ABD Ulusal Güvenlik Ajansı NSA, siber güvenlik eğitim programlarıyla yeni nesil siber liderler yetiştirmeyi hedefliyor. Eğitim programlarında kurumun gelecekte istihdam etmeyi planladığı personelin siber bilgisini arttırmaya yönelik içerikler yer alıyor.
ABD Ulusal Güvenlik Ajansı / Merkezi Güvenlik Servisi’ne bağlı Ulusal Kriptoloji Okulu, siber eğitim programlarına erişimi genişletiyor. Okulun Eğitim, İnovasyon ve Sosyal Destek Merkezi’nin ilköğretim, ortaokul, lise ve üniversite düzeyindeki pek çok siber programında eğitim alan öğrencileri mevcut.
Ajans, kurulu programlarında büyük ilerleme kaydederken ABD’de yetersiz hizmet alan bölgelere siber eğitim ulaştırmak için hala büyük bir çaba sarf ediyor.
HEDEF, İHTİYAÇ OLAN BÖLGELERE SİBER GÜVENLİK EĞİTİMİ VERMEK
K-12 siber eğitim misyon şefi Ashley Greeley, ABD’de halihazırda K-12 siber güvenlik eğitiminin çok iyi düzeyde verildiği bazı bölgeler olduğunu belirtiyor ve ekliyor: “Bunlar tipik olarak ordunun veya federal hükümetin güçlü bir varlığa sahip olduğu coğrafi bölgeler. Ancak orta batı eyaletlerimizde, daha kırsal alanlarda ve kentsel ortamlarda hala yapacak çok işimiz var. Şu anda hedeflerimiz bunlar. Durumları nasıl olursa olsun, öğrencilerin bu eğitimlere erişebildiğinden emin olmak istiyoruz.”
NSA’nın en büyük siber güvenlik eğitim programı olan Ulusal Siber Güvenlik Akademik Mükemmellik Merkezleri (NCAE-C), 335 üniversite, kolej ve topluluk kolejini (meslek okulları) içeriyor. Ajansa göre, NSA, ABD ulusal altyapısındaki güvenlik açıklarını azaltacak siber güvenlik uzmanları yetiştirmeyi taahhüt eden okulları NCAE-C ünvanı ile ödüllendiriyor. Ajans, programı yürütmek için İç Güvenlik Bakanlığı’nın Siber Güvenlik Altyapısı Güvenlik Ajansı ve FBI ile federal düzeyde ortaklaşa çalışıyor.
Greeley, “Programın üniversite düzeyinde amacı, yeni nesli bu alanda yetiştirerek ulusumuzun siber güvenlik duruşunu geliştirmektir.” diye açıklıyor ve ekliyor: “Okullar, programlar ofisi tarafından belirlenen kriter listesini karşılamak durumundalar. Ayrıca müfredatlarının eğitim veya araştırmada titizlik, genişlik ve kapsam bakımından uygun olması durumunda tanınmaktalar.”
Okullar, Siber Savunma, Siber Araştırma veya Siber Operasyonlarda Akademik Mükemmellik Merkezi olduklarına dair bir şartnameye sahip oluyorlar. Bu tür koşullar kurumların Savunma Bakanlığı Siber Güvenlik Burs Programı (DoD CySP) gibi hibeler için rekabet etmelerine yol açıyor. Okullar ayrıca Ulusal Bilim Vakfı’nın (NSF) Hizmet Bursu programının bir parçası olmak için de başvuruda bulunabiliyorlar.
Siber güvenlik eğitimini K-12 düzeyinde artırmak için hibe alan NCAE-C’nin belirlediği kurumlarla birlikte çalışan Greeley şöyle diyor: “Örneğin, 2020 mali yılında, Alabama Üniversitesi, Huntsville ve Illinois ’Moraine Valley Community College’a, Yeni Nesle Yatırım Yapan Bölgeler anlamına gelen RING adlı bir projeye başlamak üzere hibe verildi. Bu iki kurum ve akademik ortakları Alabama ve Tennessee’deki lise öğrencileri için çevrimiçi bir siber güvenlik kursu geliştirdi. Nihayetinde RING’in amacı, öğrencileri hem siber güvenlik içeriğinden hem de siber güvenlik kariyerlerinden haberdar etmektir.”
