Etiket arşivi: fancy bear

Rusya

Rusya’nın siber saldırıları, KGB’den miras bir anlayış

Yorum yapın

Rusya’nın 8 Kasım 2016’daki ABD başkanlık seçimlerine siber yöntemlerle müdahil olarak sonuçları etkilediği yönündeki tartışmaların estirdiği rüzgârlar dinmezken, Donald Trump ekibinin Rus istihbaratıyla bağlantıları konusunda yürütülen soruşturmanın başındaki isim olan FBI Başkanı James Comey’nin ani bir kararla görevinden alınması krizi daha da derinleştirdi.

ABD başkanlık seçimine Rus müdahalesine ilişkin CIA, FBI ve NSA’nın ortaklaşa hazırladığı ve ocak ayında kamuoyuna sadece 25 sayfalık kısmı açıklanan istihbarat raporu, ABD siyasi tarihinin en büyük politik skandallarından birine yol açmıştı. Siyasi kurumların elektronik sistemlerinin hacklenmesi ve çalınan bilgilerin WikiLeaks kanalıyla sızdırılarak ABD’de siyasi krize yol açması KGB’nin uzun yıllardır başvurduğu bir ‘aktif tedbir’ uygulaması olan ‘siyasi sabotajlar’ ile bahse konu ‘siber operasyonlar’ arasında doğrudan bir bağ kurulmasına sebebiyet verdi.

Siber saldırılarda benzer taktikler

Rusya’nın diğer ülkelerdeki seçimlere ilgisi, ABD başkanlık seçimlerinden ibaret de değildi. Örneğin Fransa’da 23 Nisan 2017 tarihindeki cumhurbaşkanlığı seçimlerinin ilk turundan iki gün sonra, bilişim teknolojileri güvenliği alanında rüşdünü ispat eden Tokyo merkezli siber güvenlik firması Trend Micro, Rus hackerların, cumhurbaşkanı adayı Emmanuel Macron’un seçim kampanyasını hedef aldıkları iddiasında bulundu.

İlgili haber >> Rus hackerlar, Fransız lider Macron’u hedef almış

ABD istihbarat teşkilatları olağanüstü şekilde üretken bir yapı sergileyen “Pawn Storm” (namıdiğer ‘Fancy Bear’ veya ‘APT 28’) isimli siber espiyonaj grubunun Rus Askerî İstihbarat Servisi ‘GRU’ bağlantısına dikkat çekerlerken, Trend Micro’dan araştırmacı Feike Hacquebord, Pawn Storm’un kullandığı dijital altyapıda Macron’u hedef alan sahte web domain (alan adları) tespit ettiklerini açıkladı.

Öte yandan Hacquebord, Macron saldırılarına ait dijital parmak izlerinin, 2016’da Clinton’ın seçim kampanyasını yürüten Demokratik Ulusal Komite (DNC) ile 2016 Nisan-Mayıs aylarında Almanya Şansölyesi Merkel’in partisini hedef alan saldırılarla benzer tekniklerin kullanıldığını gösterdiğini vurguladı.

Bu gelişmeler, istihbarat dünyasında ‘enformasyon savaşları’ ve ‘etki operasyonları/nüfuz casusluğu’ konularını yeniden gündeme taşıdı. ABD’de devam eden tartışmalarda, Rusya’nın rakip ülkelerin seçimlerini ya da siyasal karar süreçlerini etkileme maksadıyla siber araçlarla yürüttüğü operasyonları, esasında KGB’den miras kalan ve Soğuk Savaş dönemiyle özdeşleşmiş ‘aktif tedbirler’ kültüyle ilişkilendirme teşebbüsleri gündeme geldi.

