ABD’nin eski başkanı Donald Trump’ın beyin takımı tarafından kurulan GETTR isimli platform, kısa sürede kafa kesme videoları ve aşırılık yanlısı içeriklerle doldu.
Sanal âlemde yakın zamanda gerçekleşen bir olay, belli bir grubun propagandasını yapmak için kurulan platformların tam tersi görüşteki kişilerin hedeflerine hizmet edebileceğini gösterdi. Trump yanlısı sosyal ağ GETTR, açılmasının üzerinden sadece birkaç hafta geçmesinin ardından IŞİD destekçileri tarafından yayılan terör propagandasıyla dolup taştı.
Eski Başkan Donald Trump’ın beyin takımı tarafından bir ay önce kurulan sosyal ağda kafa kesme videoları ve Batı’ya karşı şiddeti teşvik eden fotoğraf ve videolar dikkat çekiyor. Bunlar içinde bir örgüt militanının Trump’ı Guantanamo Körfezi’nde kullanılanlara benzer turuncu tulum içinde idam ettiğini gösteren bir görsel öne çıkıyor.
Trump ve destekçileri, ünlü Kongre binası baskınının ardından Twitter ve Facebook gibi ana akım sosyal medya platformlarında yer alamamaları üzerine harekete geçerek GETTR isimli bir platform kurmuştu. Trump’ın beyin takımı, maruz kaldıkları yasakların da etkisiyle GETTR için düşünce özgürlüğü vurgusu yaptılar.
IŞİD DURUMU FIRSATA ÇEVİRDİ
Ana akım sosyal medya platformlarınca engellenmek istenen ve sürekli propagandalarını kitlelere ulaştırmak için yeni mecralar deneyen terör örgütü IŞİD ise, bu durumu avantaja çevirmekte gecikmedi. Yüzlerce örgüt destekçisi hesap propaganda nitelikli çok sayıda içeriği platformda paylaştı.
Birbirlerini GETTR’e davet ettikleri görülen örgüt militanlarından birinin “Şu ifade özgürlüğü de ne güzel bir şeymiş.” şeklinde alaycı ifadeler kullandığı görüldü. Buna karşılık, GETTR yetkililerinin bir süre sonra bazı terör yanlısı paylaşımları sildikleri ortaya çıktı.
Yaşanan ikilem ifade özgürlüğüyle terör propagandasını engelleme arasındaki hassas dengeyi de bir kez daha gündeme getirdi.
Ortadoğu’da bölgesel ve küresel aktörler arasındaki çekişmede siber alanın payı her geçen yıl büyüyor. İran destekli 33 web sitesine online dezenformasyon yaptığı gerekçesiyle FBI tarafından el konulmasının ardından, bu kez Şii Arapların önde gelen örgütlerinden Haşdi Şabi siber saldırının hedefi oldu.
Irak’ta devlet destekli paramiliter grubu Haşdi Şabi’ye ait kritik veriler dark web’de satışa çıktı. 2014’te kurulan ve çoğunluğunu Şii Arapların oluşturduğu askeri gruba ait ele geçirilen veriler arasında operasyonlarda kullanılan haritalar ve organizasyon şemaları bulunuyor.
20 GB’lik verilerin 2018-2021 yıllarına ait olduğu ifade ediliyor.
Aralarında az da olsa Sünni Arap, Hıristiyan ve Yezidi grupların da bulunduğu çatı örgütün altında 40’a yakın paramiliter grup bulunuyor. Çatı örgütün başına 2018 yılında Irak eski Başbakanı Haydar el Abadi getirilmişti.
2014’den bu yana IŞİD’e karşı silahlı mücadele veren Haşdi Şabi’yi oluşturan gruplardan bazıları kimi ülkeler tarafından terörist örgüt olarak tanımlanırken, grubun bazı unsurları Sünnilere karşı mezhep şiddeti gütmekle suçlanıyor.
IŞİD’İN YENİDEN YÜKSELİŞİNDE KULLANILABİLİR Mİ?
Sızdırılan verileri değerlendiren uzmanlar, Haşdi Şabi’nin en büyük bölgesel rakibi IŞİD’in böyle bir sızıntı yapabilecek siber kapasiteyi uzun zaman önce kaybettiği görüşünde birleşiyor. Organizasyon şemasında ifşa edilen verilerin güncel olmasa bile IŞİD açısından önemli olduğu vurgulanıyor. Yeniden taraftar toplayıp taban kazanma aşamasına geçen örgüt, geçtiğimiz yıllarda kendisini hedef alan operasyonlarda yer almış Haşdi Şabi mensuplarına yönelik suikast girişimleri ile ses getiren eylemler düzenleyebilir.
