Garanti saldırısının ardından: Saldırı istihbaratı önceden alınabilir miydi?

Türkiye, Cumhuriyet Bayramı’ndan bir gün önce ülkenin en büyük bankalarından biri olan Garanti BBVA üzerinden yapılan siber saldırıyı konuştu. 100 Gbps’lik DDoS saldırısına hedef olan banka uzun sayılacak bir süre boyunca elektronik hizmetlerini müşterilerini sağlayamadı. Şirket neden olduğu mağduriyetten dolayı özür diledi.

Banka sistemlerine yapılan dolaylı olarak Türkiye’de faaliyet gösteren üç operatörü de etkileyen saldırının arkasından bir hafta geçmiş olmasına rağmen birçok soru cevapsız kaldı: Saldırının hedefi neydi? Jeopolitik gelişmeler ile birlikte nasıl değerlendirilmesi gerekiyor? Zamanlaması manidar mı? Saldırı yabancı kaynaklı mı?

Öncelikle saldırının nasıl yapıldığının net bir şekilde ortaya konması gerekiyor. Saldırı Garanti Bankası’ndan gelmiş gibi gözüken paketlerle yapıldı. Bu paketler gittikleri farklı sunuculardan Garanti Bankası’na cevap döndürdüler. Bu yoğun trafik ise hem Garanti Bankası’nı, hem de bankanın yedekli servis aldığı ülkemizin en büyük 3 operatörünü etkiledi.

Saldırının uluslararası siyasi bir boyutu var mı?

Saldırıyı bir bağlama oturtarak okumasını yapmak için sorulması gereken önemli sorulardan biri yapılan saldırının hedefinin ne olduğuyla ilgili. Bilindiği gibi Garanti Bankası’nın yüzde 49,85’ine 2 yıl önce İspanya ve Meksika’nın en büyük finansal kuruluşu olan BBVA sahip oldu. Bankanın ortaklık yapısında Doğuş Holding’in yüzde 0,5’lik sembolik bir payı bulunuyor. Yani bu açıdan bakıldığında Garanti artık yabancı ortaklı bir banka dolayısıyla Türkiye’ye yönelik siyasi hedefli bir siber saldırı için çok anlamlı bir hedef teşkil etmiyor. 2015 yılında Rus savaş uçağının düşürülmesinin ardından yaşanan saldırılarda Türkiye’deki kamu bankaları öncelikli hedefler arasında yer almıştı.

İlgili haber: Sizce şimdi Rus hackerlar ne yapıyordur?

Saldırının uluslararası politik bir gelişme olmadığına dair bir başka önerme de saldırının şiddetiyle ilgili. Uluslararası aktörlerin ya da geniş bir ağa sahip hacktivistlerin yaptığı düşünülen DDoS ataklarına baktığımızda saldırıların çok daha güçlü olduğunu görüyoruz. Geçtiğimiz yıl GitHub 1.35 Tbps’lik bir saldırı ile karşılaşmış, saldırı başladıktan 10 dakika sonra DDoS önleme sistemi devreye girmiş ve bu zamana kadar yapılan en güçlü DDoS saldırısı sadece 20 dk. sonra sona ermişti.

İlgili haber: GitHub dev DDoS saldırısını geri püskürttü

2016’da IoT cihazlarının bulunduğu Mirai Botnet’inin kullanıldığı DYN’yi hedef alan DDoS saldırısı da 1.2 Tbps gücündeydi. İki saldırının arkasında da devlet destekli ve/veya organize toplulukların olduğu tahmin ediliyor.

İlgili haber: IoT saldırıları: Dün Kerbsi bugün DYN yarın?

Saldırının zamanlamasına dair açıklamalara bakıldığında jeopolitik gelişmelerin saldırıyla ilgili olduğuna dair yorumlar çıkartılsa da, bu teori diğer bulgularla desteklenmiyor. IŞİD lideri Ebu Bekir el Bağdadi’nin 26 Ekim’de Türkiye sınırına yakın bir yerde öldürülmesi sonrasında bu siber saldırının gerçekleşmesi ile saldırının 29 Ekim Cumhuriyet Bayramı’ndan hemen bir gün önce olması saldırının siyasi bir mesaj içerdiğine dair argüman tamamlayıcı bilgilerle desteklenmiyor. Siber Bülten’e bilgi veren uzmanlar, saldırının Türkiye sınırları içerisinden devam ettiği ve zaten bu tür saldırıların zamanlamasının uzun tatiller seçilerek yapıldığına işaret ediyor.

Ayrıca IŞİD’in siber alandaki etkinliğini uzun zaman önce yitirdiğini de hatırlatmakta fayda var: FBI IŞİD’in dijital takımını tek tek avladı

Saldırı istihbaratı önceden alınabilir miydi?

Siber güvenliğin en önemli proaktif bileşeni şüphesiz siber istihbarat. Siber saldırganların kendi aralarında organize olduğu taktik ve strateji tartışmaları yaptığı iletişim kanallarına sızman siber istihbarat toplamanın önemli kaynaklarının başında geliyor. Türkiye’yi böylesine etkileyen bir saldırının hazırlık aşamasında saldırıyla ilgili istihbarat toplanıp toplanmadığı cevabı merakla beklenen sorular arasında yer alıyor.

Türkiye’den çıkan ve küresel çapta iş yapan siber istihbarat şirketlerinden biri olan Invictus’un saldırıdan günler önce 10 Ekim’de resmi hesabından attığı tweet saldırıyla ilgili istihbarat kaynaklarının hareketli olduğuna dair bir ipucu sunuyor.

Twitter gönderisinde, “Türk yetkililere yönelik büyük bir hacktivist saldırı dalgası tespit ettik. Özellikle geniş çaplı DoS saldırılar bekleniyor.” ifadeleri yer alıyor. Saldırının Garanti saldırısı olup olmadığına ilişkin başka bir bilgi verilmiyor. Şirket hesabından da konuyla ilgili o tarihten sonra başka bir gönderi atılmadı.

Siber istihbarat ile ilgili başka bir soru daha akla geliyor: Şayet istihbarat alınmış olsaydı bile telekom operatörlerinin altyapısı ve Garanti’nin sisteminde yeterli önlem kısa süre içerisinde alınabilir miydi?

 

 

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.