Yani tarihsel bir kavram olan ‘aktif tedbirler’ konseptiyle, Rusya’nın ‘siber’ ve ‘enformasyon’ operasyonları arasında amaçları, taktikleri ve sonuçları bakımından bir ilişki kurgulanıyordu. Rusya’nın bir taktik olarak aktif tedbirleri siber operasyonlara uyarladığı noktasında kurulan bu ilişki bizzat resmi bir komisyon tarafından dile getirilmişti. ABD Temsilciler Meclisi İstihbarat Komitesi’nin 20 Mart 2017 Pazartesi tarihli açık oturumu, ‘Rus Aktif Tedbirler Soruşturması – Open Hearing on Russian Active Measures Investigation’ başlığını taşıyordu.

Aktif tedbirler ve algı yönetimi

Temsilciler Meclisi’nin 15 Mart 2017 tarihli ‘Enformasyon Savaşı ve Karşı Propaganda’ başlıklı oturumunda, Fort Leavenworth’taki Dış Askeri Araştırmalar Ofisi (FMSO)’nde kıdemli bir analist ve Rusya uzmanı olan Timothy L. Thomas, Rusya’nın ‘enformasyon savaşı’ konseptini ‘teknik’ ve ‘psikolojik’ enformasyon şeklinde iki ana kategoriye ayırarak açıklamıştı.

Bu bağlamda Thomas, siber ve sosyal medyanın her ikisini harmanlama trendinden ve Rusya’nın ortaya çıkan yeni eğilimleri ve savaş halinin niteliğini ne şekilde gördüğü konusunda önemli bir değişime kaynaklık ettiğinden söz etti. Bu konsept çerçevesinde Rusya, ‘geleneksel’ aktif tedbirleri yansıtan ‘online’ taktiklerle operasyonlar icra etmekteydi. Örneğin Rusya, yurt içi ve yurt dışındaki siyasi gündem ve ideolojisini gerçekleştirmek için bazı bağımsız zümre ve grupları tarihsel olarak kullanıyordu. Öyle ki 1990’ların başlarından itibaren ve özellikle de Putin’in ilk ve daha sonra 2000’li yıllardaki dönemiyle birlikte FSB, bilgisayar korsanlığıyla uğraşan karanlık gruplarla belirsiz ilişkiler yürütmeye başlamıştı. Bu savaş tarzı, Ortadoğu’da cereyan eden ‘vekalet savaşları’nın adeta bir başka versiyonunu hatırlatıyordu.

Peki bu ‘aktif tedbirler’ konsepti tam olarak ne anlama geliyordu ve ne tür taktik uygulamaları içermekteydi? ‘Aktif tedbirler’, Rusça’daki ‘aktivnyye meropriatia’ kelime öbeğinden çevrilmiş olup KGB tarafından bir takım ‘etkileme faaliyetleri’ni tanımlamak için kullanılan bir şemsiye kavramı ifade etmektedir. Ancak Rus olmayan kaynaklar, bu kavramı daha ziyade dar bir biçimde ‘algı yönetimi’ konseptine sıkıştırmaktadırlar. Bu doğrultuda Rusların, Sovyetler Birliği hakkında pozitif, düşmanlarına dair ise negatif algılar oluşturmak suretiyle kamuoyunu ya da anahtar karar alıcıların davranışlarını ve görüşlerini etkilemek için başvurdukları örtülü araçlar ya da siyasi faaliyetler olarak görmektedirler.

Aktif tedbirlerin genel niteliği ve muhtevası konusunda en net ve tanımlayıcı açıklamalardan birisi emekli KGB Tümgenerali Oleg Kalugin tarafından 1998 yılında kendisiyle CNN tarafından gerçekleştirilen bir mülakatta yapılmıştır. Kalugin, Sovyet istihbaratının ‘diğer tarafı’ olarak nitelendirdiği ‘aktif tedbir’ tabir edilen uygulamaların, özünde Sovyet istihbaratının kalbi ve ruhu şeklinde tanımlayabileceği ‘yıkıcılık-subversion’ olduğunu dile getirmiştir. Bu uygulamalar, Kalugin’e göre bir istihbarat toplama faaliyeti olmayıp bir tür yıkım aracıdır. Söz konusu tedbirler, Batı’yı güçsüzleştirmek, başta NATO olmak üzere Batı ittifakı içerisinde uyumsuzluk ve ayrışmalar yaratmak ve ABD’yi Avrupa, Asya, Afrika ve Latin Amerika halklarının gözünde zayıflatmak gibi hedefleri içermiştir. Böylece ABD’yi diğer insanların öfke ve güvensizliğine karşı daha korunmasız hale getirmek amaçlanmıştır. Sonuçta aktif tedbirlerin amacı, değişen şartlara göre çeşitlenmekle birlikte ‘nüfuz etme/etkileme’, ‘algı yönetimi’ ve ‘savaşa hazırlık’ gibi hususları içermiştir.

