Moskova’nın 2024’ün ilk yarısında Ukrayna’ya karşı başlattığı siber saldırı stratejisinde yıkım yerine casusluğu tercih etmesi, Kremlin’in Kiev’e yönelik hedefli siber saldırılarının evrimleşen doğasını ortaya koyuyor.
Siber savaş alanı 2024’te değişti ve Rus hacker grupları daha gizli ve uzun vadeli stratejiler benimsedi. Önceki yıllarda görülen büyük ölçekli altyapı saldırıları yerine, Rus siber operatörleri Ukrayna’ya karşı devam eden savaşlarını desteklemek için askeri ve kritik altyapı hedeflerine odaklanarak casusluğa yöneldi.
Siber olaylar genel olarak artarken, yüksek ve kritik şiddetteki saldırıların sayısı azaldı. Bu değişim, geniş kapsamlı, yıkıcı siber saldırılardan, istihbarat toplamayı amaçlayan daha odaklı ve sürekli sızma çabalarına doğru stratejik bir değişimi işaret ediyor.
Saldırıların Arkasındaki Rakamlar
Pazartesi günü Ukrayna Bilgisayar Acil Durum Müdahale Ekibi tarafından yayınlanan bir rapor, odak noktasındaki bu değişimi ortaya koydu. 2024’ün ilk yarısında toplam 1.739 siber olay meydana geldi ve bu, 2023’ün ikinci yarısına göre %19’luk bir artış anlamına geliyor. Ancak, kritik olay sayısı %90 düştü ve 2024’ün ilk yarısında yalnızca üç olay bildirilirken, 2023’ün ikinci yarısında bu sayı 31’di. Yüksek öneme sahip olaylarda da keskin bir düşüş görüldü ve %71 düştü, orta ve düşük öneme sahip olaylar ise sırasıyla %32 ve %75 arttı.
Bu veriler, siber saldırıların genel sıklığının artmasına rağmen saldırganların taktiklerinin tespit edilmekten kaçınmak için tasarlanmış daha düşük profilli faaliyetlere doğru kaydığını göstermektedir. Bu düşük önem derecesine sahip olaylar genellikle kötü amaçlı yazılım dağıtımı, casusluk ve anında, görünür hasara yol açmak yerine tehlikeye atılmış sistemlere erişimi sürdürme çabalarını içerir.
Hedefli Casusluk ve Gizli Operasyonlar
2022 ve 2023’te Rus hacker’lar, hükümet kurumlarını, enerji sağlayıcılarını ve internet servis sağlayıcılarını (İSS) çökertmeyi hedefleyerek Ukrayna’nın kritik altyapısını bozmaya odaklandı. Ancak, Ukrayna sistemlerinin hızla toparlanması, bu saldırıların amaçlanan uzun vadeli hedeflerine ulaşamadığı anlamına geliyordu. 2024’te casusluğa doğru kayma, daha hesaplı bir yaklaşımı yansıtıyor.
UAC-0184 ve UAC-0020 gibi gruplar, yani Vermin hacker grubu, her ikisi de Rus istihbarat servisleriyle bağlantılı, bu yıl özellikle aktifti. Bu gruplar, hassas sistemlere erişim sağlamak için kimlik avı kampanyaları ve kötü amaçlı yazılımlar kullanarak siber casuslukta uzmanlaşıyor.
Örneğin UAC-0184, Signal gibi mesajlaşma uygulamaları aracılığıyla Ukrayna Savunma Kuvvetleri üyelerini hedef aldı ve kötü amaçlı yazılım dağıtmak için güvenilir kişileri taklit etti. Kötü amaçlı yazılım dağıtıldığında, bilgisayar korsanları iletişimleri izleyebilir, verileri çalabilir ve tehlikeye atılan sistemler üzerinde uzun vadeli kontrol sağlayabilir.
Açık saldırılardan casusluğa geçiş, Rusya’nın siber stratejisinde de yeni bir aşamayı işaret ediyor. Anında kesintiye neden olmaktan ziyade, odak noktası artık askeri operasyonları desteklemek için istihbarat toplamak. CERT-UA’nın raporu, bilgisayar korsanlarının füze saldırıları gibi kinetik askeri saldırılar hakkında geri bildirim toplamak için siber operasyonları nasıl kullandıklarını vurguluyor.
Kritik Altyapı Hala Odakta
Casusluk merkez sahneye çıkmış olsa da, kritik altyapıya yönelik saldırılar devam ediyor. Raporda, Ukrayna’nın enerji sektörüne yönelik saldırıların 2023’ün ikinci yarısından bu yana iki katından fazla arttığı ve bilgisayar korsanlarının giderek daha fazla güç, ısıtma ve su tedarik tesisleri tarafından kullanılan endüstriyel kontrol sistemlerini (ICS) hedef aldığı belirtiliyor.
İşgal altındaki Luhansk’ta Rus kolluk kuvvetleriyle bağlantıları olan UAC-0002 grubu, Mart 2024’te önemli bir tedarik zinciri saldırısı gerçekleştirdi. Bilgisayar korsanları, en az 20 enerji şirketinin kullandığı yazılımlardaki güvenlik açıklarından yararlanarak ICS’ye erişim sağladı ve bunu ağlar içinde yanal hareket için kullandı.
Bu tür tedarik zinciri saldırıları, bilgisayar korsanlarının ortak bir hizmet sağlayıcıyı hedef alarak aynı anda birden fazla kuruluşa sızmalarına olanak tanır. Mart olayında, UAC-0002 üç tedarik zincirini hedef aldı ve birden fazla enerji şirketini kötü amaçlı yazılım ve arka kapılarla enfekte etti. Saldırganlar, kritik sistemlere erişmek ve saldırılarını artırmak için LOADGRIP ve BIASBOAT gibi özel yazılımlar kullandılar, muhtemelen Ukrayna altyapısına fiziksel saldırıları tamamlamak için.
