Rusya, 24 Şubat 2022’de Ukrayna’yı işgal ettiğinde, savaşın nasıl hem siber hem de kinetik olacağı konusunda pek çok tartışma yaşandı. Bir yıl sonra, çok fazla siber saldırı faaliyeti olmasına rağmen, bunun birçok kişinin korktuğu kadar yıkıcı olmadığı konusunda fikir birliği var gibi görünüyor. Bu kısmen, çeşitli hükümetlerin ve güvenlik şirketlerinin saldırıları belirlemeye ve engellemeye yardımcı olmasından kaynaklanıyordu.
Cloudflare, Rus işgalinin Ukrayna İnterneti üzerindeki etkisine ilişkin analizinde, Şubat 2022 ile Şubat 2023 arasında Ukrayna’ya yönelik tüm çevrimiçi trafiğin ortalama %10’unun potansiyel saldırıların hafifletilmesi olduğunu söyledi. Cloudflare, dağıtılmış hizmet reddi (DDoS) saldırıları da dahil olmak üzere kötü niyetli saldırıları engellemek için HTTP trafiğini filtreleyerek ve izleyerek Ukrayna Web uygulamalarını korudu.
29 Ekim’de DDoS saldırı trafiği, Cloudflare’in Ukraynalı müşterilerine yönelik toplam trafiğin %39’unu oluşturuyordu.
Şirket, Cloudflare’nin Web uygulaması güvenlik duvarını (WAF) kullanarak olası saldırıları hafiflettiği Ukrayna’ya yönelik uygulama katmanı trafiğinin günlük yüzdesini gösteren bir grafik paylaştı. Mart ayı başlarında, tüm trafiğin %30’u hafifletildi. Oldukça sakin geçen bir yazın ardından, Ukrayna’nın doğu ve güney Ukrayna’daki karşı saldırısı sırasında Eylül ayı başlarında saldırı faaliyetleri yeniden hızlandı.
Daha spesifik olarak, toplam trafiğin %14’ü itibaren Ukrayna, potansiyel saldırılar olarak hafifletilirken, toplam trafiğin %10’u ile Ukrayna, son 12 ayda potansiyel saldırılar olarak hafifletildi.
Cloudflare’nin WAF tarafından engellenen azaltılmış uygulama katmanı tehditleri, işgalden dört gün sonra 28 Şubat 2022 Pazartesi günü, 21 Şubat 2022 Pazartesi gününe kıyasla %105 daha yüksekti. 8 Mart itibarıyla bu rakam %1.300’dü. .
“Shields Up”tan Ne Çıktı?
ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), Ukrayna hedeflerine ve Ukrayna ile müttefik ülkelerdeki kuruluşlara yönelik Rus siber saldırıları beklentisiyle, kuruluşları tehditleri hafifletmeye yardımcı olabilecek bilgileri paylaşmaya çağırdı. CISA, “Büyük ve küçük her kuruluş, yıkıcı siber olaylara yanıt vermeye hazırlıklı olmalı” dedi.
Tehdit istihbaratını paylaşmak şüphesiz yardımcı olurken, saldırıların doğası da korkulandan daha az karmaşık veya yıkıcıydı.
Cisco Talos araştırmacıları, tehditleri belirlemek ve saldırıları düzeltmek için kritik altyapı müşterilerini izliyor. Cisco Talos sosyal yardım başkanı Nick Biasini, yıkıcı kötü amaçlı yazılımlarla ilgili pek çok endişe olmasına rağmen, Talos’un gördüğü ve engellediği şeyin çoğunun kimlik bilgilerinin toplanması olduğunu söylüyor. Saldırganlar çok karmaşık taktiklere başvurmuyorlar, bunun yerine ağlara ve hesaplara erişim elde etmeye çalışmak için sıradan ve tanınabilir yöntemler kullanıyorlar, diyor.
Kritik Altyapı Üzerindeki Etki
Cloudflare’nin Ukrayna’nın İnternet trafiğine ilişkin analizi, askeri faaliyetlere karşılık gelen kullanımda zirveler ve düşüşler gösteriyor. Örneğin, Cloudflare, örneğin, Chernihiv şehrinin trafiğinde savaşın ilk haftasında önemli bir düşüş olduğunu ve Mart ortasına kadar trafiğin kaldığını ve Rusya’nın Nisan ayı başlarında geri çekilmesinin ardından trafiğin toparlandığını belirtti. Sonbaharda, Rus askeri birlikleri Ukrayna’nın kritik altyapısını hedef alarak yaygın elektrik kesintilerine ve internet kesintilerine neden oldu. Cloudflare’nin analizine göre, bu grevlerden bazıları İnternet trafiğinde %50’ye varan bir düşüşe neden oldu. Cloudflare, kesintilerin genellikle yalnızca bir veya iki gün sürdüğünü ve “çatışmanın Ukrayna’nın altyapısı üzerinde devam eden etkisini daha da vurguladığını” belirtti.
Cloudflare, “Yılın geri kalanında ve 2023’e kadar Ukrayna, aralıklı İnternet kesintileriyle karşılaşmaya devam etti.”
Dünya Çapında Dalgalanma Etkileri
Doğu Asya’daki güvenlik liderleri, Rusya ile Ukrayna arasındaki savaşın nasıl geliştiğini dikkatle izliyor, çünkü pek çok jeopolitik gerilim ve söylem, Çin ile Tayvan arasında uzun süredir kaynayan duruma benziyor. NTT’nin baş siber güvenlik stratejisti Mihoko Matsubara, kuruluşların “ne tür yıkıcı saldırıların bekleneceğini” ve Ukrayna’daki savaşın Tayvan’ın durumunu nasıl etkileyebileceğini merak ettiğini söylüyor. Matsubara, yıkımdan ziyade “siber baş belası” türünden olmasına rağmen halihazırda bazı faaliyetler olduğunu söylüyor. Doğu Asya şirketleri zaten DDoS saldırıları, tahrifatlar ve dezenformasyon kampanyaları görüyor, diyor.
Matsubara, saldırıların ciddiyetini küçümsememeye dikkat etti çünkü saldırılar organizasyonları hâlâ rahatsız ediyor. NTT ayrıca insani yardım çabalarını aksatmak için kullanılan ve gelecekteki faaliyetlerin habercisi olabilecek bazı silme saldırılarına da tanık oldu.
Kötü Oyuncular Politikleşiyor
Siber suçlular, savaş hakkında kendi fikirlerini ve siyasi bağlılıklarını ifade ediyorlar. Örneğin, Coalition’ın en son Siber Tehdit Endeksi raporu, İnternet’e açık veritabanlarına yönelik saldırıları derinlemesine inceliyor. Koalisyon, 2022’de MongoDB bulut sunucularını çalıştıran toplam 264.408 IP adresi gözlemledi ve bunların toplam 68.423’ü (veya %26’sı) ele geçirildi. Koalisyon, saldırganların veritabanlarını SLAVA_UKRAINI veya “Ukrayna’ya şükürler olsun!” olarak yeniden adlandırdığı, güvenliği ihlal edilmiş bir avuç MongoDB sunucusu buldu.
En son Tehdit Görünümü raporunda Kroll’un Siber Risk uygulamasından bir ekip, “Tehdit aktörü faaliyeti genellikle ekonomik koşullardaki dalgalanmalarla şekillenir” dedi. “Dünya çapında devam eden piyasa oynaklığı ve Ukrayna’ya karşı devam eden savaş nedeniyle, saldırganların geliştiği istikrarsız koşulların 2023’te devam etmesi muhtemel.”