Haşdi Şabi resmi olarak tanındığı ve Abadi’nin yanı sıra Irak eski Başbakanı Nuri el Maliki’nin de desteğini aldığının not edilmesi gerekiyor. Çatı örgüt 2014 yılında Şii din adamı Ayetullah Ali Sistani’nin verdiği cihat fetvası üzerine kurulmuştu.
ABD’NİN PARALEL OPERASYONUNUN ZAMANLAMASI MANİDAR
Haşdi Şabi’nin İran’ın desteklediği bölgesel silahlı güçler arasında olduğu biliniyor. ABD ile İran arasında son aylarda nükleer antlaşma ekseninde yaşanan gerilimin siber alanda ortaya çıkan yansımaları akıllara Haşdi Şabi’ye yönelik siber saldırının arkasında Amerikalı aktörlerin olma ihtimalini getirdi.
Geçtiğimiz hafta ABD Adalet Bakanlığı Haşdi Şabi bünyesinde bulunan Kataib Hizballah adlı örgütün yayın organı olan web sitesine el konulduğunu açıklamıştı. Yaptırımları ihlal ettiği için FBI tarafından domain’ine el konulan siteyi hedef alan operasyonun ardından dark web’de Haşdi Şabi’ye yönelik böyle bir paylaşım gelmesi dikkati çekti.
Her şey 27 Ekim 2019’da IŞİD lideri Ebu Bekir El Bağdadi’nin öldüğü söylentisiyle başladı. Bu söylenti doğrulanmadan cihatçılar sanal dünyada homurdanmaya başlamıştı.
Aşırıcılıkla ilgilenen Londra merkezli düşünce kuruluşu Stratejik Diyalog Enstitüsü müdür yardımcısı olan ve ayrıca IŞİD ve onların online düşmanları arasındaki mücadeleler üzerinde çalışan Moustafa Ayad’ın bir gün havaalanına doğru yürürken telefonuna bir çeşit IŞİD propaganda mesajı düştü. Dijital ortamdaki cihatçılar Twitter üzerinden Bağdadi’ye ağıt yazıyorlardı.
GİZLİ BAĞLANTILARDAN YOLA ÇIKTI
Bir IŞİD hesabından başka bir IŞİD hesabına geçerken Ayad garip bir şey olduğunu fark etti. Bazı hesaplar biolarında kısa ve gizli bağlantılar taşıyordu. Ayad linke tıkladığında linkin içeriğindeki dokümanların daha önceden takip ettiği dokümanlara benzemediğini fark etti. Titizlikle kataloglanmış terör içerikli bir klasörü gördü. “Bunun bir şaka olduğunu düşündüm” diyen Ayad, Dubai Uluslararası Havaalanı’nda, Starbucks kuyruğunda, halka açık Wi-Fi ile telefonunda gezinirken, gittikçe yayılan devasa bir IŞİD önbelleğine rastlamıştı.
Klasör içeriğindeki bir PowerPoint sunumuna tıkladı. “El Kaide Havayolları” diyordu: uçak kaçırma, kendi kloroformunuzu yapma mekaniği ve koordineli bir terörist saldırısı düzenlemek için gereken hücre yapısı hakkında her şey. Hepsi klasör içerisindeki bir PowerPoint sunumunda yazılıydı.
SALDIRI GERÇEKLEŞTİRMEK İÇİN İHTİYAÇ DUYULAN HER ŞEY VAR
Takip eden haftalarda Ayad ve meslektaşları bu önbelleği incelemeye başladılar. İlk bakışta önbellek, DropBox’taki bir dizi dosyaya benziyordu. Ancak göze çarpan ilk şey dosyanın boyutuydu. 4.000 klasörü barındıran dosya Arapça, İngilizce, Almanca, Fransızca, İspanyolca, Rusça, Bengalce, Türkçe ve Peştuca’yı kapsayan çok dilli içeriğiyle bir terabayttan fazla medya barındırıyordu.
