Rusya’nın GRU askeri istihbarat teşkilatı bünyesindeki Sandworm olarak bilinen hacker grubu, neredeyse on yılı aşkın bir süredir Ukrayna’nın elektrik şebekelerine, finansal sistemine, medyasına ve devlet kurumlarına tarihteki en yıkıcı siber saldırılardan bazılarını başlattı. İşaretler artık aynı olağan şüphelinin ülkenin büyük bir cep telefonu sağlayıcısını sabote etmekten, milyonlarca kişinin iletişimini kesmekten ve hatta başkent Kiev’deki hava saldırısı uyarı sistemini geçici olarak sabote etmekten sorumlu olduğunu gösteriyor.
Salı günü, Ukrayna’nın en büyük mobil ve internet sağlayıcılarından biri olan Kyivstar’a bir siber saldırı düzenlendi. Saldırının nasıl gerçekleştirildiğine ilişkin ayrıntılar henüz net değil. Ancak Ukrayna’nın Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) tarafından yayınlanan açıklamaya göre, bu durum “şirketin teknoloji ağının temel hizmetlerinin engellenmesiyle sonuçlandı”.
Reuters’e göre Kyivstar’ın CEO’su Oleksandr Komarov Salı günü Ukrayna ulusal televizyonuna verdiği demeçte, hackleme olayının “önemli ölçüde hasara yol açtığını” söyledi. [Kyivstar’s] altyapı [and] Sınırlı erişim.”
“Sanal düzeyde buna karşı koyamadık, bu yüzden düşmanın erişimini sınırlamak için Kyivstar’ı fiziksel olarak kapattık” diye devam etti. “Savaş siber uzayda da yaşanıyor. Ne yazık ki bu savaşın sonucunda vurulduk.”
Ukrayna hükümeti henüz siber saldırıyı bilinen herhangi bir hacker grubuna ya da herhangi bir siber güvenlik şirketine veya araştırmacısına açıkça atfetmedi. Ancak Salı günü, CERT-UA’yı denetleyen SSSCIP bilgisayar güvenlik dairesinden Ukraynalı bir yetkili, gazetecilere gönderdiği bir mesajda, Solntsepek olarak bilinen bir grubun Telegram gönderisinde saldırının üstlenildiğini belirtti ve grubun bu saldırıyı gerçekleştirdiğini belirtti. Rusya’nın GRU’sunun kötü şöhretli Kum Solucanı birimiyle bağlantısı var.
“Biz, Solntsepek hackerları, Kyivstar’a yapılan siber saldırının tüm sorumluluğunu üstleniyoruz. 10 bilgisayarı, 4 binden fazla sunucuyu, tüm bulut depolama ve yedekleme sistemlerini yok ettik” diye yazılan Rusça mesaj, Ukrayna Devlet Başkanı Volodymyr Zelenskyy’ye hitaben grubun Telegram hesabında yayınlandı. Mesajda ayrıca Kyivstar’ın ağına erişimi gösteren ekran görüntüleri de yer alıyor ancak bu doğrulanamadı. “Kyivstar’a saldırdık çünkü şirket Ukrayna Silahlı Kuvvetlerinin yanı sıra Ukrayna’nın devlet kurumları ve kolluk kuvvetleriyle de iletişim sağlıyor. Ukrayna Silahlı Kuvvetlerine yardım eden ofislerin geri kalanı hazır olun!”
Google’ın sahibi olduğu siber güvenlik firması Mandiant’ın tehdit istihbaratı başkanı ve grubu uzun süredir takip eden John Hultquist, Solntsepek’in daha önce Rus GRU’nun Moskova merkezli Birim 74455’i olan Sandworm adlı hacker grubu için paravan olarak kullanıldığını söylüyor. Ancak Solntsepek’in ağ saldırılarından hangilerinin geçmişte Sandworm ile bağlantılı olduğunu söylemeyi reddetti ve bu izinsiz girişlerden bazılarının henüz kamuya açıklanmamış olabileceğini öne sürdü. Hultquist, “Bu, Sandworm tarafından gerçekleştirildiğini bildiğimiz olayların sorumluluğunu üstlenen bir grup” diyor ve Solntsepek’in Telegram gönderisinin Sandworm’un sorumlu olduğuna dair önceki şüphelerini güçlendirdiğini ekliyor. “Bu tür faaliyetlere sürekli odaklandıkları göz önüne alındığında, başka bir büyük kesintinin onlarla bağlantılı olmasına şaşırmak zor.”