Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Telekom Operatörü Ses Hizmetini Yavaş Yavaş Geri Yüklüyor
Sayın Mihir (MihirBagwe) •
13 Aralık 2023
Ukrayna iç güvenlik kurumu çarşamba günü, telekom operatörünün dijital altyapısına verilen zararı kabul eden bir bildiriyle, Kyivstar’ın hacklenmesinden Rus askeri bilgisayar korsanlarını sorumlu tuttu.
Ayrıca bakınız: Savaş Sisi | Ukrayna Çatışması Siber Tehdit Ortamını Nasıl Dönüştürdü?
Ukrayna’nın en büyük telekom operatörü, Salı günü internet erişimini ve mobil iletişimi devre dışı bırakan bir siber saldırının hedefi oldu. Şirket, Ukrayna’nın mobil abone tabanının yaklaşık yarısını oluşturuyor ve kesinti, hava saldırısı sirenlerinde, perakende kredi ödemelerinde ve büyük bankalara ATM erişiminde aksamalara yol açtı (bkz: Ukrayna’nın En İyi Mobil Operatörü Kyivstar Siber Saldırıya Uğradı).
Ukraynalı bir iş haber kaynağının bildirdiğine göre, Ukrayna kara kuvvetleri sözcüsü Salı günü ulusal televizyonda “durumun askerlerin faaliyetleri üzerinde kesinlikle hiçbir etkisi olmadığını” söyledi.
Güvenlik Servisi veya Ukrayna – SBU – bilgisayar korsanlığıyla ilgili olarak daha çok GRU olarak bilinen Rusya Genelkurmay Ana İstihbarat Müdürlüğü’nü suçladı. SBU, tehdit aktörünün telekomun dijital altyapısına ciddi zarar verdiğini söyledi.
Ukrayna Devlet Özel İletişim ve Bilgi Koruma Servisi, “Bu, Rusya’nın Ukrayna’ya yönelik saldırganlığında siber uzayı bir savaş alanı olarak kullandığını bir kez daha teyit ediyor” dedi.
Saldırı, Ukrayna Devlet Başkanı Volodymyr Zelenskyy’nin ek askeri yardım konusunu desteklemek üzere Washington DC’de olduğu sırada gerçekleşti. 60 milyar dolarlık bir enjeksiyon önerisi, yardımı sığınmacılara ve Amerika’nın güneybatı sınırına yönelik daha sert önlemler alınmasına şart koşan kongre Cumhuriyetçileri tarafından erteleniyor. ABD Başkanı Joe Biden, Salı günü Beyaz Saray’da Zelenskyy ile birlikte yaptığı ortak konuşmada, ek fon olmadan ABD’nin Ukrayna’nın Rus saldırganlığını savuşturmasına yardım edemeyeceği konusunda uyardı. Rusya Devlet Başkanı Vladimir Putin’e atıfta bulunarak, “Putin, ABD’nin Ukrayna’ya teslimat yapamamasına güveniyor. Yapmalıyız, yapmalıyız, onun yanıldığını kanıtlamalıyız” dedi.
Reuters’in haberine göre Kyivstar Çarşamba günü geç saatlerde bazı müşterilere ses hizmetlerini geri yüklemeye başladı. CEO Oleksandr Komarov haber kaynağına saldırının muhtemelen “Ukrayna’nın kritik altyapısına yönelik iyi planlanmış, uzun vadeli bir saldırı” olduğunu söyledi.
Ukraynalı bir haber kaynağının bildirdiğine göre, Komarov Çarşamba günü televizyonda yayınlanan bir röportajda, bilgisayar korsanlarının şirket içi bir çalışan hesabı aracılığıyla Kyivstar’a sızdığını söyledi.
Görünüşe göre iki Rus grubu hacklemenin sorumluluğunu üstlendi. Siber güvenlik uzmanları, bunlardan biri olan KillNet’in muhtemelen fırsatçı bir şekilde kredi aldığını ve hiçbir kanıt sunmadığını söylüyor. Diğer gruba ise Solntsepek adı veriliyor. Orijinal Rusçadan makine çevirisine göre Telegram’da “10 bin bilgisayarı, 4 binden fazla sunucuyu, tüm bulut depolama ve yedekleme sistemlerini yok ettiğini” yayınladı. Kyivstar dijital altyapısı gibi görünen şeyin ekran görüntülerini yayınladı.
Kyivstar, sosyal medya hesabında meydan okuyan bir duruş sergiledi: belirterek “‘Bilgisayarlarımızın ve sunucularımızın’ yok edilmesine ilişkin söylentiler tamamen sahtedir.”
Mandiant’taki tehdit istihbarat teşkilatı başkanı John Hultquist, Solntsepek isminin daha önce Sandworm olarak bilinen GRU hackleme grubu için bir paravan görevi gördüğünü söyledi. E-postayla gönderdiği bir açıklamada, “Bu kişilik muhtemelen GRU tarafından operasyonlarını kamuya açık bir şekilde aklamak için uyduruldu” diye ekledi. Rus devlet korsanları, yıkıcı siber saldırıların sorumluluğunu üstlenmek için uzun süredir cepheleri kullanıyor. Sandworm, Rusya’nın Şubat 2022’deki işgalinden önce elektrik şebekesinde yaşanan iki kesinti de dahil olmak üzere, yarım on yıldan fazla bir süredir Ukrayna’yı siber saldırılarla hedef alıyor. Mandiant, grubu Kiev’in siber uzaydaki “yıkıcı ve yıkıcı saldırılara yönelik en büyük tehdidi” olarak nitelendirdi.
SBU, siber saldırıyla ilgili ceza soruşturması başlattı.
Kyivstar Çarşamba günü, bilgisayar korsanlarının bilgileri çalmış gibi görünmediğini vurguladı.
Şirket, bir Facebook gönderisinde, “Telegram kanallarındaki tüm ekran görüntülerini gördük. Ancak bunlar, abonelerimizin kişisel verilerine ait olmayan, kasıtlı olarak toplanmış teknolojik verileri tasvir ediyor.” dedi. “Kişisel verilerinizin güvende olduğunu tüm sorumlulukla belirtiriz! Bu verilerin saklandığı sistemler hacker saldırısından etkilenmemiştir. Ayrıca ‘bilgisayarlarımızın ve sunucularımızın’ yok edildiği yönündeki söylentiler de sahtedir.”
Ukrayna Siber Polisi, Komarov’un Kyivstar’ın abonelerine tazminat ödeyeceğini söylemesinin kimlik avcılarının bu sözden yararlanmasına yol açtığını söyledi. Yetkililer, siber suçluların, tazminat ve Kyivstar iletişim operatörünün hizmetlerinin yeniden başlama koşulları hakkında bilgi bahanesi altında kimlik avı bağlantılarını dağıtmak için mesajlaşma programlarında sahte botlar kullandığı konusunda uyardı.
Bilgi Güvenliği Medya Grubu’ndan David Perera’nın Washington DC’deki raporuyla