Siber Suçlar , Siber Savaş / Ulus-Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
Uzmanlar, Düşmanların Yeni Yollar Arayışında Kimlik ve Bulut Yığınlarının Hedef Alınacağı Uyarısında Bulundu
Mathew J. Schwartz (euroinfosec) •
3 Kasım 2025
Avrupalı kuruluşları hedef alan siber saldırılar, ister ulus devlet korsanlarını, ister finansal motivasyona sahip siber suçluları veya fırsatçı hacktivistleri içersin, jeopolitik olayları şekillendirir ve şekillendirir.
Ayrıca bakınız: İsteğe Bağlı | Kuzey Kore’nin Gizli Bilişim Ordusu ve Bununla Nasıl Mücadele Edilir?
Siber güvenlik firması CrowdStrike’ın Ocak 2024’ten Eylül ayına kadar 21 aylık bir dönemde kıtasal siber tehditlere ilişkin değerlendirmesinde, pek çok saldırının Rusya’nın Şubat 2022’de Ukrayna’yı işgalinden kaynaklandığı ve bunların arasında son zamanlarda Kuzey Kore ile koordineli operasyonlar da bulunduğu belirtiliyor.
Bu saldırılar genellikle aşırı abartılı, dağıtılmış hizmet reddi kesintilerini, web sitesi tahrifatlarını ve birincil amacın propaganda olabileceği veri sızıntısı kampanyalarını içerir.
Raporda, “Çatışmaya özgü operasyonların ötesinde, Rusya, İran, Kore Demokratik Halk Cumhuriyeti, Çin, Türkiye, Kazakistan ve Hindistan, stratejik istihbarat toplama, bilgi operasyonları, fikri mülkiyet hırsızlığı ve fırsatçı mali kazanç gibi amaçlarla yönlendirilen siber operasyonlar aracılığıyla ısrarla Avrupalı varlıkları hedef alıyor” deniyor.
Araştırmacılar, Orta Doğu’daki çatışmaların, İsrail’e veya Batı’nın askeri faaliyetlerine bağlı kuruluşlar da dahil olmak üzere, İran bağlantılı tehdit aktörlerinin Avrupa’ya yayılmasına yol açtığını söyledi. Önde gelen sektörler arasında finansal hizmetler, ulaşım ve sivil toplum kuruluşları yer alıyor.
Araştırmacılar, özellikle Avrupa’daki hedefler söz konusu olduğunda, Tahran bağlantılı siber casusluk gruplarının, yıkıcı saldırılar yerine gizliliğe öncelik verdiklerini, Fransa, Almanya ve Birleşik Krallık’ın Eylül ayında 2015 İran nükleer anlaşması kapsamında sağlanan ekonomik yaptırımları otomatik olarak yeniden uygulamak için “geri alma” mekanizmasını devreye sokmaları nedeniyle hedeflerin arttığını söyledi.
Ancak Moskova veya Tahran’ın yönlendirdiği faaliyetlerden endişe duyanlar için “Çin-nexus faaliyeti” baskın tehdit olmaya devam ediyor. Araştırmacılar, Çinli bilgisayar korsanlarının havacılık, havacılık, enerji, hükümet, sağlık, askeri ve kamu hizmetleri de dahil olmak üzere her alanda aktif olduğunu söyledi. Pekin’in Rusya ile olan ittifakı nedeniyle karmaşık hale gelen gergin ilişkilere rağmen Avrupa, Çin’in en büyük ticaret ortaklarından biri. Sonuç olarak CrowdStrike, Çin’in Avrupa’daki siber faaliyetlerinin çoğunun “Pekin’in bölgeyle siyasi ve ekonomik ilişkilerini bilgilendirmek için olası istihbarat toplamaya odaklandığını” belirtti.
Siber Suçun Ekonomik Etkisi
Fidye yazılımı ve veri gaspı devam eden tehditler olmaya devam ediyor. Avrupalı firmalar, fidye yazılımı gruplarının veri sızıntısı sitelerinde listelediği kurbanların beşte birinden fazlasını oluşturuyor. Bu tür siteler, bir grubun iddia ettiği kurbanların tam sayısını değil, yalnızca fidye ödemeyi reddedenleri yansıtıyor.
Son aylarda olaya müdahale ekipleri, fidye ödemeyi seçen mağdurların sayısında ve bunu yapmaları halinde ortalama tutarda küresel bir düşüş olduğunu bildirdi (bkz: Fidye Yazılımı Hackerları Düşen Kârların Ortasında Yeni Taktikler Arıyor).
Ancak yine de siber suçlar mağdurlardan hâlâ bir maliyet çıkarıyor. Suçlular genellikle Rus siber suçlulardır, ancak her zaman değil. Scattered Spider’ın İngiltere’dekiler de dahil olmak üzere büyük perakendecilerin yanı sıra otomobil üreticisi Jaguar Land Rover’ı ve onun geniş tedarik zincirini sekteye uğratmasıyla takip edilen yerli Com siber suç topluluğu yan ürünü. Montaj hatlarının geçici olarak kapatılmasıyla sonuçlanan JLR saldırısının tek başına İngiliz ekonomisine 2,5 milyar dolara mal olacağı tahmin ediliyor. Bu da, ülkenin tarihindeki en pahalı siber olayı olacak.