Soyvetler dönemindeki uygulamalar

Kalugin’in perspektifinden bakıldığında ‘aktif tedbirler’ konsepti içerisindeki uygulamalar, niteliği itibarıyla aslında ‘politik savaş’ taktiklerinden başka bir şey değildir. Bu taktikler, bağımsız (görünümlü) zümre ya da grupların teşkil ve finanse edilmeleri, örtülü yayınlar, medya manipülasyonu, dezenformasyon, sahtecilik ve etki ajanlarının satın alınması gibi faaliyetleri içermektedir. Ne var ki Fletcher R. Schoen and Christopher J. Lamb, 2012 Haziran’ında Ulusal Stratejik Araştırmalar Enstitüsü tarafından yayımlanan ‘Stratejik Perspektifler’in 11. sayısında yer alan çalışmalarında bu tür bir ‘aktif tedbirler’ anlayışının son derece dar kapsamlı olduğunu ileri sürmüşlerdir. Schoen ve Lamb’e göre, Sovyetlerin aktif tedbirler uygulamaları, algı manipülasyonu için açık ya da örtülü operasyonlara, kışkırtma, suikast ve hatta terörizm gibi alanlara kadar uzanmıştır.

‘Aktif tedbirler’ özellikle Khrushchev döneminde (1953-64) geçerliliğini korumakla kalmamış, daha yaygın bir biçimde başvurulmak suretiyle yeniden kurgulanmıştır. Bu politikayı Khrushchev, Sovyet kamuoyuna yönelik bir ‘algı yönetimi aracı’ olarak Cheka ruhunu/mitolojisini yeniden inşa etmek suretiyle bilhassa film sektörü üzerinden kullanmaya çalışmıştır.

İlgili haber >> Almanya-Rusya arasında siber atışma

Soğuk Savaş Dönemi’nde rakip ülkelere karşı yıkıcı faaliyetlerde bulunmak, Sovyetler Birliği’nin temel amaçlarından birisini teşkil etmiştir. Andropov döneminde (1967-82) KGB, yıkıcı faaliyetleri sistematik bir metodoloji içerisinde kullanmıştır. 1970’li yıllarda taraf değiştirmiş bir KGB ajanı olan Yuri Bezmenov, KGB’nin bu sistematiğinin dört temel aşamaya dayandığını açıklamıştır. Bunlar, 15-20 yıllık bir süreci içeren ve bütün gerçekleri ve doğruyu inkar esasına dayanan ‘moral bozma-demoralization’; 2-5 yıl alabilecek ekonomi, dış ilişkiler ve savunma sistemleri gibi hayati unsurların altının oyulması anlamında ‘istikrarsızlaştırma-destabilization’, 6 hafta alabilecek, iktidarın, temel yapı ve ekonominin köklü bir biçimde değişimini sağlayacak ‘kriz aşaması’ ve alaycı bir ifadeyle mevcut Komünist yönetimin idamesi anlamında ‘normalleşme-normalization’dir. Bu sistematik, literatüre ‘Bezmenov Modeli Yıkıcı Faaliyetler’ olarak geçmiştir.