RING’in ilk başarısı göz önüne alındığında, NSA ortaokul öğrencileri için kaynak geliştirmek üzere program hibelerini artırdı. “Siber Güvenliğin ders olarak tanınması için çalışan eğitim Bakanlığı ile birlikte çalışan kurumlarımız var” diyen Greeley. “Ayrıca, ortaokul ve lise öğretmenleriyle, kendi bölgelerinde siber güvenliği öğretmelerini sağlamak için çalışan kurumlarımız da var. Çok şey oluyor ve gerçekten heyecanlıyız.” ifadelerini kullandı.
NCAE-C başlığı altında faaliyet gösterme süreci henüz tamamlanmamış okullar için Savunma Bakanlığı üniversite düzeyindeki öğrencilere burs ve staj imkanı sunuyor. Greeley, “Savunma Bakanlığı’na bağlı bir kuruluş tam zamanlı istihdam etmek üzere öğrencileri seçer ve öğrenciler üniversite kariyerleri boyunca desteklenir. Ayrıca Teşkilat bünyesinde staj yapma fırsatına sahip oluyorlar. Buna karşılık öğrenci, burs aldığı her yıl için en az bir yıl Savunma Bakanlığı’nda çalışmayı kabul ediyor.”
LockBit fidye yazılımı grubu Eylül 2019’dan bu yana faaliyet gösterse de fidye yazılımı alanında marjinal bir oyuncu haline gelmeleri bu yılın haziran ayına uzanıyor.
LockBit 2.0 adı verilen “Hizmet olarak Fidye Yazılımı platformunun” yeni bir sürümünün yayınlanmasının ve rakip operasyonlar Darkside, Avaddon ve Revil’in aniden piyasadan çekilmesinin ardından LockBit, günümüzün en büyük “Hizmet olarak Fidye Yazılımı” platformlarından biri haline geldi.
Daha önce diğer çetelerden fidye yazılımı yükleri kiralayan siber suç grupları, yaz boyunca LockBit grubuna akın etmiş gibi görünüyor ve Avustralyalı yetkililerin yerel şirketleri uyarmasına yol açacak derecede saldırılarda artışa neden oldu. Öte yandan, Recorded Future tarafından toplanan istatistikler, Lockbit’in geçen ay Eylül ayında en aktif fidye yazılımı grubu olduğunu ve fidye yazılımı sızıntısı sitelerinde listelenen tüm kurbanların neredeyse üçte birini oluşturduğunu gösterdi.
LockBit grubu therecord.media yazarı Dmitry Smilyanets ile gerçekleştirdiği röportajda nasıl bir anda piyasanın lideri konumuna geldiklerini anlatırken kendilerinin de bir gün hacklenebileceği gerçeğini dile getirdiler.
Dmitry Smilyanets: Eylül ayında ihbar edilen fidye yazılımı saldırılarının yüzde 34’ünü LockBit oluşturdu. Piyasayı nasıl fethedebildiğinizin sırrını bize anlatabilir misiniz? Yoksa kurbanlarınızın çoğu fidye ödememeye karar verdiği için mi rakamlar bu kadar yüksek?
LockBitSupp: Henüz piyasayı fethetmeye başlamadık. Şu anda yazılımı geliştirme ve iyileştirme aşamasındayız. Sırrı çok basit: Kusursuz bir itibar. Kimseyi aldatmayan veya markamızı değiştirmeyen tek oluşum biziz. İnsanlar bize güveniyor. Bunun sonucunda da, daha fazla ortaklık, daha fazla saldırıyı beraberinde getiriyor. LockBit Blog, fidyeyi ödemeyi reddeden şirketlerin sadece küçük bir kısmını oluşturuyor. Son 3 ayda 700’den fazla şirkete saldırdık.
