Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
‘Kinetik grevlerin etkisini arttırmak için çok sayıda saldırı tasarlandı ve zamanlanmıştır.
Mathew J. Schwartz (Euroinfosec) •
2 Ekim 2025
War-buffeted Kiev’teki siber savunucular, Rusya, Ukrayna’yı hedefleyen siber operasyonlarının temposunu artırdı.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Ukraynalı bilgisayar acil müdahale ekibi, bu yılın ilk yarısında, 2024’ün ikinci yarısında 2.580’den yaklaşık 3.000 siber güvenlik olayına yanıt verdi.
Bu sayıya, Mart ayında Rusya’nın Genel Personel Ana İstihbarat Müdürlüğü’nün 74455 birimine, Sandworm olarak bilinen bir siber savaş tehdidi oyuncusu olan 74455’e atfedilen büyük bir saldırı da dahildir. Saldırı, çevrimiçi biletleme sistemini devirdi ve demiryolu istasyonlarında uzun hatlara neden oldu. Kremlin, Şubat 2022’de füze ve savaş uçağı saldırısından ticari havacılığa dayanarak bir istila başlattığından beri demiryolu Ukrayna’da temel bir seyahat modu haline geldi.
Belirlenen saldırıların kataloğuna rağmen, CERT-UA tespit edilmemiş ihlalleri açıklayamadığından gerçek sayı daha yüksek olacaktır.
SSCIP, “Açıkçası, görünürlük – enfeksiyonları tespit etme yeteneği – sürekli gelişiyor; ancak siber saldırıların yoğunluğu da artıyor.” Dedi.
Ukrayna Devlet Siber Koruma Merkezi başkanı Yevheniia Nakonechna, Rus hack yeniliklerinin sabit olduğunu söyledi. “Yeni tehditler ve taktikler, geleneksel savunma yaklaşımlarından daha hızlı ortaya çıkıyor” dedi.
Kremlin’in hedefleri de yıldan yıla sabittir. SSCIP, tüm saldırıların yaklaşık üçte biri yerel yetkilileri, beşte biri veya devlet kurumlarını ve ülkenin enerji sektörünün% 5’ini hedeflediğini söyledi.
“Daha önce olduğu gibi, düşmanın en iyi hedefleri, en fazla bilgi miktarının – askeri amaçlar için sömürebilecekleri bilgilerin – ve aksaması sivillerin güvenliğini ve refahını önemli ölçüde etkileyeceği hizmetlerin dolaştığı konumlar olarak kalıyor.” Dedi.
CERT-UA, GRU birim 74455 hackleme ekibini bu yılın ilk yarısında görülen sayısız saldırıya bağladı ve bazıları “kinetik grevlerin etkisini yükseltmek için gerçekleştirildi”.
Rapor, GRU Askeri İstihbarat Servisi’nin “büyük füze ve drone saldırıları sırasında belirli siber operasyonları” karmaşıklaştırdığı ve böylece hedeflerine başarılı bir şekilde ulaşma şansını artırdığı için “diğer unsurları seçti.
Ukrayna hükümeti, kaç siber saldırının başarılı olduğuna dair tam bir muhasebe yayınlamıyor. Ancak yetkililer, Rus ulus devlet korsanlarının taktiklerini, tekniklerini ve prosedürlerini, özellikle de “maalesef saldırganlar için olumlu sonuçlar elde eden” kötü amaçlı yazılımları dağıtmaya devam ettiklerini söyledi.
Bu araçlar, taktikler ve prosedürler son zamanlarda, kötü niyetli bir kimlik avı mesajına bağlı veya silahlı kuvvetleri hedeflemek için kullanılan bir VBS komut dosyası tarafından teslim edilen bir PowerShell komut dosyası tarafından kolaylaştırılan bir “çalma ve Go” taktikinin kullanılmasını içeriyordu.