Önbelleğin içinde, Irak’ta Tevhit ve Cihat Cemaati ve Mücahit Şura Meclisi gibi Irak’ta koalisyon güçlerine karşı savaşan selefi örgütlerin ve IŞİD’in diğer şemsiye örgütlerinin resmi ürünleri yer almaktaydı. Önbelleğin içinde diğerlerine nazaran çok daha az bir şekilde IŞİD’in ideologlarının fikirleri ve vaazları mevcuttu.
Önbelleğin içinde ayrıca IŞİD’in Suriye ve Irak topraklarının bir parçasını kontrol ettiği zamanlardaki günlük hayatı tasvir eden materyaller de vardı. Örneğin çocuklar için hazırlanmış okul müfredatı. Okul müfredatının içinde İngilizce, Beden Eğitimi, Arapça, Kuran Çalışmaları, Coğrafya, Tarih ve IŞİD’in beyin yıkama dersi olarak “İdeoloji” adlı ders. Ölüm ve yıkım temalı bu ders kafirleri öldürmenin yollarını anlatıyordu.
Bunların yanı sıra ABD askerlerine havan topları atarak Arapça öğreten mobil uygulamalar da mevcuttu. Belgeler, sunumlar, basılı yayınlar, dergiler ve eğitim materyallerinden oluşan sonsuz bilgi, IŞİD’in yaşam resmini çiziyordu.
Önbellekte, IŞİD kontrolündeki doktorlardan dişçilere, savaş ganimetlerinden mahkumlarına kadar her şey üzerine derinlemesine düşünülmesini sağlayan IŞİD fotoğrafçılarının çektiği “fotoğraf hikayeleri” de mevcuttu. IŞİD’in başarıları ve başarısızlıkları, stratejileri ve hatta ölüm sonrası raporları da vardı. Örneğin bir saldırı stratejisi, Batı’yı önemli noktalarda kesintiye uğratma planını açıklıyordu. Amaçlarını da düşmanı “kan kaybından öldürmek” olarak tanımlıyordu.
Bu önbellekte başka yerde bulunamayacak pek çok şey mevcut. Kafa kesme videoları ve ölüm sahneleri, bomba yapım kılavuzları, terör saldırısı nasıl düzenlenir konulu slaytlar bu önbellekte saklanıyor. BBC Monitoring’de çalışan Mina el-Lami “Yıllar içinde cihat içerikli birçok önbellekle karşılaştık ancak bu önbellek, boyutu, üzerinde depolanan verilerin miktarı bakımından hepsinin önüne geçiyor” diyor.
“Şiddet eğilimi olan herkesin bir saldırı gerçekleştirmek için ihtiyaç duyacağı her şey burada” diyor Ayad.
Yetkililer en önemli klasör olarak gördüğü “Mücahit Çantası” olarak adlandırılan klasörle ilgileniyor. Klasörün içinde kentsel savaş, silahlar, stratejiler, bomba üretimi, kimyasal silahlar üzerine eğitim materyaller mevcut. “200 İpucu” başlıklı resimli bir kılavuz, saldırganlara silahlarını gizleme, ilkel patlayıcılar oluşturma, gözetlemeyi devre dışı bırakma, yara pansumanı nasıl yapılır ve dövüş sanatları hakkında bilgi sağlıyor. Bu IŞİD’in küçülmeye başladığı dönemde kendi kendini eğiten savaşçılara ihtiyaç duymasından kaynaklanıyor.
IŞİD’in kaderinin kıvrımlarını takip ederek, radikal İslamcılığın tarihinin derinliklerine uzanmak, artık var olmayan bir devletin kolektif hafızasını saklama ve koruma girişimi gibi görünüyor. Devletin dijital bir anıtını inşa etmek. Ama en önemlisi bunların hiçbiri geçmiş zamanda yaşanmıyor. Bugün devam ediyor.
AYAD “BENDE TAKINTIYA DÖNÜŞTÜ”
Ayad, tespit ettiği önbelleği Metropolitan Polisi’ne ve New York terörle mücadele birimine iletti. Ayad’ın raporlarından sonra, önbellek kullanılabilir olmaya ve hatta büyümeye devam etti. Kendisinde, klasörün çevrimiçi ortamda takibinin bir takıntıya dönüştüğünü belirten Ayad “Şeklinin değişmesini izledim. Tarzı ve tasarımı değişiyor. Klasörler hareket ediyor!” diyor. Ayad ve meslektaşları, raporlardan sonra da önbelleğin içinde kalmaya ve dış dünyaya yayılmasını izlemeye devam ettiler.