DS: Bazı ülkeler fidye yazılım saldırılarının gerçekleştikten birkaç gün sonra ifşa edilmesini zorunlu kılmayı tartışıyor. Bu tür saldırılar söz konusu olduğunda, grubunuz bugün en büyük tehditlerden biri olarak öne çıkacaktır. Saldırılarınızla çok fazla dikkat çekmemek için “Hizmet olarak Fidye Yazılımı” programınızı sınırlandırmayı düşündünüz mü?
LB: Kısıtlamalar maaşla yaşamak isteyen insanlar için geliştirilmiştir. Herhangi bir kısıtlama getirmeyi planlamıyoruz. Hayata bir kere geliyoruz. Dikkat çeksin çekmesin, anonimlikte yapacağınız herhangi bir hata sizi yok olmaya götürür. Şirketin saldırı hakkında bilgi ifşa etmesi umurumuzda değil, bu tamamen şirketin özel bir işi.
DS: Sizi diğer gruplardan ayıran şey StealBit. Bu zararlı yazılım hakkında biraz bilgi verebilir misiniz?
LB: Şirketi şifrelemek yeterli değildir, bazen ifşa edilmemesi için şirketin şifre çözme işleminden daha fazlasını ödemeye hazır olduğu değerli bilgileri çalmak çok daha önemlidir. StealBit, bilgileri olabildiğince hızlı ve basit bir şekilde çalmanızı sağlar.
DS: Ortak kuruluşlarınızın kurbanlarıyla konuşmasına ve ödemeleri doğrudan kabul etmesine izin veriyorsunuz. Bu başarılı bir model mi?
LB: Ortaklıklarımıza güvenmemek için hiçbir sebep yok. Bir kişi uzun vadeli iş birliğine meyilliyse, bizi asla terk etmeyecektir. Ancak en önemli şey kusursuz bir itibarı korumaktır. Avvadon, Darkside ve Revil’in yaptığı gibi reklam verenlerimizi kandıramayız ve onların fidyelerini çalamayız.
REVIL’İN DAĞILMASININ LOCKBIT’İN BÜYÜMESİNDE HİÇBİR ETKİSİ YOK
DS: “Hizmet olarak Fidye Yazılımı” iş modelinin varlığını devam ettireceğine inanıyor musunuz? Önümüzdeki 5 yıl içinde ne yönde değişecek sizce?
LB: Rekabet artacak, şirketlerin savunma seviyesi artacak, ortaklıklarımızın serveti de artacak.
DS: Revil’in geçtiğimiz yaz dağılması başarınızda rol oynadı mı? Unknown ortadan kaybolduğundan beri kaç şirket size katıldı?
LB: Revil’in “dağılması” başarımızı hiçbir şekilde etkilemiyor, onlardan bize 4 reklam geldi. Bir ortaklık programı başlatmak kolaydır, ancak bunu daim kılmak bir sanat biçimidir.
DS: Unknown’a gerçekte ne olduğunu biliyor musunuz?
LB: Kimse gerçekten ne olduğunu bilmiyor, ama bunun klasik bir “çıkış” aldatmacası olduğuna eminim, aynı şey Avvadon ve Darkside’da da yaşandı. Büyük bir ödeme söz konusu olduğunda, bu ortaklık programının sahibi daha fazla çalışmaya ve hayatını riske atmaya değip değmeyeceğini ya da şu anda çıkıp hayatının geri kalanı için parayı sakince harcamanın daha iyi olup olmadığını düşünüyor. Bizim durumumuzda, böyle bir şey imkansızdır, çünkü temel olarak bize bağlı kuruluşlarımızın parasına dokunmuyoruz.
DS: Forumlarda çok aktifsiniz. Exploit hesabınızı neden yasakladı?
