Etiket arşivi: Pawn Storm

Türkiye

Pawn Storm’un yeni hedefi Türkiye

Yorum yapın

Başbakanlık, TBMM ve Türkiye’nin büyük gazetelerinden biri, Pawn Storm’un silahlı kuvvetler, diplomatlar, gazeteciler ve yazılım uzmanları gibi Rus siyaseti için tehdit olarak görülen hedefleri arasında yerini aldı. Türkiye’ye yönelik gerçekleştirilen saldırıların da, Suriye muhalefetini ve Suriye’deki Rus müdahalesini eleştiren Arap ülkelerini hedef alan Pawn Storm’la ilgili olduğu düşünülüyor.

İLGİLİ HABER >> TÜRKİYE SINIRINDA GOZİ HAYALETİ DOLAŞIYOR

Türk yetkililer, Trend Micro’nun uyarısı ile saldırıları erkenden fark edip olası zararı azaltacak önlemler aldı. Siyasi ve jeopolitik öneme sahip ülkelerden bilgi edinmek isteyen Pawn Storm’un, bu şartlar altında  Türkiye’yi hedef olarak seçmesi için de çok sayıda sebep var.

Geçtiğimiz Kasım ayında Türk Hava Kuvvetleri’nin vurduğu Rus jeti olayı gibi çok çeşitli konularda Rusya ile olan anlaşmazlık ve Türkiye üzerinden Avrupa’ya girmeye çalışan mülteciler başlıca sebepler arasındadır. Bu olaylar Pawn Storm’u doğrudan etkilemese de, Türkiye’nin jeopolitik konumu nedeniyle hedefler arasına eklenmesi beklenmedik değil.

Daha önce, bir ülkedeki belirli hedefler için oluşturulmuş bir dizi sahte Outlook Web Access sunucusu görüldü. OWA kullanıcılarına yönelik yapılan oltalama saldırıları, hackerlar için bilgi çalma konusunda oldukça önemli olabilir. Pawn Storm, daha önce kurbanlarını kandırmak ve webmaillerine girmek için ileri düzeyde sosyal mühendislik kullanmıştı.

İLGİLİ HABER >> RUS HACKERLAR DÜŞEN UÇAK SORUŞTURMASINA SIZMAYA ÇALIŞMIŞ

OWA sunucularının saptandığı tarihlerle birlikte, Türkiye’deki hedef listesi içerisinde T.C. Basın Yayın ve Enformasyon Genel Müdürlüğü (14 Ocak 2016, 2 Şubat 2016), TBMM (3, 19, 26 Şubat 2016),  Hürriyet gazetesi (14, 24, 29 Şubat 2016) ve Başbakanlık Ofisi (29 Şubat 2016) belirlendi. Bu hedef listesine göre, Pawn Storm Türkiye’den bir bilgi  edinme peşinde. Hürriyet gazetesi için de en az iki OWA sunucusunun kurulmuş olması, büyük basın yayın organlarında da neler olup bittiğini öğrenmek istediklerini gösteriyor.

Pawn Storm, BAE’de bir posta adresindeki VPS sağlayıcısını ve Hollanda’daki bir veri merkezindeki sunucuları kendine mesken edinmiş durumda. 2015 ve 2016 yıllarında gerçekleştirilen pek çok saldırı, DustySky ve Carbanak gibi tehdit unsurlarının yanı sıra VPS sağlayıcıları yardımıyla da yapıldı. Pawn Storm, Türkiye’ye yönelik saldırısında ise Hollanda merkezi ağ altyapısını kullanıyor.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]

 

Makale & Analiz

Sizce Rus hackerlar şimdi ne yapıyordur?

3 Yorum

Yakın geçmişteki hadiseler devletler arasında yaşanan çekişme ve çatışmaların siber alana yansımasının gecikmediğini gösteriyor. Gerek devlet yönetimleri, gerek terör örgütleri gibi çok uluslu yapılar asimetrik bir güç unsuru olan siber alan kabiliyetlerini kullanmada tereddüt etmiyor.