El-Lami “Bu önbellek çok geniş, canlı ve aktif bir cihatçı medya ortamında geziniyor” diye açıklıyor. Bu çabanın merkezinde ise Telegram’da kurulmuş bir bot var. Bu bot eğer birisi kanala geldiğinde Arapça olarak karşıdaki insana bir bağlantı isteyip istemediğini soruyor. İstendiğinde ise kendisini önbelleğe yollayan özel bağlantılar oluşturuyor. Bu bağlantıları izleyen Ayad ve ekibi IŞİD destekçilerinin sosyal medya üzerindeki varlığını canlı tutmaya çalışmak için yaptıkları girişimleri canlı olarak gözlemlediler.
CİHATÇI NETFLİX
Önbellek, sosyal medyanın ötesinde, web platformunda da devam ediyor. Bir tür “Cihatçı Netflix” diyor Ayad. İstediğiniz herhangi bir video içinde mevcut. Saldırı videoları, infazlar, önemli konuşmalar… Site, internette farklı alan adlarını kullanabiliyor. Arayüz, nerede olursa olsun, her bir video için metrikleri düzgün bir şekilde gösteriyor. Yorumlar bölümünde ise önbelleğe yönlendiren bağlantılar da mevcut.
Önbelleğin içinde ayrıca IŞİD’in savaş alanındaki başarıları, vaazları ve haber bültenlerini duyurduğu “Müslüman Haberleri” de var. Enfal adlı radyo istasyonunun kataloglarının mevcut olduğu bir web sitesi de mevcut.
AYDA ON BİN TIK
Similar Web’e göre bu siteler ayda yaklaşık 10.000 farklı ziyaretçiye ev sahipliği yapıyor. Bu siteler, düşen bir rejimin benzersiz dehşetlerini ve acımasızlığını klasör tabanlı bir dosyaya depolayan bir sürücüden ibaret.
Hükümetler ve teknoloji devleri IŞİD’i bu tarz platformlardan uzak tutmak için muazzam çabalar sarf ediyor. Ancak internet ortamındaki savaş, gerçek savaştan daha da zor geçiyor. Terörle mücadele uzmanları bu savaşı bir tür oyuna benzetiyor. Siz daha kafalarına vurmadan cihatçılar bir başka yerden çıkıyor.
Birleşik Krallık Aşırılıkla Mücadele Komisyonu’ndan Sara Khan “Çarpıcı olan şey, aşırılık yanlılarının propagandalarını eşi görülmemiş şekilde ve eşi görülmemiş sayıda insana yaymasının ne kadar kolay olduğudur” diyor. Ayrıca Sara Khan “Örneğin bir içeriği veya bir önbelleği kaldırır kaldırmaz yerine tekrar yenilerinin konulduğunu görüyorsunuz. Şu anda gerçekleştirdiğimiz bu çevrimiçi savaş sürdürülebilir olmaktan uzakta” diyerek ekliyor.
ÖNBELLEK BİR ZAMAN KAPSÜLÜ
Önbellek yıllardır vardı ancak 2017 yılında ciddi şekilde yayılmaya başladı. 2017 yılında IŞİD topraklarındaki şehirlerden ve kasabalardan siliniyordu. Yenilgi üzerine yenilgi alırken dijital ortamdaki bu önbellek daha da önem kazandı.
Önbellek, IŞİD’in gücünün zirvesinde durduğu anı yakalayan ve şimdi bu gücün zayıfladığı bir anda o anı anıtsallaştıran bir zaman kapsülü olan sözde İslam Devleti için bir tür yedek sürücü olarak varlığını sürdürüyor.
YENİDEN BAŞLATILAN DEVLET ESTONYA
Ülkenizi yedeklemek, IŞİD ile başlayan veya biten bir fikir değil. Tarihi boyunca bir poker çipi gibi dolaşan Estonya, Soğuk Savaş’ın sonunda bağımsızlığına geri döndü. Toomas Ilves, bağımsızlıktan sonra ülkenin ilk başkanlarından biriydi ve rekabet gücünün, hatta hayatta kalmanın anahtarının dijital dünyayı kucaklamak olduğunu düşünüyordu.
Estonya bütün hizmetlerini ve hükümet işlevini dijital platformlara dönüştürdü. Mahkeme sistemini, tıbbi reçeteleri dijitalleştirdiler ve hatta e-ambulans sistemi oluşturdular. Evcil hayvanlar dijital olarak evcil hayvan siciline, evler dijital tapu siciline kaydedildi. Her şeyin önüne bir “e” konuldu. 2005 yılında Estonya, ülke çapında çevrimiçi oylamaya izin veren dünyadaki ilk ülke oldu.