LB: Siber suçluların belirli siber suç türlerini nasıl yasaklayabilecekleri çok açık değil, çünkü aslında bu forumdaki herkes yasaları çiğniyor. Zengin şirketler için ödeme sonrası bir pentest yapmanın yasak olduğu, ancak milyonlarca kişinin banka kartlarından para çalmasına izin verildiği ortaya çıktı. Ayrıca, ağ erişimi satın almaya ve satmaya devam eden ve Exploit forumunda pentest yapacak kişi arayan rakiplerimizin hesaplarının neden engellenmediği de çok açık değil. Belki de bu bir çeşit seçici politikadır – bunun rakiplerin işi ve dünyadaki bir numaralı ortaklık programı ile uğraşmanın onursuz yolları olabileceğini düşünüyorum. “Tüm bu saçmalıklar uyuşturucunun yasak olup votkanın yasal olmasına benziyor”. Utanç verici, sinir bozucu ama yapacak bir şey yok.
HASTANELERE SALDIRMIYORUZ
DS: REvil ve Hive’ın hastaneleri kilitlediklerinden bahsettiniz, siz böyle saldırılar düzenliyor musunuz?
LB: Hastanelere saldırmıyoruz, iştiraklerimizin yanlışlıkla diş muayenehanelerini ve bakım evlerini şifrelediği olmuştu. Bu durumlarda şifre çözme anahtarlarını ücretsiz olarak yayımladık.
DS: ABD ve Rusya cumhurbaşkanları haziran ayında bir araya geldikten sonra herkes değişim için bir sinyal bekliyor. Ve bazı değişiklikler görüyoruz – yaz aylarında geçici bir yavaşlamadan sonra saldırılar arttı. Bu olaylarla ilgili mi yoksa iştirakçiler uzun bir tatile mi çıktılar?
LB: Bu sadece bir yaz tatili. Gezegendeki tüm insanlar gibi, hiç kimse yaz aylarında çalışmak istemiyor ve milyonlarca dolarınız olduğunda bu çalışmama isteği daha da fazla oluyor. Başkanların toplantıları hiçbir şeyi etkilemeyecek, ciddi çalışan herkes ABD’de veya Rusya’da yaşamıyor. Şahsen ben Çin’de yaşıyorum ve kendimi tamamen güvende hissediyorum.
DS: Bazı fidye yazılımı aileleri, bağlı kuruluşların Amerikan şirketlerine ve altyapısına saldırmasını önlüyor. Ortaklarınız için bu tür özel önerileriniz oluyor mu? Reklamlarınız Lockbit’i isteğiniz dışında kritik altyapıya dağıtırsa ne olur?
LB: Bu henüz gerçekleşmedi. Tek bir bağlı kuruluş dahi irademize karşı çıkmayacaktır, çünkü yalnızca ahlak kurallarına sahip güvenilir kişilerle çalışıyoruz, bağlı kuruluşlarımızın her biri sözlerinden ve eylemlerinden sorumludur.
DS: 30 ülkeden temsilciler fidye yazılım saldırılarının nasıl ele alınacağını tartışmak üzere bu ay bir araya geldi. Bu sizi herhangi bir şekilde endişelendiriyor mu yoksa bunun sadece siyasi bir manevra mı olduğuna inanıyorsunuz?
LB: Eğer düşmanı yenemiyorsan- ona liderlik et. Kimse Newton’un üçüncü yasasını iptal etmedi.
KİMSE HACKLENMEKTEN MUAF DEĞİL
DS: Bazı ülkelerdeki kolluk kuvvetleri, çalınan verileri yok etmek ve şifreleme anahtarlarını almak için fidye yazılımı altyapısını hacklemeyi açıkça tartışıyor. Bu sizi endişelendiriyor mu? Depolama sistemleriniz yeterince güvenli mi?
