Etiket arşivi: GRU

Uluslararası İlişkiler

Rusya’ya karşı siber ittifak: İngiltere ve ABD bir araya geldi

Yorum yapın

Rusya’ya karşı siber ittifak: İngiltere ve ABD bir araya geldiİngiltere ve ABD, çeşitli kurum ve kuruluşların bulut bilişim sistemlerine sızmak için Rus askeri istihbaratına bağlı siber aktörlerin kullandığı saldırı tekniklerini açıklamak için bir araya geldi. 

ABD Ulusal Güvenlik Dairesi (NSA), Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA) ve İngiliz Ulusal Siber Güvenlik Merkezi’nin (NCSC) bir araya geldiği açıklamada, ABD ve Avrupa’da yaşanan saldırıların Rus imzası taşıdığı belirtilirken, Rus askeri istihbarat teşkilatı GRU’ya bağlı siber aktörlerin, hükümet daireleri, enerji firmaları ve pek çok kurum ve kuruluşun bulut bilişim sistemlerine sızmak için kullandığı “brute-force” teknikleri de paylaşıldı.

SALDIRILAR 2019’DA BAŞLADI

Rus askeri istihbaratı GRU’ya bağlı siber aktörlerin, Kubernetes adlı açık kaynaklı aygıt kullanılarak operasyonlarını 2019’un ortalarından 2021’in başına kadar sürdürdüğü kaydedilirken, NSA’in öncülüğünde yapılan açıklamada, “Saldırılar öncelikle ABD ve Avrupa’ya odaklandı. Özellikle hükümetler, ordular, savunma yüklenicileri, enerji şirketleri, yüksek öğrenim, lojistik şirketleri, hukuk firmaları, medya şirketleri, siyasi danışmanlar, siyasi partiler ve düşünce kuruluşları hedef alındı.” ifadeleri kullanıldı.

İngiltere’nin siber patronu açık konuştu: En büyük tehdit Rusya

 

TEHDİT AKTÖRLERİ “BRUTE-FORCE” TEKNİĞİNİ KULLANIYOR

Rus askeri istihbaratı GRU’ya bağlı kötü niyetli siber aktörlerin, hedefledikleri kurum ve kuruluşlara sızmak için “brute-force” denilen “kaba kuvvet” tekniği kullandıkları belirtildi. Brute-force saldırıları, bir sisteme erişmek için kötü niyetli aktörlerin, olası şifre varyasyonlarını otomatik olarak deneyerek hedefledikleri sistemleri adeta bombardımana tutması olarak biliniyor. 

Söz konusu “brute-force” saldırılarıyla e-posta, hesap kimlik bilgileri gibi çeşitli korunaklı verilere erişim sağlanabililiyor. Bunun yanı sıra güvenlik zafiyetlerini istismar eden aktörler bu yolla; sisteme erişim, kalıcılık, ayrıcalık yükseltme, uzaktan kod yürütme gibi çeşitli saldılar gerçekleştiriyor.

Brute-force saldırılarının yanı sıra Microsoft Office 365 bulut bilişim sistemlerinde bulunan güvenlik zafiyetlerini istismar ederek de hedefledikleri sistemlere erişmeye çalışan aktörlerin kendilerini gizlemek amacıyla çeşitli VPN hizmetlerini kullandıkları açıklandı.

Rusya

Rusya’nın sıradışı dezenfermasyon operasyonunda Türkiye ‘haydut ülke’

Yorum yapın

Sosyal medya analiz şirketi Graphica Rusya ile bağlantılı ve alışılagelmedik yöntemler kullanan bir dezenformasyon kampanyasına dair veriler yayınladı. Secondary Infektion adlı grup ‘kullan-at’ hesaplarla sosyal medya ağlarına ve dahası küçük forumlara sızarak dezenformasyon yayıyor. Seçimler ve Rusya karşıtı gruplara ilişkin yalan haberler yayan grubun hedefinde Türkiye de yer almakta.