Bütün bunlar Estonya’da iki sonuca yol açtı. İlki ikametgahın coğrafya ile ilgisinin olmamasıydı. 2014 yılında e-ikamet doğdu. 100 Euro’ya işlere erişebilen, bankacılığı kullanabilen ve vergi verebilen biri olabilirsiniz. Estonya’da çalışmak ve vergi ödemek için Estonya’da yaşamak zorunda değilsiniz. Hatta Estonya’yı ziyaret etmiş olmanız bile gerekmiyor.
İkinci sonuç ise devletin kendisinin de coğrafyaya bağlı olması gerekmediğiydi. 2017 yılında Estonya dünyanın ilk “veri elçiliğini” kurdu. Lüksemburg üzerinde yer alan güçlendirilmiş bir sunucu dolabı, teknik olarak Estonya’da elçilik görevi görüyor. Eğer Estonya bir saldırıya uğrarsa, devlet yeniden başlatılabilir durumda.
Elbette IŞİD bir Estonya olamaz. Bahsedilen şey bir önbellek ve önbelleğin yenilenebilir bir devlet oluşturması imkansız. Ancak önemli olanın belirli bir coğrafyadan bağımsız bir şekilde devletlerin kendilerine yeniden üretme yolunu bulması olarak ön plana çıkıyor.
IŞİD, coğrafi dayanağını kaybettikten sonra bile, dijital bir önbelleğe sahip olması nedeniyle dünyanın her yerinden kendilerini IŞİD vatandaşı olarak gören insanlara “hizmetler, propaganda, destek ve eğitim” sunmaya devam edebilir.
Son olarak Ayad “Her zaman teröristlerle ilişkilendirilen bir cümle vardır “Bakiya wa tatamadad” yani kalmak ve genişlemek demektir. Terörizmin tarihi ise gerçekten de bir geri çekilme ve yeniden diriliş, baskı ve kayıp karşısında hayata yeniden adapte olma tarihidir” diyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Türkiye’nin Suriye’nin kuzeyinde düzenlediği Barış Pınarı Harekatı sonrasında PYD’nin elinde bulunan IŞİD’lilerin akıbeti netlik kazanmazken, Avrupa vatandaşı IŞİD üyelerinin kendi ülkelerine dönmesinden endişe eden devletler IŞİD’e karşı farklı siber alanda da farklı önlemler geliştirmeye başladı.
IŞİD’e Avrupa’da insan kaynağı ve finansman sağlanması ve ve örgütün fikirlerinin yayılmasında önemli bir etkiye sahip olan web siteleri Avrupa Polis Teşkilatı (Europol) ile Belçika Federal Savcılığı tarafından ortaklaşa düzenlenen siber saldırı sonucu çökertildi.
Belçika Polisi’nin soruşturması kapsamında IŞİD’in aralarında Türkçe’nin de olduğu farklı dillerde yayın yapan medya organı Amaq’a yönelik operasyon kararı alındı. Operasyon için Lahey merkezli Europol’ün desteği istendi. Operasyon hafta sonu boyunca devam etti ve Pazartesi sabahaı sona erdi. Belçika Emniyet Müdürlüğü’nden yapılan açıklamada operasyon ile birlikte 26 binden fazla internet hesabı, bağlantı ve kanalın çevrim dışı hale getirildiği ifade edildi.
2018’deki başarısızlık ders oldu
Saldırı ile ilgili teknik ayrıntının paylaşılmadığı açıklamada Amaq’ın ciddi zarar gördüğü ve örgütün yayın organını eski haline getirebilmesinin kolay olmayacağını belirtildi. Operasyonun amacının web sitelerinin tekrar ayağa kaldırılmayacak şekilde çökertilmesine odaklandığı yorumları yapılıyor. Bunun nedeni olarak uzmanlar, Belçika’nın geçen sene de IŞİD’in yayın organını çökertmeye kalkıştığını fakat kısa süre sonra Amaq’ın yeniden ayağa kaldırılması olduğu değerlendirmesini yapıyor.