Messenger Hesap Hırsızlığı: Siber Saldırı Stratejisinde Yeni Katılımcı
2024’teki bir diğer dikkat çekici trend ise messenger hesap hırsızlığına artan odaklanmadır. Ukrayna vatandaşları tarafından yaygın olarak kullanılan WhatsApp ve Telegram gibi platformlar, Rus hacker’lar için başlıca hedefler haline geldi.
Örneğin, UAC-0195 grubu binlerce mesajlaşma hesabını ele geçirmek için kimlik avı kampanyaları kullandı. Ele geçirilen bu hesaplar daha sonra kötü amaçlı yazılım yayma, casusluk yapma ve mali dolandırıcılık yapma gibi çeşitli kötü amaçlı faaliyetler için kullanılıyor.
Bir örnekte, bilgisayar korsanları, düşmüş bir Ukraynalı askeri onurlandırmak için düzenlenen bir dilekçenin organizatörleri gibi davrandılar. Kurbanları, kullanıcıların WhatsApp üzerinden kimlik doğrulaması yapmalarının istendiği Ukrayna Cumhurbaşkanı’nın resmi sayfasını taklit eden sahte bir web sitesine yönlendirdiler. Bu kimlik avı taktiği, bilgisayar korsanlarının cihazlarını kurbanların WhatsApp hesaplarına eklemelerine, kişisel mesajlara, dosyalara ve kişilere erişmelerine olanak sağladı.
Bu taktik, hackerların kullanıcıları bir sanat yarışmasında “oylamaya” çekmek için benzer bir yöntem kullandığı Telegram’a kadar uzandı ve bir kez daha hesaplara yetkisiz erişim elde ettiler. Bu erişimle, hackerlar hesap sahibinin kimliğine bürünebilir, daha fazla kimlik avı bağlantısı yayabilir ve hatta yüksek değerli hedeflerden hassas bilgileri çalabilir.
Son bulgular, Ukrayna’nın Telegram mesajlaşma uygulamasının hükümet, askeri veya kritik altyapı bağlantılı cihazlarda kullanımını yasaklamasından sadece birkaç gün sonra ortaya çıktı. Bu kararlı hareket, siber casusluğa karşı savunmasızlığı konusundaki artan endişelerin ardından geldi. NCSCC’nin 19 Eylül’deki toplantısı, yaygın olarak kullanılan uygulamanın özgür konuşma aracı olmaktan çıkıp bir savaş silahına nasıl dönüştüğünü vurguladı.
Kimlik Avı Kampanyaları ve Kötü Amaçlı Yazılım Dağıtımı
Kimlik avı, Rus hacker’lar için önemli bir araç olmaya devam ediyor. 2024’ün başlarında, finansal olarak motive olmuş bir grup olan UAC-0006, finans departmanlarındaki çalışanları hedef alan kimlik avı kampanyalarına devam etti. Bu kampanyalar genellikle SmokeLoader gibi kötü amaçlı yazılımları iletmek için çok dilli arşivler (açmak için kullanılan yazılıma bağlı olarak farklı görünen dosyalar) kullanıyordu.
SmokeLoader dağıtıldığında, saldırganların bir bankacılık uygulaması açıkken ekran görüntüleri yakalayan TALESHOT gibi ek kötü amaçlı yazılımlar yüklemesine olanak tanır. Bu kötü amaçlı yazılım, bilgisayar korsanlarının kurbanın faaliyetleri hakkında daha derin bir anlayış elde etmesini ve kritik finansal verilere erişmesini sağlar. Bazı durumlarda, bilgisayar korsanları hedeflenen kuruluşlardan fon çalmak için sahte faturalar bile düzenledi veya oluşturdu.
UAC-0006 grubu, Mart 2024’te faaliyetlerine kısa bir süreliğine ara verdi ancak Mayıs ayında yenilenen çabalarla geri döndü, kimlik avı saldırılarına devam etmek ve daha önce tehlikeye atılmış sistemler üzerinde kontrolü yeniden ele geçirmek için yeni alan adları kaydetti.
Ukrayna’nın Siber Dayanıklılığı: İki Cephede Bir Savaş
Siber saldırıların artan sayısına rağmen, Ukrayna’nın siber savunmaları dikkate değer bir dayanıklılık gösterdi. CERT-UA, Özel İletişim ve Bilgi Koruma Devlet Servisi (SSSCIP) ile iş birliği yaparak, bu tehditlere karşı savunmada önemli adımlar attı. Çabaları, genel saldırı sayıları artarken bile, yüksek şiddetteki olaylarda keskin bir düşüşle sonuçlandı.
Rapor, bu başarının iyileştirilmiş görünürlük ve uluslararası ortaklarla iş birliğine bağlı olduğunu belirtiyor. Gelişmiş tespit yetenekleri, kuruluşlar arasında daha iyi farkındalıkla birleşince Ukrayna’nın ortaya çıkan tehditlere daha hızlı yanıt vermesine olanak sağladı. Bu iş birliği, çok sayıda saldırıyı tespit etmeye ve azaltmaya yardımcı olan CERT-UA’nın ortaklarıyla siber tehdit istihbaratını paylaşmayı içeriyor.
Ancak raporda ayrıca Rus hackerların yeteneklerinin savaş uzadıkça büyümeye devam ettiği konusunda uyarıda bulunuluyor. Tedarik zinciri saldırılarının giderek karmaşıklaşması ve kimlik avı kampanyalarının sürekli tehdidi, Ukrayna’nın siber savunma stratejilerinin tekrar tekrar test edileceği anlamına geliyor.