Rus Internet Araştırma Ajansı (IRA) ana akım sosyal medya platformlarını çeşitli dezenformasyon kampanyaları ile dolduran bir kuruluş. Rus askeri istihbarat ajansı GRU’nun da stratejik veri sızıntıları ve denge bozucu siber saldırıları araç olarak kullandığı herkesin malumu. Ancak Rusya’nın çevrimiçi müdahale yöntemleri arasında daha önce adı hiç duyulmayan teknikler kullanan bir grubun faaliyetleri, Rusya’nın dezenformasyon kampanyalarının bilinenden daha derin olduğunu ortaya koyuyor. Secondary Infektion (İkincil Enfeksiyon) adlı kampanya, araştırmacıların radarına geçtiğimiz yıl yakalanmış. Sosyal medya analiz şirketi Graphika geçtiğimiz hafta söz konusu gruba ait bir eylemin ilk kapsamlı incelemesini yayınladı. Bahsi geçen eylemin tarihinin Ocak 2014 tarihine kadar gittiği görülüyor. Analize göre tüm Secondary Infektion kampanyaları sadece bir gönderi veya yorum yayınlamak için faydalanılan kullan-at hesaplarının kullanımı da dahil olmak üzere sağlam operasyon güvenliği içeren alanları kapsamakta. Bu, ‘zaman içinde’ sanal kişilik veya dijital hesaplar geliştirmeye ve kapsama alanlarını genişleterek etki yaratmaya dayalı IRA ve GRU dezenformasyon operasyonları ile tam bir tezat oluşturmakta.

Yöntemleri IRA ve GRU’dan çok farklı

Secondary Infektion, ayrıca dezenformasyon kampanyaları oldukça çeşitlilik içeren geniş bir dijital platform yelpazesinde yürütmüş. IRA özellikle, enerjisini Facebook ve Twitter gibi ana akım sosyal ağlara odaklayarak yaygınlık kazanırken, Secondary Infektion’ın yerel forumlar ve daha küçük blog siteleri de dahil olmak üzere 300’den fazla platformu hedef aldığı düşünülüyor.  Geniş çaplı ve sayısız kullan-at hesaplarının birleşimi, grubun yıllarca kampanyalarını ve amaçlarını gizlemesine yardımcı olmuş. Ancak bu yaklaşım, grubu IRA veya GRU’dan daha az etkili ve görünüşte daha az etkin hale getirmiş.  Çok sayıda Secondary Infektion kampanyası, platformun kötüye kullanımla mücadele mekanizmaları tarafından mimlendi veya normal kullanıcılar tarafından teşhir edildi.

Secondary Infektion’ın dezenformasyon yaydığı konular tanıdık. Grup dünyadaki seçimlere ilişkin dezenformasyon yayarken, Avrupa ülkeleri arasına nifak sokmaya çalışmış, ABD ve NATO hakimiyetinin altınız çizmiş. Yerelde ise Rusya ve hükümetinin lehine kampanyalar yürüten grup, haber sitesi Bellingcat ve yolsuzluk karşıtı avukat Alexei Navalny gibi rejim karşıtı aktivist ve grupları hedef almış ayrıca Dünya Anti-Doping Ajansı’nı itibarsızlaştırma girişimlerinde bulunmuş.

Türkiye ‘haydut ülke’ olarak lanse edilmiş

Secondary Infektion’ın hedefinde Türkiye de bulunmakta. Grup, Türkiye’yi ‘haydut devlet’ olarak lanse etmiş, küresel göç ve özellikle de Müslümanların yerlerinden edilmesi gibi konular üzerinden operasyon yürütülmeye çalışılmış. Suriye ve iç savaşıyla ilgili nispeten az sayıda kampanya yürüten grup, Rusya destekli dijital aktörler için ortak öncelikli bir konu olan Ukrayna’yı zayıflatmaya ve istikrarsızlaştırmaya yönelik kampanyalara odaklanmış.