Geçtiğimiz aylarda Amerikan Siber Komutanlığı da IŞİD’in medya operasyonlarını hedef alan uzun soluklu bir saldırı düzenlediğini açıklamıştı:
Belçika polisinin 2018’deki kısmi başarısızlık sonrasında bu operasyon üzerinde daha fazla çalıştığı ve Europol gibi bir partner ile birlikte bu işi ince eleyip sık dokuduğu yorumları yapılıyor. Geçtiğimiz yıllarda siber suçlularla mücadelede önemli mesafe kat eden Europol gerek özel şirketlerle gerekse yerel kolluk kuvvetleri ile iş birliği yapıyor. Kurumun iş birliği yaptığı hükümetler arasında Romanya’da bulunuyor.
IŞİD’a bağlı olduğunu iddia eden bir siber saldırganın, Ağustos 2014’te Hollanda’daki Suudi Elçiliği’nin resmi e-posta hesabını kontrol altına alarak Lahey’de çok sayıda elçiliğe şantaj mailleri gönderdiği ortaya çıktı.
csoonline.com’un ortaya çıkardığı belgelere göre, söz konusu saldırgan e-postalarda elçilik yetkililerinden IŞİD adına 50 milyon dolar talep ediyor ve talebin yerine getirilmemesi durumunda elçilikleri havaya uçuracakları yönünde tehditler savuruyor.
Suudi elçiliğinin sınıflandırılmamış bilgisayar ağını hedef alan saldırı, büyükelçi sekreterinin iş istasyonuna sıradan bir rootkit (kök kullanıcı takımı) yerleştirmek suretiyle gerçekleştirilmiş ve bu şekilde elçiliğin resmi e-posta hesabı ele geçirilmiş.
Uzmanlar CSO’ya yaptığı açıklamada, saldırının düşük profilde gerçekleştiği göz önüne alındığında, saldırganın gerçekten IŞİD’in organize çabalarının bir parçası mı, rastgele bir taraftar mı ya da bilinmeyen sebeplerle IŞİD üyesi gibi davranan bir ulus-devlet istihbarat ajanı mı olduğunu kestirmenin imkansız olduğunu ifade etti.
Hikaye, İngiltere’de başladı
Hikaye, İngiltere’deki bir Suudi okul müdürünü tuhaf bir şekilde dolandırma girişimi ile başladı, ardından gelen 50 milyon dolarlık fidye talebi ve takvimler 23 Eylül Suudi Ulusal Günü’nü gösterdiğinde Hollanda diplomatik polisinin insan avı ile sona erdi.
CSO’dan elde edilen belgeler, saldırının ve Suudilerin saldırıya cevabına ilişkin detayları da içeriyor. Bu durum, bir hükümetin şüpheli bir ulus-devlet saldırısına karşı nasıl tepki gösterebileceğine ilişkin yeni bir pencere açtı ve dünya genelindeki elçiliklerde konuşlandırılan güvenlik seviyesini gündeme getirdi.
Belgelere göre, büyükelçilik ilk kez, daha önce Suudi kraliyet ailesi tarafından finanse edilen radikal İslamcı ders kitaplarına sahip bir İngiliz okulunun müdürü olarak haberlerde yer alan Dr. Sumaya Alyusuf’un Suudi elçiliğine e-posta atarak Hindistan’dan vize alma noktasında yardım istemesi ve ardından kendisinden MoneyGram aracılığıyla 200 Euro para yatırması istenmesinin üzerine bir şeylerin ters gittiğini anladı.
Suudi elçiliğinin e-posta hesabının kontrolünü ele geçiren saldırgan, 26 Ağustos 2014 tarihinde Alyusuf’a cevap vererek MoneyGram’dan Londra’daki Suudi Elçiliği adresindeki Birleşik Krallık Suudi Elçisi Mohammed bin Nawaf Abdul Aziz’e para transferi yapılmasını talep etmiş.
E-postada şu ifadeler yer almış: “Cevabınızı alır almaz vizenin size hızlı bir şekilde verilmesini sağlayacağım.” Failin bu 200 Euro’luk ücreti nasıl tahsil edeceği konusu net değil.
Belgeler, Alyusuf’un bu tuhaf istek hakkında bilgi almak için Suudi elçisinin sekreterine telefon ettiğini ortaya koyuyor. Birşeylerin ters gittiğinin farkına varan sekreter, Alyusuf’tan e-postaları kendi kişisel Gmail hesabına yönlendirmesini istemiş. Sekreter daha sonra elçiliği olay hakkında bilgilendirmiş.