Geçtiğimiz günlerde tüm dünyayı sarsan terör saldırıları sonrasında, IŞİD’e karşı Anonymous’un başlattığı kampanya bu yaklaşımın en taze örneklerden biri olarak karşımızda duruyor. Çin-ABD, İran-İsrail, Rusya- Ukrayna gibi aktörlerin müdahil olduğu siber saldırılar artık uluslararası medyanın rutin haberleri arasında yerini almaya başladı.

Bu açıdan değerlendirildiğinde, 24 Kasım günü Suriye sınırında Türk jetleri tarafından Sukhoi SU-24 savaş uçağının düşürülmesiyle başlayan Rusya-Türkiye diplomatik geriliminin de siber alana taşınması yüksek bir ihtimal olarak ele alınabilir.

Çünkü Rusya bunu hep yapıyor.

Moskova yönetiminin siber alanda bedel ödetme geçmişine baktığımızda, Rus hackerların sabıkasının kabarık olduğunu görmek hiç de zor değil. 2007 yılında Estonya, yaklaşık bir ay boyunca siber saldırılara uğramış, sonunda NATO’dan yardım istemek zorunda kalmıştı. Eston ve Rus hükümetleri arasında yaşanan bir diplomatik anlaşmazlık sonrasında başlayan saldırıları, Kremlin ile yakın ilişkileri bulunan Russian Business Network adlı hacker grubu üstlenmişti.

Rus Ordusu’nun işgaline uğrayan Ukrayna da, Rus hackerların hedefi olmaktan kaçamadı. Sayısız örnek arasında dikkat çekilmesi gereken önemli saldırı teşebbüslerinden biri olarak, Rusya kaynaklı CyberBerkut grubunun seçim sonuçlarına müdahale etmek için Ukrayna Merkezi Seçim Komisyonuna kötücül yazılım yerleştirmesini unutmamak gerek.

Yakın zamanda ortaya çıkan başka bir Rusya kaynaklı siber saldırı, Moskova’nın siber kabiliyetini nasıl siyasi ve stratejik amaçlar için kullandığını bir kez daha gözler önüne serdi. Amsterdam’dan yola çıkan ve Kuala Lumpur’a giderken Ukrayna hava sahasında düşürülen Malezya uçağıyla ilgili soruşturmayı yürüten kurumlara, Pawn Strom adlı Rus hacker grubunun siber espiyonaj operasyonu düzenlediği ortaya çıkmıştı.

Peki ya Türkiye?

Rusların siber alandaki hedefleri arasında Türkiye de yer alıyor. Birçok örnekten sadece biri olarak Ağustos ayında ortaya çıkan GameOver Zeus zararlısı verilebilir. FBI’ın yürüttüğü bir soruşturma sonucunda, Rus hackerların Türk devlet kurumlarının sistemlerinde Suriye ile ilgil bilgi / belge aradıklarına dair önemli deliller ortaya konuldu.

Maalesef sadece bu kadar da değil. Geçen sene siber güvenlik camiası merkezinde Türkiye olan önemli bir haber ile çalkalandı. Bloomberg’in haberine göre 2008 yılında Rus hackerlar Bakü-Tiflis-Ceyhan boru hattında patlamaya yol açan bir siber saldırı düzenledi. Bu operasyonun o zamanlar Rusya’nın savaş ilan ettiği Gürcistan’ı hedef aldığı iddia edilmişti. Türk yetkililer ise patlamanın PKK saldırısıyla gerçekleştiği açıklamasını yapmıştı.