Suçlamalar, Trump’ı koltuğundan edebilir

Sonuç olarak, Soğuk Savaş döneminin mirasını yansıtan ‘aktif tedbirler’ uygulamaları, günümüzde siber teknolojinin de devreye girmesiyle çok daha geniş bir uygulama alanına sahip görünmektedir. Hâlihazırda Rusya’nın bu taktikleri Ukrayna’dan Çeçenistan’a kadar, çatışma içerisinde olduğu tüm bölgelerde tatbik ettiğine dair genel bir ön kabul vardır. Kaldı ki Rusya’nın aktif tedbirler yoluyla, ABD ve Fransa’daki seçimler üzerinde yarattığı etki, hararetli bir biçimde tartışılmaya ve bu ülkelerin iç siyasetini derinden etkilemeye devam etmektedir.

İlgili haber >> ABD’nin Rusya’ya yaptırımları havada kaldı

Her ne kadar bu husustaki gerçekler henüz kesinlik kazanacak şekilde kanıtlanamamışsa da, “şüyuu vukuundan beterdir” atasözünü çağrıştırırcasına, şayia ve iddialar (muhatapları tarafından murat edilmiş olsun veya olmasın) ciddi sonuçlar doğuracak gibi görünmektedir. Öyle ki bugün, ABD’de bazı siyasi profiller ve istihbarat örgütlerinin üst düzey yöneticileri çoktan makamlarından alındılar. Tüm bunların ötesinde ise bugün Rus ajanı olmakla suçlanan ve belki de bu nedenle görevinden alınabilecek bir ABD başkanı söz konusudur.

Kaynak: Anadolu Ajansı

Makale & Analiz

Amerika’nın siber çıkarları bir Rus’a emanet: Dmitri Alperovitch

Yorum yapın

Geçmişte Shawn Henry’yi incelediğim yazıda bahsi geçen, siber olaylara anında müdahale ve zararlı yazılım değerlendirmeleri gibi alanlarda uzmanlaştığı belirtilen ve son zamanlarda, özellikle ABD Başkanlık Seçimleri süresince ününe ün katan CrowdStrike şirketinin meşhur CTO’su olan Dmitri Alperovitch, bir güvenlik araştırmacısından çok daha fazlası.

Diğer yazıda değindiklerim ışığında, CrowdStrike’ın siber dünyada saldırganlara karşı şimdiye kadar sergilenen ‘reaktif’ tavrın bir işe yaramadığını, saldırganları yakından tanıyıp profillemeden ve onlara karşı ‘proaktif’ bir tutum sergilemeden, yalnızca defansa dayalı stratejilerin başarısızlığa mahkum olduğunu savunan bir şirket olduğunu hatırlatmam gerekiyor. Bu hatırlatma, Amerika’nın son dönemde başından eksik olmayan yüksek profil hacklemeleri ve diğer tüm iddiaları araştıran Alperovitch’in yaklaşımını aktarabilmek adına önemli.

Alperovitch, isminden de anlaşılabileceği üzere bir Rus, 1980 Moskova doğumlu. Nükleer fizikçi olan babasından kodlamayı öğrenen Alperovitch, kendine ait bir bilgisayarı olana kadar kağıt üzerine algoritmalar yazarak pratik yapmaya çalışırmış. 1994 yılında babasının Kanada vizesinin kabul edilmesiyle hayatı tamamen değişen Alperovitch, Georgia Tech’te bilgisayar mühendisliği okuduğu sırada, antispam yazılımı üreten bir firmada çalışırken belki de bütün kariyerini etkileyecek bir ‘aydınlanma’ yaşamış. Her engellediği e-posta spamleri üreten sunucunun yerini, yüzlerce yeni sunucunun aldığını farkettiği anda, savunmanın teknolojiyle değil, psikolojiyle ilgili olduğunu anlamış. Bu aydınlanmayla, düşmanın psikolojisini ve davranışsal eğilimlerini çözmeden başarılı siber güvenlik stratejileri üretilemeyeceğini anlayan Alperovitch, kariyerinin ilk yıllarında saldırganları daha yakından gözlemleyeceği forumlarda takılıp, analizlerini kendine ait bir blogta yayınlamaya başlamış. 2000’lerin başında FBI tarafından farkedilen bu alışılmadık yaklaşım, 2005’te 56 kişinin yakalanmasıyla sonuçlanan bir Rus kredi kartı çetesi çökertme operasyonunda büyük fayda sağlamış.