E-posta şifresi: 123456
Bunun üzerine Büyükelçi soruşturma başlatmış. İnceleme ekibi, Suudi elçiliğinin Dr. Alyusuf’a gönderilen e-postaların bulunduğu hesaptaki bazı kanıtları ortaya çıkarmış. Büyükelçiliğin sınıflandırılmamış ağı, o dönemde resmi büyükelçilik yazışmaları için bağlantılı bir e-posta hesabıyla birlikte bir ev tipi internet servis sağlayıcısı kullanıyormuş. Belgelere göre E-posta hesabının şifresi “123456”. Sekreterin iş istasyonu, POP3 / SMTP kullanacak şekilde yapılandırıldığından ve hiçbir zaman doğrudan web posta ara yüzünü kullanmadığından, e- postasının tehlikeye atıldığı net bir şekilde görülüyor.
Elçilik tarafından yürütülen daha detaylı bir inceleme sonucunda sekreterin iş istasyonuna yüklenmiş bir zararlı yazılım keşfedildi. CSO, VirusTotal’ı kontrol etmek için, Alphabet / Google şirketler grubunun bir parçası olan Chronicle’dan Brandon Levene ile kötü amaçlı yazılım hasarı paylaştı.
Levene, e-posta ile gönderdiği cevapta, şunları belirtti: “ISR Stealer adındaki bu zararlı yazılım HackHound olarak bilinen zararlı yazılım ailesinin modifiye edilmiş bir versiyonu. Nasıl elde edip kuracağınızı gösteren YouTube videolarını kolaylıkla bulabilirsiniz.”
Olayın ardından, büyükelçiliğe bağlı Bilgi Teknolojileri personeli sekreterin iş istasyonunu temizlemiş, kötü amaçlı yazılımları kaldırmak için Windows’u yeniden kurmuş ve e-posta hesabı şifresini “123456” dan daha güçlü bir şeyle değiştirmiş.
İki hafta sonra, 6 Eylül 2014’te, Suudi büyükelçisinin sekreteri, kendisini o sırada güvende olan resmi Suudi elçiliğinin e-postasından kişisel Gmail hesabına gönderilmiş gibi görülen sahte bir e-posta aldı.
IŞİD’i desteklemek üzere kendilerine 35 milyon dolar göndermesini isteyen e-posta, aksi takdirde saldırganların 25 Eylül’de yüzlerce diplomatik VIP davetliyi misafir edecek olan Lahey’deki Suudi Arabistan Ulusal Günü festivallerini havaya uçuracakları tehdidinde bulundu.
Büyükelçiliklere gönderilen sahte e-postalar, 25 bin Euro gibi daha düşük miktarlar talep ediyordu. Bir e-postada şu ifadeler yer alıyordu: “Son zamanlarda elçiliğe gelen bazı kötü muameleleri kontrol altında tutmak için desteğinizin finansal olarak yapılmasını isteyeceğim. Bu İslami olan IŞİD’dir ve bunun gizli kalmasını istiyorum. Salı gününe 25 bin Euro aktarabilirsen, bunu bana bildir, sana gizli bir hesap vereceğim. Birçok masum yaşamı kurtarmama yardım et ”
Saldırganın kimliği belirsiz
Hollanda’daki diplomatik personeli içeren suçlara ilişkin yetki sahibi olan Hollanda Diplomatik Polisi, Lahey’deki diğer elçiliklere tehdit danışmanlığı birimi gönderdi. 9 Eylül’de, resmi Suudi elçiliğinin e-posta adresini bir kez daha taklit eden saldırgan, birkaç elçiye daha tehdit uyarısının bir kopyasını iletti ve şantaj taleplerini 50 milyon dolara çıkardı. Olay inceleme ekibi, saldırganın çok gizli danışma belgesine nasıl eriştiğini bulmak için büyük çaba gösterdiği belirtiliyor.
Saldırıdan kimin sorumlu olduğu konusu gizemini koruyor. Saldırının düşük profilli bir niteliğe sahip olması, failin herhangi biri olabileceğine işaret ediyor. ABD Savunma Bakanlığı eski Siber Suç Araştırmacısı (DoD) Jim Christy, CSO’ya yaptığı açıklamada şunları söylüyor: “Herkes olabilir, bir çocuk, bir grup, IŞİD’i maske olarak kullanan herhangi bir ülke de olabilir”
Siber Bülten abone listesine kaydolmak için formu doldurunuz