LB: Bu, bizimle başa çıkmanın en etkili yöntemlerinden biri. Hiç kimse sıfırıncı günlerin yardımıyla altyapılarının hacklenmesinden muaf değildir. NSA donanım arka kapılarını kullanarak, gezegendeki herhangi bir sunucuya erişmek mümkün. Bu nedenle, saldırıya uğrama riski her zaman mevcut. Dünyanın çeşitli bölgelerindeki sunucularda çalınan şirket verilerinin birkaç yedeğinin yanı sıra, verilerin saklanması için maaş alan güvenilir tarafların tuttuğu şifreli çevrimdışı yedeklemelerimiz de bulunuyor.
DS: ABD hükümeti, fidye yazılım gruplarının fonları aklamasına yardımcı olan kripto para birimi hizmetlerinin işinin zorlaşacağını söyledi. Bunun sizin ve gelecekte fidye yazılımı ortamı için bir sorun olacağını düşünüyor musunuz, yoksa para aklamak için başka yollarınız var mı?
LB: Bana ABD’nin sözlerini dinleyecek ve Hong Kong’da nakit dolar alışverişi yaparken bizden kripto para birimini kabul etmeyecek en az bir Çinli gösterin.
DS: Ekim ayında para kaynağı bulamayan şirketler için ücretsiz şifre çözme anahtarı sağlamaya hazır mısınız?
LB: Parasız şirket yok, ağlarını korumak için para harcamak, kalifiye sistem yöneticileri için maaş ödemek ve sonra da fidye ödemek istemeyen kurnaz şirketler var. Belki de “para kaynağı bulamayan” bir şirket için ücretsiz bir şifre çözücü yayımlarız, ancak bu durumda, bu şirketin verileri sonsuza dek blogumuzda kalacaktır.
2015 yılında Noel’e sayılı günler kala teknoloji şirketi Juniper Networks Inc. verilerinin ihlal edildiği konusunda kullanıcıları uyardı. Şirket kısa bir açıklama ile ağ güvenliği ürünlerinden birinde “yetkisiz bir kod” keşfettiklerini, hackerların şifreli iletişimleri deşifre etmesine ve böylece müşterilerin bilgisayar sistemlerine üst düzey erişim kazanmasına izin verdiğini söyledi.
Konuyla ilgili daha fazla ayrıntı olmamakla birlikte Juniper saldırının ciddi sonuçları olacağını açıkça belirtti ve kullanıcıları bir an önce yazılım güncellemesi indirmeye çağırdı.
Olayın üzerinden beş yıldan uzun bir süre geçerken Juniper’de yaşanan ağ ihlali, aralarında telekomünikasyon şirketleri ve ABD askeri kuruluşlar da dahil olmak üzere son derece hassas müşterilere ait verilerin ihlal edilmesiyle sonuçlanan bir saldırı olarak hala gizemini koruyor.
Ağa izinsiz bir şekilde giren bu saldırganların kimlikleri henüz açıklanmadı ve Juniper dışında herhangi başka bir kurban olup olmadığı henüz kesinleşmiş değil. Ancak olayla ilgili önemli bir ayrıntı uzun zamandır biliniyor. Juniper’in 2015’teki uyarısından birkaç gün sonra bağımsız araştırmacılar tarafından ortaya atılan bu ayrıntı ABD istihbarat teşkilatlarının yabancı düşmanları izlemek için kullandıkları yöntemler hakkında soru işaretleri oluşturuyor.
Hedefteki Juniper ürünü, NetScreen adlı popüler bir güvenlik duvarı cihazı. İşte bu cihaz, Ulusal Güvenlik Ajansı (NSA) tarafından yazılmış bir algoritma içeriyordu. Güvenlik araştırmacılarına göre algoritma kasıtlı bir kusur diğer bir deyişle bir arka kapı içermekteydi. Bu arka kapının Amerikan casuslarının Juniper’in denizaşırı müşterilerinin iletişimini dinlemek için kullanmış olabileceği düşünülüyor. NSA ise algoritma hakkındaki iddiaları reddediyor.