Rus hackerlar bir yandan Kremlin ile işbirliği içerisinde devletlerinin jeopolitik hedefleri için klavye başında ter dökerken, diğer taraftan siber suç dünyasında da ciddiye alınması gereken bir şöhret edinmiş durumda. Özellikle finansal kurumları hedef alan zararlı yazılımlar ile milyonlarca dolar ‘çarpan’ Rus bilgisayar korsanları güvenlik birimlerinin aranan listelerinde ön sıralarda yer alıyor. Örneğin FBI’ın en çok aranan hackerlar listesinin ilk 3’ünde 2 Rus vatandaşı bulunuyor.

Rusya’nın siber operasyonları akla önemli bir soruyu getiriyor. Siber güvenlik konusunda ciddi eleman açığı yaşanırken, Rusya bu operasyonları nasıl yapabiliyor? Devlet için çalışan hackerları nasıl buluyor? Onlar ile nasıl bir ilişki içinde?

Devlet için çalışan hackerları siber suçlulardan ayıran temel bir özellik bulunuyor. Devlet için çalışanların ana motivasyonu ‘vatanseverlik’ iken, siber suçluları maddi kazanç motive ediyor. Yani ilki devletinin stratejik hedeflerini yerine getirmede yardımcı olmak için siber saldırı düzenliyor. Siber suçlular ise bunu bir geçim kaynağı olarak yapıyorlar.

Devlet için çalışan hackerları ele aldığımızda da karşımızı iki ayrım çıkıyor. Biri devletin istihdam ettiği ‘memur hackerlar’ (Çin örneğinde olduğu gibi) diğeri ise legal sorunlardan dolayı devlet ve hackerlar arasında organik bir bağ olmayan ‘paramiliter hackerlar’ (Rusya).

Yazının konusu Rusya olduğu için Rus devletinin hackerlar ile nasıl bir ilişki kurduğunu kısa örnekler ile özetlemeye çalışalım. Estonya saldırısını üstlenen ve NATO tarafından tehdit olarak görülen tek hacker grubu olan Russian Bussines Network’ün –RBN- bir dönem yöneticiliğini Flyman kod adlı bir hacker yaptı. Bu siber saldırganın sanal alemde kimliğini gizlese de, St. Petersburg’lu ünlü bir politikacının yeğeni olduğu ortaya çıkması gecikmedi. Flyman’in bu bağlantısı sayesinde güvenlik güçlerinden saklanma gereği duymadığı haberi medyada yer aldı. Aynı şekilde RBN’nin hiç bir sunucusu kapatılmadı, hiç bir üyesi hakkında kovuşturma açılmadı. Üstelik bu grubun Çeçen sitelerine yaptığı saldırıların illegal olmadığı resmi ağızlar tarafından ilan edildi.

Rus güvenlik birimlerinden Milli Anti-terörizm Merkezi’nin (NAC) açıkça devlet için çalışacak hacker aradığı bilinen bir gerçek. RBN içerisinde aktif olan Anton Moskla’nın NAC aracılığıyla bulunduğu tahmin ediliyor. Putin’in gençlik örgütü olarak bilinen NASHİ de yetenekli hackerlar ile devlet arasında bağ kuran başka bir organizasyon. Örneğin bir NASHİ yetkilisi olan Konstantin Goloskov’un Estonya saldırılarında etkin rol aldığı iddia edildi. Daha şaşırtıcı olan ise, Goloskov’un birkaç yıl sonra Rus alt parlamentosu DUMA  milltevekili Sergei Marko’nun asistanı oldu.*[1]

Yukarıda bahsedilen örnekler Rusya’nın hackerlara sadece istihbarat ve teknik destek değil aynı zamanda koruma ve kollama hizmeti sunduğunu da gösteriyor.

Bu noktada sorulacak soru, muhtemel Rus saldırılarına karşı bizim nasıl bir savunma stratejimiz var?

Endişelenmemiz gerekiyor mu?

[1] Ohri’de 2014 yılında NATO tarafından düzenlenen ‘Terrorist Use of Cyberspace’ konferansında yapılan sunumdan alınan bilgilerden derlenmiştir. Sunumun tamamı için minhac@siberbulten.com ‘a mail atabilirsiniz.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]