.jpg)
Rusya’nın Ukrayna’daki savaşı, ulus-devlet gelişmiş kalıcı tehditlerinden (APT’ler) Dark Web forumlarındaki düşük dereceli kartlara kadar her düzeyde siber dünyayı sarstı.
Recorded Future’ın yeni bir raporu, bir yıl önce Rusya’nın Ukrayna’yı işgalinin siber uzayda yarattığı birçok etkiyi vurguluyor. Tehdit aktörleri bilgisayarlarından çekildi. Müttefikler düşman oldu. Siber suç faaliyeti değişti ve güç yapıları, en azından insanlar fiziksel olarak hareket ettiği için yeniden düzenlendi.
Her şey bir tür büyük, çok yönlü çözülme anlamına gelir. Siber suç durumunun bir dökümü. Dijital yeraltı dünyası bir daha eskisi gibi olacak mı?
Siber Suçlular Hareket Ediyor
İnternet engelleri yıkıyor. Binlerce mil bile Rusya veya Ukrayna’daki bir bilgisayar korsanının Fransa veya Kanada’daki bir şirketin veri tabanını ihlal etmesini engelleyemez. Yine de, savaşın ardından fiziksel hareketin siber suçluların işleyişi üzerinde kalıcı etkileri oldu.
Bir yandan tabii ki Ukraynalılar da ülkelerinden kitlesel olarak göç ettiler.
Recorded Future’ın ortak tehdit istihbarat analisti Alex Leslie, Dark Reading’e “Ukrayna merkezli bazı tehdit aktörü gruplarının da Rus meslektaşlarına benzer şekilde savaş başladığında kaçtıklarına inanıyoruz” dedi.
Rapor, zorunlu askerlikten kaçmak için Ukrayna’dan kaçan, bilgi çalan bir kötü amaçlı yazılım olan Raccoon Stealer’ın temel geliştiricisi Mark Sokolovsky’nin davasına atıfta bulunuyor.
Leslie, “Bu yalnızca bir vaka çalışması olsa da, bunun tehdit aktörlerinin çatışmadan kaçınmak için Rusya, Ukrayna ve hatta Beyaz Rusya’dan kaçtığı daha büyük bir eğilimin göstergesi olduğuna inanıyoruz” diyor.
Bu arada Rusya, yazarların dediği gibi, BT ve siber güvenlik uzmanlarının ülkeyi komşu Gürcistan, Kazakistan, Finlandiya ve Estonya’ya terk etmesiyle bir “beyin göçü” yaşıyor. Dahası, dövüş çağındaki genç erkeklerin askere alınması, tehdit aktörlerini perde arkasından ön saflara yönlendirdi.
Sonuç olarak, Leslie, ülkenin “hacker rezervlerini tüketmeye başladığını” açıklıyor. “Belirlediğimiz şey, özellikle Rus siber suç forumları, pazar yerleri ve sosyal medya kanallarındaki genel faaliyet hacminin dalgalar halinde önemli ölçüde azaldığı. Bu dalgalar, savaşın başlamasından hemen önce ve sonra, seferberlik dalgaları sırasında ve aynı zamana denk geliyor. Ruslar ülkeyi terk ediyor.”
Leslie, bu kadar çok yaşamın yeniden düzenlenmesinin “hem coğrafi hem de hegemonik gruplar ve faaliyet kaynakları açısından biraz daha ademi merkeziyetçiliğe” yol açtığını söylüyor.
Siber Suçlular Birbiriyle Savaşıyor
Siber suçlular dünyanın her köşesinden geliyor, ancak Rusya ve Doğu Avrupa’dan daha fazla değil. Tarihteki büyük siber saldırıların birçoğu Rusya ve Ukrayna’daki suçluların sayesinde gerçekleşti. Rus APT’leri Ukrayna’ya yönelik saldırılarıyla kötü bir üne kavuştu, ancak bu bir değişikliği temsil ediyor: Rus siber suçlular tarihsel olarak sınırın ötesindeki yoldaşlarıyla el ele çalıştılar.
Bu kumbaya tavrı, 24 Şubat 2022’de Rusya’nın Ukrayna’yı işgal etmesi ve her iki taraftakilerin de bağlılık sözü vermeleri için ilham almasıyla bozuldu. En ünlüsü, Conti grubu Putin rejimini tamamen destekledi, sonra geri çekildi, ardından geri çekilmesini yarı yarıya geri aldı. İstilaya yönelik bu desteğe, belki de tesadüfen, Rusya’nın en önde gelen fidye yazılımı çetesinin yavaş yavaş yok olmasına yol açan, Conti kaynak kodundaki dev bir sızıntı eşlik etti.
Yazarlar, “Conti’nin dağılmasının doğrudan sızıntıların bir sonucu olduğuna inanmıyoruz,” diye yazdı, “daha ziyade sızıntıların zaten parçalanmakta olan bir tehdit grubunun dağılmasını hızlandırdığına inanıyoruz.”
Recorded Future’a göre, Conti’nin çok ötesinde, bir zamanlar birlikte çalışan siber suç unsurları, o zamandan beri siyasi farklılıklar nedeniyle bölündü. Yazarlar, “BDT’de bulunan Rusça konuşan tehdit aktörlerinin sözde ‘kardeşliği’nin” olduğunu yazdılar. [Commonwealth of Independent States] Rusya’nın Ukrayna’ya karşı savaşını hem destekleyen hem de karşı çıkan ulus-devlet bağlılık beyanları nedeniyle içeriden sızıntılar ve grup parçalanmasından zarar gördü.”
Araştırmacılar, tüm sökme ve çatışmaların siber suçların yeraltı yapısında kırılmalara neden olduğu sonucuna vardı.
Leslie, “Rus dili Dark Web pazar yerleri büyük bir darbe aldı” diyor. Dünyanın 1 numaralı siber suç forumu Hydra’nın ele geçirilmesiyle birleşen bir trend, “Bu pazar yerleri de parçalandı ve daha yaygın hale geldi”.
“Siber suçun merkez üssünün önümüzdeki yıl İngilizce konuşulan Dark Web forumlarına, mağazalarına ve pazar yerlerine kayabileceğini düşünüyoruz.”