Juniper saldırısı Kongre’den gelen soruların muhatabı durumunda. Zira hükümetlerin teknoloji ürünlerine arka kapılar yerleştirmesinin tehlikeleri sık sık altı çizilen bir mesele.
“ARKA KAPILAR DÜŞMAN ÜLKELER TARAFINDAN SUİİSTİMAL EDİLEBİLİR”
Oregonlu Demokrat Senatör Ron Wyden Bloomberg’e yaptığı açıklamada, “Devlet kurumları ve yozlaşmış politikacılar arka kapıları kişisel cihazlarımıza yerleştirmeye devam ettikçe, politika yapıcılar ve Amerikan halkının arka kapıların rakiplerimiz tarafından nasıl suiistimal edilebileceğini düşünmeleri gerekiyor” dedi. Wyden geçtiğimiz yıl 10’dan fazla senatörün imzasının yer aldığı bir mektupla Juniper’den ve NSA’dan olayla ilgili açıklama talep etmişti.
Bu çerçevede, Bloomberg bilgisayar ağı ekipmanı üreticisi California merkezli Juniper’in ilk etapta neden NSA algoritmasını kullandığı ve saldırının arkasında kimin olduğu soruları dahil olmak üzere önemli yeni ayrıntılar elde etti.
JUNIPER MÜHENDİSLERİ TEHLİKENİN FARKINDAYDI
Eski bir üst düzey ABD istihbarat yetkilisine ve üç Juniper çalışanına göre Juniper, şirketin mühendislerince bir güvenlik açığı olduğunu bilinmesine rağmen, 2008’den itibaren NetScreen cihazlarına NSA kodunu kurdu. Aynı kaynaklara göre bunun nedeni, şirketin ana müşterisi ve NSA’nın bağlı olduğu Savunma Bakanlığı’nın daha güvenilir alternatifler bulunmasına rağmen sisteme dahil edilmesinde ısrar etmesiydi. Çalışanlar, talebin bazı Juniper mühendisleri arasında endişe yarattığını, ancak nihayetinde kodun hatırı sayılır bir müşterinin gönlünü almak için eklendiğini söyledi. Savunma Bakanlığı, Juniper ile olan ilişkisi hakkında açıklama yapmayı reddediyor.
Juniper’in soruşturmasına katılan iki kişiye ve Bloomberg’in elde ettiği bir belgeye göre, Apt 5 adlı Çin hükümetine bağlı bir hacker grubunun üyeleri 2012’de NSA algoritmasını ele geçirdi. Hackerler algoritmayı değiştirdi, böylece NetScreen aygıtları tarafından oluşturulan sanal özel ağ bağlantılarından gelen şifrelenmiş veri akışlarını deşifre edebildiler. İddialara göre 2014’te tekrar saldırdılar ve NetScreen ürünlerine doğrudan erişmelerini sağlayan ayrı bir arka kapı eklediler.
“ARKA KAPI ÇİNLİ APT 5 GRUBU TARAFINDAN SUİİSTİMAL EDİLDİ”
Önceki raporlar saldırıları Çin hükümetine bağlarken, Bloomberg ilk kez hacker grubunu ve taktiklerini belirledi. Siber güvenlik firması FireEye’a göre, geçtiğimiz yıl APT 5’ın düzinelerce şirkete ve devlet kurumuna sızdığından şüpheleniliyor. FireEye, hackerların uzun zamandır ABD, Avrupa ve Asya’daki savunma ve teknoloji şirketleri gibi nihai hedeflere sızılmasını sağlamak için şifreleme ürünlerine güvenlik açıkları tanımlamaya çalıştıklarını ekledi.
Juniper, 2012 ve 2014’te gerçekleşen ağ ihlallerini tespit ettikten sonra, saldırıların ciddiyetini anlayamadı veya aralarındaki bağlantıyı fark edemedi. O dönemde şirket, hackerların e-posta sistemine eriştiğini ve virüslü bilgisayarlardan veri çaldığını tespit etti. Ancak araştırmacılar izinsiz girişlerin ayrı bir olay olduğuna ve kurumsal fikri mülkiyet hırsızlığıyla sınırlı olduğuna dair yanlış bir inanışa kapıldılar.