Uzun süredir temel taşları olan Exploit ve XSS de dahil olmak üzere Rusça dilindeki siber suç forumları, bilgi paylaşımı yoluyla daha geniş suç ekosistemini destekleyerek, işbirliğini ve ticareti kolaylaştırmanın yanı sıra çalıntı verileri, araçları ve diğer eşyaları satarak hem hain acemiler hem de uzmanlar için entegre topluluklar olarak hizmet etmeye devam ediyor.
Suçlular tarihsel olarak forumlar ve Telegram gibi uçtan uca şifrelenmiş mesajlaşma hizmetleri arasında geçiş yaptı. Ancak CrowdStrike’ın karşı düşman operasyonları başkanı Adam Meyers, hizmetin “yasa dışı faaliyetlere karışan kanalları kapatması” nedeniyle Telegram’ın son zamanlarda “biraz daha gözden düştüğünü” söyledi.
Kolluk kuvvetleri siber suç forumlarına sızıyor ve bunları bozuyor ancak görünüşe göre yeni nesil siber suçlular tarafından yönlendirilen yeni forumlar düzenli olarak ortaya çıkıyor.
Pek çok hizmetin hâlâ Rusya içinde veya çevresinde olduğu görülüyor. Buna rağmen Moskova, iç siber suçları denetleme konusunda daha uygulamalı bir yaklaşım benimsiyor ya da en azından öyle görünmek istiyor; buna Meduza’nın bilgi hırsızlığı yapan kötü amaçlı yazılım operasyonunu yürüttüğünden şüphelenilen üç “genç BT uzmanının” yakın zamanda tutuklanması da dahil.
Probiv (bu kelime çalıntı veya sızdırılmış verilerin siber suç forumlarında ticareti anlamına gelir) dahil olmak üzere başka bir veri sızdırma hizmeti de CrowdStrike’ın “kısmen araştırmacı gazeteciliği kolaylaştırma rollerinden dolayı” olduğunu söylediği hükümet baskılarının odak noktası oldu.
Savunma Önerileri
Siber güvenlik savunucularının karşılaştığı zorluklardan biri, yeni keşfedilen güvenlik açıklarının, hem siber suçlulara hem de ulus devlet müşterilerine hizmet vermek üzere kurulmuş bir ekosistem tarafından hızla ve geniş ölçekte istismar edilme potansiyeline sahip olmasıdır. Sağlayıcı tarafında buna, birçok farklı sektörde sıklıkla mevcut olan güvenlik açıklarından kaynaklanan, alıcılara büyük miktarlarda incelenmiş “erişim” satma konusunda uzmanlaşmış ilk erişim aracıları da dahildir.
Meyers, “İlk erişim aracıları, nasıl yararlanacaklarını bildikleri belirli güvenlik açıklarını hedefleme eğilimindedir; bu nedenle onların en fazla etkiye sahip olduğunu görme eğilimindeyiz” dedi. “Bir güvenlik açığı buluyorlar, onu kullanıyorlar, hızlı ve geniş bir alana yayılıyorlar, erişimlerini sağlamlaştırıyorlar ve ardından en yüksek teklifi verene satıyorlar.”
Siber suç faaliyetinin, her şeyden çok “hangi güvenlik açıklarından yararlanabilecekleri” veya hizmet sağlayıcılarının hangi güvenlik açıklarından yararlanabileceğine bağlı göründüğünü söyledi. Sonuç olarak, “düşman faydasına dayalı yamalamayı savunuyoruz.” Bu, CISA’nın Bilinen İstismara Uğrayan Güvenlik Açıkları kataloğunun da yansıttığı gibi, yama yönetimi çabalarının herhangi bir güvenlik açığının yalnızca ciddiyetini değil aynı zamanda yaygınlığını da hesaba katmasını sağlamak anlamına gelir.
Saldırganlar kurbanın ağına veya verilerine ilk erişim elde etmek için yeni stratejiler ararken, kuruluşların karşılaştığı bir diğer önemli zorluk da artık “öncelikli hedef” olan kimlik yığınlarını ve bulut yığınlarının yanı sıra yönetilmeyen eski cihazları da gerektiği gibi korumaktır. Ses tabanlı kimlik avı saldırıları da dahil olmak üzere sosyal mühendislik girişimleri de arttı.
Meyers, “Etkili olarak, ticari zanaat perspektifinden bakıldığında, toplu olarak uç noktayı daha zor bir hedef haline getirdik” dedi. “Dolayısıyla düşmanlar, bu hedeflere erişim sağlamak için daha çok çalışmak yerine, onların etrafından dolaşmaya çalışıyorlar, erişim sağlamanın başka yollarını bulmaya çalışıyorlar.”