İlgili haber >> Rusya’nın en büyük siber suç çetesi çökertildi

2011’e kadar uzanan dönem, hem Alperovitch’in McAffee ile yollarının kesiştiği, hem de buradaki kariyerinin hızla yükseldiği yıllara denk geliyor. Özellikle bu dönemde, siber güvenlik ile ilgilenmeye ilk başladığım zamanlarda beni fazlasıyla heyecanlandıran Shady RAT, Night Dragon ve Aurora Operasyonları’nı bizzat yürüten ve adlandıran Alperovitch’in, siber-espiyonaj aktivitelerinin, yüksek profil siber saldırıların araştırılması ve açığa çıkarılması konusunda adeta devleştiği söylenebilir. Tam da bu nedenle, DNC hacklenmesi gündeme geldiğinde ilk irtibat kurulan ismin Dmitri Alperovitch olması şaşırtıcı değil. Şaşırtıcı olan, kendisi de bir Rus olan Alperovitch’in, DNC haklenmesinin ardında Cozy Bear ve Fancy Bear şeklinde isimlendirdiği, FSB (Rus gizli servisi) ve GRU (Rus askeri istihbarat ajansı) ile derin bağları olan iki ayrı grup tarafından yürütüldüğünü belgelerle ortaya çıkarması.

İlgili yazı>> Gelmiş geçmiş en büyük siber saldırı: Shady RAT

Ancak bugün bile Alperovitch’e sorulduğunda ABD, son dönemde hedefinde olduğu tüm bu kritik siber aktivitelerin Rusya’dan kaynaklandığını dünyaya açıklamada oldukça geç kalarak hızlı bir şekilde karşılık verme ve üstünlük sağlama şansını da yitirmiş oldu. Özellikle ABD Senatosu’nun Ocak başında en kıdemli istihbarat yetkililerini –Ulusal İstihbarat Direktörü Direktörü James Clapper, İstihbarattan Sorumlu Savunma Müsteşarı Marcel Lettre ve Amerikan Siber Kumandanı Michael Rogers-  Rusya’nın siber agresyonu konusunda dinlediği duruşmayı neredeyse baştan sona dinlemiş biri olarak, Alperovitch’in yorumu oldukça yerinde olduğunu söylemem gerekli.

İlgili yazı>> İstihbarata doymayan adam: Michael Rogers

Senatonun, bu duruşma boyunca Amerika’nın karşı karşıya kaldığı Rus siber agresyonu karşısında kısasa kısas ve orantılı karşılık verecek gücü ve kabiliyeti olup olmadığı konusunda İstibarat şeflerini ısrarla sıkıştırıp, net bir cevap alamaması da Alperovitch’in değindiği bu geç kalmanın temelinde yatan bürokratik ve diplomatik karmaşayı bir bakıma kanıtladı. Görmeye ve duymaya çok alıştığımız, siber ortamda ‘ofansif defans’ ya da ‘proaktif karşılık’ terimleri böylece devletler arası siber gerginliklerde göründüğü kadar basit pratiğe dökülemeyeceğini de gösterdi aslında.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Rusya, Uluslararası İlişkiler

Rus siber ordusu süvarilerini nasıl topluyor?

Yorum yapın

Dünya güçlerinin saldırı amaçlı siber yazılımlar üretmeleri ve bulundurmalarını kabul etmeleri yeni yeni ortaya çıkıyor. Tabii bu yazılımları çalıştırmak için insan gücüne de ihtiyaç duyuluyor. Peki siber alanda adı bu kadar geçen Rusya bu işi nasıl yapıyor? Nasıl yetenekli ve tecrübeli kişileri siber ordusuna katıyor?