Juniper, Bloomberg’den gelen sorulara cevap vermeyi reddediyor. Şirket, ScreenOS adı verilen ve Netscreen ürünleri için geliştirilen işletim sistemi hakkında 2015’ten beri dile getirdiği yorumları yineleyen bir açıklama yaptı: “Birkaç yıl önce, dahili bir kod incelemesi sırasında Juniper Networks, ScreenOs’ta işini bilen bir saldırganın NetScreen cihazlarına idari erişim sağlamasına ve VPN bağlantılarının şifresini çözmesine izin verebilecek yetkisiz kodlar keşfetti. Bu güvenlik açıklarını tespit ettikten sonra, bir soruşturma başlattık ve etkilenen cihazlar için yamalı sürümler geliştirmek ve yayınlamak için çalıştık. Ayrıca, etkilenen müşterilere derhal ulaştık ve sistemlerini güncellemelerini ve yamalı sürümleri zaman kaybetmeden uygulamalarını şiddetle tavsiye ettik.”
İngiltere ve ABD, çeşitli kurum ve kuruluşların bulut bilişim sistemlerine sızmak için Rus askeri istihbaratına bağlı siber aktörlerin kullandığı saldırı tekniklerini açıklamak için bir araya geldi.
ABD Ulusal Güvenlik Dairesi (NSA), Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA) ve İngiliz Ulusal Siber Güvenlik Merkezi’nin (NCSC) bir araya geldiği açıklamada, ABD ve Avrupa’da yaşanan saldırıların Rus imzası taşıdığı belirtilirken, Rus askeri istihbarat teşkilatı GRU’ya bağlı siber aktörlerin, hükümet daireleri, enerji firmaları ve pek çok kurum ve kuruluşun bulut bilişim sistemlerine sızmak için kullandığı “brute-force” teknikleri de paylaşıldı.
SALDIRILAR 2019’DA BAŞLADI
Rus askeri istihbaratı GRU’ya bağlı siber aktörlerin, Kubernetes adlı açık kaynaklı aygıt kullanılarak operasyonlarını 2019’un ortalarından 2021’in başına kadar sürdürdüğü kaydedilirken, NSA’in öncülüğünde yapılan açıklamada, “Saldırılar öncelikle ABD ve Avrupa’ya odaklandı. Özellikle hükümetler, ordular, savunma yüklenicileri, enerji şirketleri, yüksek öğrenim, lojistik şirketleri, hukuk firmaları, medya şirketleri, siyasi danışmanlar, siyasi partiler ve düşünce kuruluşları hedef alındı.” ifadeleri kullanıldı.
Rus askeri istihbaratı GRU’ya bağlı kötü niyetli siber aktörlerin, hedefledikleri kurum ve kuruluşlara sızmak için “brute-force” denilen “kaba kuvvet” tekniği kullandıkları belirtildi. Brute-force saldırıları, bir sisteme erişmek için kötü niyetli aktörlerin, olası şifre varyasyonlarını otomatik olarak deneyerek hedefledikleri sistemleri adeta bombardımana tutması olarak biliniyor.
Söz konusu “brute-force” saldırılarıyla e-posta, hesap kimlik bilgileri gibi çeşitli korunaklı verilere erişim sağlanabililiyor. Bunun yanı sıra güvenlik zafiyetlerini istismar eden aktörler bu yolla; sisteme erişim, kalıcılık, ayrıcalık yükseltme, uzaktan kod yürütme gibi çeşitli saldılar gerçekleştiriyor.
Brute-force saldırılarının yanı sıra Microsoft Office 365 bulut bilişim sistemlerinde bulunan güvenlik zafiyetlerini istismar ederek de hedefledikleri sistemlere erişmeye çalışan aktörlerin kendilerini gizlemek amacıyla çeşitli VPN hizmetlerini kullandıkları açıklandı.