Ukraynalı siber yetkililer, enkaz powershell senaryolarının yapay zeka araçları kullanılarak geliştirildiğini söyledi. Kötü amaçlı yazılım, bir sistemde kalıcılığı korumadan, kısmen, enfekte bir uç nokta ve komut ve kontrol sunucuları arasındaki bağlantıları izleyen savunmalardan kaçınarak, eksfiltrasyon meydana gelmeden önce bloke etmek için tasarlanmıştır.
Savunucular, UAC-0218 ve UAC-0219 kodlu bu çabalara bağlı iki tehdit faaliyeti kümesini izliyor ve ilk saldırılar geçen yıl ortaya çıkıyor ve bu yılın başlarında yoğunlaşıyor.
Yetkililer, Rus saldırganların, mağdurları kötü amaçlı yazılım veya kötü amaçlı yazılım damlalarıyla enfekte etmek için tasarlanmış, kimlik avı mesajlarındaki dosya barındırma hizmetlerine bağlantılar da dahil olmak üzere meşru bulut tabanlı kaynakları kapak olarak kullanmaya devam ediyor. Kullanılan hizmetler arasında Bitbucket, Dropbox, 4SYNC, Google Drive, OneDrive ve Ukrayna Servisi Ukr.net E-Disk bulunmaktadır.
Cert-UA, “Kötü niyetli amaçlar için meşru çevrimiçi kaynakların kullanılması yeni bir taktik değildir. Ancak, Rus hackerlar tarafından kullanılan bu tür platformların sayısı son zamanlarda sürekli artmaktadır.” Dedi.
Çoğu hizmet, istismar raporlarına ve yayından kaldırma taleplerine hızlı bir şekilde yanıt verirken, siber savunucular servis sağlayıcıları daha proaktif bir şekilde kötüye kullanım için izlemeye çağırdı. “Saldırganların hedeflerine ulaşabileceği tespit ve hafifletme arasında her zaman bir zaman boşluğu vardır.” Dedi.
Rusya yıpranmaya odaklanıyor
İngiliz hükümeti, FBI, NATO ve AB ile koordineli olarak, Temmuz ayında, Rus hükümetinin ‘askeri ve dış politika hedeflerine ulaşmak için kullandığı ileri, kapsamlı bir siber yeteneği temsil ettiğini’ dedikleri 74455 ünitesi de dahil olmak üzere birden fazla GRU yetkilisini ve hack ekiplerini onayladı.
Rusya’nın istilası devam ederken, siber güvenlik uzmanları, Moskova’nın Ukrayna’nın ordusunu, hükümet ve sivil toplumu hedefleyen siber operasyonları ve casusluk kampanyalarını ve kamu moralini zehirlemek için tasarlanmış psikolojik operasyonları hedefleyen casusluk kampanyalarını çalıştırmaya odaklandığını söylüyor (bkz:: Zorlu görünüyor: Rusya Trompetleri Ukrayna Pro-Hacker Tutuklamaları).
İstilacının taktikleri, benzer şekilde belirleyici bir avantaj elde edemediği savaş alanında değişti. Uzmanlar, Moskova’nın rakibini uzun vadede, sivil hedeflere karşı sık sık drone ve füze saldırıları da dahil olmak üzere giymeye çalışıyor gibi görünüyor.
Bu strateji ciddi bir insan maliyetiyle geliyor ve bu yaz ayında İngiliz Savunma Bakanlığı ile çatışma başladığından beri bir milyondan fazla Rus askerinin öldürüldüğünü veya yaralandığını tahmin ediyor.
ABD merkezli Stratejik ve Uluslararası Araştırmalar Merkezi “Rus ölümleri ve kayıplar olağanüstü oldu.” Dedi. Düşünce kuruluşu Şubat 2022’den bu yana 250.000’e kadar Rus askerinin öldürüldüğünü tahmin etti. Ukrayna için istatistikler daha az keskin ama yine de korkunç, 60.000 ila 100.000 birlik ölümüyle ve toplam 250.000’e kadar kayıp.