmaktan çok psikolojik olduğunu söyledi. Amaç, “gerçekte olduğundan daha fazla görünen bir tür etki” yaratmaktır.
Saldırganların bu tür sinyalleri savunucuların “kalplerini ve zihinlerini hedef almak” – “hükümetlere olan güveni azaltmak” ve ayrıca Rusya Devlet Başkanı Vladimir Putin’in hem yurt içinde hem de yurt dışındaki müttefiklerini bir araya getirmek için kullandığını söyledi.
Rus Hacktivistleri Moskova Kılık değiştirmiş mi?
Açıkça sorulan bir soru, kendilerini Rus hacktivist olarak ilan eden grupların ülkenin istihbarat servislerinden ne ölçüde bağımsız faaliyet gösterdiğidir. Joyce, bunların arasında Google’ın olay müdahale grubu Mandiant’ın “Rus hükümetinin tehdit aktörleriyle bağları olduğundan” şüphelendiği, en tanınmış Rus DDoS gruplarından biri olan KillNet’in de bulunduğunu söyledi.
Bir diğer büyük hacktivist grup olan Halkın Siber Ordusu, Batılı yetkililerin Rus ordusunun GRU olarak bilinen Ana İstihbarat Müdürlüğü tarafından yönetildiğini söylediği Fancy Bear, Forest Blizzard ve Strontium olarak da takip edilen APT28 hackleme ekibiyle bağlantılı olabilir.
Hacktivist grupların veya ellerinin altında bulunan Rus hükümet yetkililerinin neden DDoS saldırılarını azalttıkları açık değil. Doğrudan Rus ordusuna veya istihbarat teşkilatlarına atfedilebilen siber saldırılar azalmış gibi görünmüyor. Bu saldırıların çoğu, Ukrayna’nın moralini hedef almak üzere tasarlanmış psikolojik operasyonların bir parçası olan kimlik avı kampanyalarını ve spam’i içeriyor. Google, son zamanlarda Rusya’ya bağlı kimlik avı ve sosyal mühendislik saldırılarında bir artış gördüğünü söyledi.
Olası yanıtlardan biri Rusya’nın odağı böldüğüdür. Dünya genelinde büyük seçimler yaklaşıyor ve siber güvenlik gözlemcileri, Moskova’nın, sonuçları etkilemek amacıyla kimlik avı saldırıları, DDoS kesintileri ve hack-ve-sızdırma operasyonları da dahil olmak üzere bilgi operasyonlarını yeniden kullanmasını bekliyor.
Ayrıca çok sayıda hacktivist grup açıkça Hamas’a bağlılık sözü verdi ve İsrail veya müttefik ülkelerdeki hedeflere karşı DDoS saldırıları başlatmaya başladı. Kela, “Saldırı iddiasında bulunduğu gözlemlenen gruplar arasında UserSec, Sunucu Katilleri, Bluenet ve Anonim Sudan yer alıyor” dedi ve kanıtların Anonim Sudan’ın Moskova ile bağları olabileceğini gösterdiğini söyledi.
Bu ayın başlarında çıkış yapan bir başka grup olan Ancient Dragon, Rusya’nın yanı sıra “sevgili Müslüman kardeşlerimiz” ile de aynı çizgide olduklarını iddia ediyor. Kela, yalnızca Ukrayna’ya değil İsrail ve ABD’ye de DDoS saldırıları başlatma sözü verdiğini söyledi.