Secondary Infektion’ın eylemlerini takip etmek zor olsa da Graphika araştırmacıları, grubun nadir de olsa birkaç kez hesabı yeniden kullanmasını fırsat bilerek grubun gönderdiği paylaşım ve bloglardaki kalıpları belirleyerek bunu başarabildi. Secondary Infektion ayrıca kampanyalarını, aslında grup tarafından uydurulmuş ancak Kremlin eleştirmenleri arasındaki yolsuzluğu veya ABD’den gelen bir Rus karşıtı komployu ortaya çıkardığını iddia eden “sızdırılmış” belgeler etrafında oluşturma eğiliminde.

Rusya’nın sinyal krallığı ile İsrail’in siber casusluk şirketleri arasında Türk İHA’ları

Facebook, Mayıs 2019’da Secondary Infektion’a ait bir grup hesabı keşfeden ilk platform oldu ve konuya ilişkin verileri dezenformasyon araştırmacılarına veri sağladı. O zamandan beri diğer sosyal ağlar ve araştırmacılar, grubun eylemleri hakkında daha fazla örnek topladı. Grup, 2019’da kamuda ifşa olunca, operasyonlarını azalttı veya yer altında faaliyetlerini sürdürmeye başladı. Graphika, Secondary Infektion’ın Rusya içindeki belirli bir organizasyona veya aygıta bağlı olmadığı konusunda net. Eldeki kanıtlara ve grubun kendine özgü tekniklerine ve eğilimlerine dayanarak, araştırmacılar Secondary Infektion’ın IRA veya GRU’nun gözetimi altında çalıştığına inanmıyorlar. Ancak böyle bir ihtimal de varlığını sürdürüyor. Bunun bir GRU operasyonu olabileceği ihtimalini göz ardı etmediklerini söyleyen Graphika’nın İnovasyon şefi Camille Francois, “Emin olduğumuz şey ise diğer operasyonlara hiçbir şekilde benzemediği” diyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

 

Makale & Analiz, Uncategorized

Siber alan diplomasinin merkezine doğru hızlı yürüyüşüne devam ediyor

1 Yorum
Cemal Kaşıkçı

Geçtiğimiz hafta istihbarat çalışmaları üzerine yoğunlaşanlar ya da meraklı olmanın ötesine geçenler için yoğun bir dönemdi. Sadece Suudi gazeteci Cemal Kaşıkçı’nın ayrıntıları merakla beklenen ‘kayboluşunun’ perde arkası ya da Pastör Brunson olayı bile bir hafta için fazlasıyla okuma/düşünme malzemesini önümüze yığmışken, kafamızı biraz olsun coğrafyamızdan kaldırıp küresel arenadaki hamlelere baktığımızda karşımıza binlerce parçalık bir muamma buluyoruz.

Sadece geçen hafta yaşananlara kısa bir bakış atalım.

Dünyanın en büyük istihbarat paylaşım ittifakı olan, ‘Beş Göz’ün (ABD, İngiltere, Avustralya, Yeni Zelanda, Kanada) Çin’in etki operasyonlarına ve teknoloji yatırımlarına karşı daha güçlü bir cephe oluşturmak için Almanya ve Japonya gibi ülkelerle işbirliğini pekiştirme kararı aldığı ortaya çıktı.

Reuters haberine göre, beşli ittifakın elinde bulunan Çin ile ilgili gizli bilgiler bu ülkelerle de paylaşılması Beş Göz’ün gayri resmi olarak genişlemesi anlamına geliyor. Japonya ve Almanya dışında Fransa’nın da daha az kapsamlı şekilde ittifak ile ortak çalışma yürütüldüğü de ifade edildi.

Haberin sızdırılmasının zamanlaması da dikkat çekici.