Danimarka istihbaratının Avrupalı siyasetçilerini izlemek isteyen ABD Ulusal Güvenlik Ajansına (NSA) yardım ettiği öne sürüldü.
NSA, Danimarka‘nın dış ve askeri istihbarat servisi ile iş birliği anlaşmasını kullanmak suretiyle 2012 ve 2014 yılları arasında Danimarka sualtı internet kablolarına girerek Almanya, İsveç, Norveç ve Fransa’daki üst düzey politikacıları ve yüksek rütbeli yetkilileri dinledi.
Gizli dinlemenin ayrıntıları, Kopenhag merkezli ulusal yayın kuruluşu DR tarafından Danimarka Savunma İstihbarat Servisi’nin (Forsvarets Efterretningstjeneste veya FE) gizli tuttuğu bilgilere erişimi olduğu söylenen dokuz isimsiz kaynakla yapılan röportajlara dayanarak verildi.
MERKEL VE ALMAN SİYASETÇİLER HEDEFTE
Danimarka ve Amerika arasındaki iş birliğinin NSA tarafından kötüye kullanılması sonucunda Almanya Başbakanı Angela Merkel, dönemin Almanya Dışişleri Bakanı Frank-Walter Steinmeier ve yine dönemin muhalefet lideri Peer Steinbrück’ün hedef haline geldiği söyleniyor.
Politikacıların telefon numaralarını arama parametreleri olarak kullanan raporda, NSA’nın “mesajlardan ve telefon görüşmelerine kadar politikacıların ve yetkililerin telefonları vasıtasıyla kablolardan geçen her şeye erişildiği” iddia edildi.
XKEYSCORE YAZILIMI KULLANILDI
Casusluk operasyonu kapsamında, internet kablolarına giren ve çıkan veri akışlarını aramak ve analiz etmek için Dragoør kentindeki Sandagergårdan’da bulunan bir veri merkezindeki XKeyscore adlı özel bir yazılım kullanıldı.
XKeyScore, dünyanın herhangi bir yerindeki insanların sınırsız gözetimini sağlayan, istihbarat teşkilatının kişileri izlemesine, e-postaları okumasına ve telefon görüşmelerini ve tarama geçmişlerini dinlemesine izin veren bir veri alma sistemi.
2014’te, NSA’nın Danimarka ve komşularındaki hedefleri gözetlemek için FE ile iş birliğini suiistimal ettiğine dair endişelerin ardından Danimarka tarafı, ortaklığı incelemek için dört hacker ve analistten (“operasyon Dunhammer” kod adı altında) oluşan gizli bir çalışma grubu kurdu.
DANİMARKALI SİYASETÇİLER DE DİNLENDİ
Çalışma grubunun 2015 yılında FE’ye sunduğu raporda Danimarka istihbaratının ABD istihbaratına Danimarka dışişleri ve maliye bakanlıklarının yanı sıra bir silah üreticisine casusluk yapmasına yardım ettiği belirtildi. Sonuç olarak 2020 Ağustos ayında hükümet FE’nin başkanını ve diğer üç yetkiliyi görevden almaya zorlandı.
Daha önce Ekim 2013’te NSA tarafından Almanya şansölyesi’nin telefonuna girildiği iddialarını kamuoyuna açıklayan ABD’li eski istihbaratçı Edward Snowden, ABD Başkanı Joe Biden’ı “ilk kez bu skandalla derin bir ilişkisi olmakla” suçladı. Almanya, Haziran 2015’te telefon dinleme olayıyla ilgili soruşturmayı delil yetersizliği gerekçesiyle sonlandırmıştı.
Snowden, konuyla ilgili attığı tweette “Sadece Danimarka’dan değil, aynı zamanda üst düzey ortaklarından da kamuoyunu aydınlatmalarını bekliyoruz” dedi.