33 yaşındaki bilgisayar programcısı Aleksandr B. Vyarya, Rus ordusundan iş teklifi almadan önce başına geleceklerin farkında değildi.

New York Times’ın haberine göre müşterilerinin arasında muhalefet eğilimli televizyon kanalları, gazeteler ve liderler olan Vyarya, Rusya’nın ‘savaş’ kavramını yeniden tanımlaması sonucu bir iş teklifi aldı. Bu zamana kadarki kariyerinde siber saldırıların gerçekleştirilmesini önlemek için çalışan programcıya teklif edilen iş, saldırı amaçlı siber yazılımlarının kullanılmasını gerektiriyordu.

İlgili haber>> Rusya siber alanda neden saldırıyor? 

Bu işi kişisel prensiplerine aykırı ve kanun dışı olarak nitelendiren Vyarya, teklif edilen işi reddetti. Kısa süre sonra takip edilmeye başladığını farkeden usta bilgisayar programcısı ülkeden kaçarak Finlandiya’ya sığınma talebinde bulundu.

Her şey, 2015 yılında ordu için işe alım yapan Rostec şirketinin yöneticilerinden biri ile Bulgaristan’a yaptığı geziyle başladı. Vyarya’nın anlattıklarına göre Bulgar bir şirketin geliştirdiği DDoS saldırısı düzenleyen yeni bir yazılımın saldırı amaçlı testleri yapılıyordu. Rostec yöneticisi Vasily Brovko, tecrübeli programcıya bu yazılımın nasıl geliştirilebileceğini sordu ardından da 1 milyon dolara alacakları bu yazılımı çalıştırma görevini teklif etti. Rostec şirketi bu anlatılanları yalanlayarak yazılımın savunma amaçlı kullanılmak için değerlendirildiğini söyledi.

İlgili haber >> Neden İran ve Rusya’nın ABD’den daha fazla siber komandosu var?

Rusya siber savaş programını kapalı kapılar arkasında yürütse de son yıllarda hükümet Vyarya gibi profesyonelleri, üniversite öğrencilerini ve hatta kanun ile başı belada olan siber suçluları siber takımına katmak için olabildiğince büyük bir çaba gösteriyor.

Uzun süredir, Rus hükümeti sahada çalışan ordu mensuplarına bel bağlamayıp popüler sosyal medya sitelerine ilanlar vererek, üniversite öğrencilerine ve profesyonel kodlayıcılara iş tekliflerinde bulunarak binlerce programcıya ulaşıyor. Hatta 2013 yılında Moskova’da yapılan bir toplantıda Rusya Savunma Bakanı Sergei K. Shoigü üniversite rektörlerine programcı ve kodlayıcı arayışında olduğunu açıkça belirtmişti.

İlgili haber >> FBI otçu hackerlara muhtaç mı kaldı?

Ordunun bu yeni üyelerinin ‘bilim süvarileri’ olarak adlandırılan birimler oluşturması ve bu birimlerin ülkenin dört bir yanındaki askeri üslere gönderilmesi planlar arasında.

Rusya Milli Silahlı Kuvvetlerinde görev yapmak her gencin zorunlu görevi. Fakat şiddet ve fiziksel savaş ile uğraşmak istemeyen öğrenciler bu yeni birime girmeyi tercih edebiliyor. Hatta bir anket ile askere çağrılan kişilere programlama dillerinden hangilerine hakim oldukları soruluyor.

Rusya’nın siber alandaki varlığının büyüklüğü düşünüldüğünde ordunun hapishanelerdeki siber dâhileri de işe almak istemesi hiç de şaşırtıcı değil. Daha önce savunma bakan yardımcısı Gen. Oleg Östapenko oluşturulacak siber orduda sicil kaydı bulunan kişilerin de yer almasının değerlendirilebileceğini söylemişti. CrowdStrike siber güvenlik şirketinin kurucularından Dmitri Alperovitch siber suçluların yakalandığı fakat hapishaneye gitmedikleri bir çok vaka olduğunu belirtti.