Özellikle ABD ve Avustralya’da stratejik sektörlere yönelik yabancı yatırımlarının kısıtlanmasına yönelik yasal düzenlemelerin yapıldığı bir dönemde böyle bir kararın açıklanması Çin’in yabancı teknoloji şirketlerine yönelik politikalarını yeniden düşünmesine yol açar mı bilinmez. Fakat dış borcumuzu kapatmak için sıcak para arayışımızda uğrayacağımız duraklardan birinin de Çin olması Türkiye’deki teknoloji sektörü için ilginç günleri yaşayacağımızın işareti olabilir.

İngiltere ve Hollanda’nın başını çektiği Avrupa ülkeleri de siber saldırı düzenleyen yabancı kuvvetlere karşı yaptırım prosedürlerinin daha sertleşmesi konusunda çalışmalarına hız verdi. Avrupa Birliği’nin halihazırda nükleer ve kimyasal silah antlaşmalarına uymayan ve terörizmi destekleyen ülkeler ile kişileri cezalandırmak için uyguladığı prosedürlerin benzerini, siber saldırı düzenleyenleri de kapsayacak şekilde genişletmesi talep ediliyor.

Hollanda ve İngiltere’nin yanı sıra Estonya, Finlandiya, Letonya ve Romanya’nın diğer AB ülke temsilcilerine ilettiği ve Bloomberg tarafından haberleştirilen metinde ‘Benzer bir (yaptırım) rejiminin kötücül siber aktivitelere karşı da uygulanması acil olarak gereklidir.’ ifadesi yer aldı.

Ekim ayının başında, ABD, İngiltere ve Hollanda makamları Rusya’nın askeri istihbarat birimi GRU’nun, Moskova’nın usulsüz işlere giriştiğini tespit eden kimyasal silahların kullanımını düzenleyen BM birimi ve Rus sporcuların doping yaptığını belirleyen çeşitli anti-doping kurumlarının ağlarına girmeye çalışmakla suçlamıştı.

Rusya’nın siber casusluk dosyasının giderek daha da kabarması 2015 yılından bu yana siber saldırıların da yaptırım kapsamına alınmasını isteyen ülkelerin elini güçlendirmiş durumda. Kim bilir belki benzer bir yaptırım rejimine Türkiye de dahil olmak ister?

Beş Göz cephesinde ‘safları genişletme’ kararına ve Avrupa Birliği’nde Rusya’ya karşı ‘siber yaptırım’ regülasyon talebine göre daha somut ve ofansif bir adım İngiltere’den geldi.

İngiliz savunma bürokratlarına dayandırılan haberde, İngiliz ordusunun savaş oyunu sırasında Moskova’da siber yollarla elektrikleri kesecek bir simülasyon gerçekleştirdiği açıklandı. Eski bir Rus ajanının İngiltere’de zehirlenmesinin arkasında Rus istihbaratının çıkmasının ardından İngiltere, Rusya’ya karşı sert bir politika uygulamaktan çekinmiyor. Kendi toprakları içerisinde çekilen bu operasyonu egemenliğine bir saldırı olarak niteleyen Londra yönetiminin ilk başvurduğu politika setinin içerisinde siber yollardan Moskova’nın elektriklerini kesmek gibi kulağa marjinal gelen yöntemlere başvurmasına sanırım kısa sürede alışacağız çünkü haberden anlaşıldığı üzere, İngiliz ordusu Rusya’ya karşı oluşturulan stratejide siber yollardan kritik altyapılara verilecek zararları da ciddi şekilde hesaba katmış durumda.

‘Siber güvenlik ulusal güvenliğin bir parçası haline gelmiştir,’ atasözümüzü etkinlik mevsimine girdiğimiz şu günlerde çok duyacaksınız. ‘Siber alan diplomasinin merkezine doğru hızlı yürüyüşüne devam ediyor,’ sözünü ise muhtemelen ilk kez duydunuz.