Siber ordu oluşturan tek ülke Rusya değil tabii ki. Bu alanda en büyük paya sahip ülkelerden biri olan Amerika’da Ulusal Güvenlik Ajansı (NSA) 2015 yılında 1400 lise ve ortaöğretim öğrencisine hackleme, şifre kırma ve siber savunmanın temellerinden oluşan ücretsiz bir yaz okulu programı düzenledi. Aynı zamanda Amerika istihbarat ajanslarının üniversite kampüslerinden ise alım yaptıkları da uzun süredir bilinen bir gerçek.

İlgili haber >> ABD liselerde siber güvenlik için bu müfredatları öneriyor

Geçtiğimiz haftalarda, Obama hükümeti Rusya’yı seçimlere siber alanda karışmak ile itham etmiş ve Rusya’daki kişilere ve belirli kurumlara yaptırımlar uygulamaya başlamıştı.

Siber güvenlik uzmanları Fancy Bear adıyla tanınan Rus korsan hacker grubunun Demokratik Ulusal Komite sistemine sızdığını tespit etti. 2007 yılından beri farklı bir isimle operasyonlarını sürdüren grup istihbarat toplamak yerine saldırı yapma taktiğine yönelmiş durumda. Aynı grup, 2016 yılında Dünya Anti-Doping Ajansı’nın verilerini ele geçirip, kendi açtığı internet sitesinde yayınlamıştı. Yayınlanan veriler, ünlü tenisçi Serena Williams’ın da dahil olduğu bir çok Amerikalı sporcunun yasaklı madde testlerinden muaf tutuluğunu ortaya çıkarmıştı.

Siber Bülten abone listesine kaydolmak için formu doldurun

Rusya, Uluslararası İlişkiler

ABD seçimlerinden Ukrayna OBÜS’lerine Rusya’nın siber fedaisi: Fancy Bear

Yorum yapın

Ünlü X-Agent çoklu platformunun Android versiyonunun, Rusya ile savaşları sırasında Ukrayna topçu birliklerini izlemek için kullanıldığı ortaya çıktı. Ordu içine yasal bir uygulama üzerinden sızan FANCY BEAR adlı hacker grubunun kullanımındaki kötü amaçlı yazılım, grubun Rusya ile irtibatlı olduğu iddialarını güçlendirmekle kalmadı. Aynı zamanda X-Agent platformunun mobil işletim sistemlerini de kapsayacak şekilde genişlediğini gösterdi.

CrowdStrike, Haziran ayında Ulusal Demokratik Komite’de (DNC) ve diğer siyasi organizasyonlarda, genel olarak X-Agent olarak tanımlanan ünlü bir sızmadan faydalanılan bir dizi ihlal girişimini tespit etti. X-Agent, uzaktan erişim araç kitine sahip olan ve şimdiye kadar Windows, iOS ve MacOS gibi işletim sistemlerinde çeşitli sürümleri tespit edilmiş, çok sayıda işletim sisteminin desteklediği bir platform. Aynı zamanda Sofacy olarak da bilinen X-Agent, yıllardır güvenlik toplulukları tarafından izleniyor.

İlgili haber >> FAmerikan seçimlerinden sonra Almanya seçimleri de hackerların hedefinde

CrowdStrike ise X-Agent’in kullanımını bizim FANCY BEAR diye bildiğimiz bir aktörle ilişkilendiriyor. FANCY BEAR (Süslü Ayı) denen bu aktör, kötü amaçlı yazılımın tek sahibi ve CrowdStrike’ın Rusya İstihbarat Servisi ile ilişkilendirdiği operasyonlar için platformu geliştirmeye devam ediyor. Bu kötü amaçlı yazılımın kaynak kodu kamu alanlarında görülmüyor ve sadece FANCY BEAR tarafından geliştirilmiş gibi duruyor.

2016 yaz aylarının sonlarına doğru CrowdStrike istihbarat analistleri, ‘Попр-Д30.apk’ (MD5: 6f7523d3019fa190499f327211e01fcb)  adında tuhaf bir Android Paketini (APK) incelemeye başladı. Bu paket çok sayıda “askerî” Rusça karakter içeriyordu. İlk araştırmalar, 1960’lı yıllarda Rusya’da üretilmeye başlanan ve hâlâ kullanımda olan D-30 122mm çekili obüslerle bir bağlantısı olabileceğini gösteriyordu. Derinlemesine yapılan incelemelerde ise APK’nin, X-Agent’in Android versiyonunu içerdiğini ortaya koydu.

İlgili haber >> Ukrayna’daki elektrik kesintisi siber ajanların işi mi?

‘Попр-Д30.apk’ dosya ismi, ilk olarak Ukrayna ordusunda görevli Yaroslav Sherstuk isimli bir topçu subayı tarafından geliştirilmiş yasal bir uygulama ile bağlantılıydı. Medyada yer alan röportajlarında Sherstuk, yaklaşık 9000 kullanıcısı olduğunu belirttiği uygulamanın D-30’ların ateşlenme süresini dakikalardan saniyelere indirdiğini belirtiyordu. Uygulamanın Android uygulama mağazasında ise izine rastlanmadı, bu da uygulamanın bu platform üzerinden dağıtılmış olmasını imkânsız kılıyor.

CrowdStrike, geçtiğimiz günlerde yayınladığı istihbarat raporunda, Trojan içeren ‘Попр-Д30.apk’ uygulamasının Ukrayna ordusu tarafından kullanılmasına ve Rus kuvvetleri tarafından bu platformda verilen ölümcül tepkilere yer veriyor.

Raporda öne çıkan bazı başlıklar şöyle:

  • FANCY BEAR X-Agent, 2014 – 2016 yılları arasında Ukrayna ordusunda, Ukraynalı asker Yaroslav Sherstuk’un geliştirdiği yasal bir uygulama içinde gizlice dağıtıldı.
  • Orijinal uygulama, Ukrayna ordusunun elinde bulunan Rus yapımı D-30 Howitzer obüslerinin hedefleme süresini 1 dakikadan, 15 saniyenin altına indirmeye yarıyordu. Uygulama 9000 kişi tarafından kullanılıyordu.
  • Bu uygulamanın için başarılı bir şekilde FANCY BEAR kötü amaçlı yazılımının yerleştirilmesi, Ukrayna askerlerine karşı izleme çalışmalarını kolaylaştırdı. Bu kötü amaçlı yazılım, etkilediği cihazların iletişim ve konum bilgilerini topluyordu. Bu da Ukrayna topçu birliklerinin nerede konuşlandığının bulunmasını kolaylaştırıyordu.
  • Açık kaynaklara göre 2 yıl süren savaşta Ukrayna kuvvetleri, silahlarının yüzde 50’sini D-30 obüslerinin yüzde 80’den fazlasını kaybetti. Bu oran Ukrayna’nın sahip olduğu silahlar içindeki en yüksek rakam.
  • X-Agent’in bu daha önce görülmemiş versiyonu, FANCY BEAR’ın Android ve iOS gibi platformlara kadar genişlediğini ortaya koyuyor ve Ukrayna ile giriştikleri savaşta Rusya merkezli aktörlerin gerçekleştirdikleri siber operasyonların ne kadar geniş ölçekli olduğunu ortaya koyuyor.
  • Ukrayna topçu birliklerine ait bilgilerin bu şekilde toplanmış olması, CrowdStrike’ın daha önce ortaya koyduğu FANCY BEAR’ın Rusya irtibatlı olduğu ve Doğu Ukrayna ile Rusya-Ukrayna sınırındaki Rus kuvvetleri ile yakından çalıştığı tezlerini güçlendirdi.

Siber Bülten abone listesine kaydolmak için formu doldurunuz