Polonya’da basit bir radyo ekipmanıyla raylı sistemlere siber saldırı düzenlendi.
Ülkede 20’den fazla trenin acil durdurma işlevinin tetiklenmesi ve durması sebebiyle yetkililer alarma geçti.
“Radio-stop” komutuyla trenlerin acil durdurma işlevinin tetiklendiği ve trenlerin durmasıyla sonuçlanan olayın, herkesin temin edebileceği 30 dolarlık bir ekipmanla yapıldığı ortaya çıkarıldı.
ÜLKE GENELİNDE 20’DEN FAZLA TREN DURDU
Yerel medyanın “siber saldırı” olarak tanımladığı olayda, 25 ve 26 Ağustos günleri, Polonya’nın hem yük hem de yolcu taşıyan 20’den fazla treni ülke genelinde beklenmedik bir şekilde durmuştu.
Polonya istihbarat servisleri olayı soruştururken, bu olayın arkasındaki aktörlerin trenleri durdurmak için “radio-stop” komutunu kullandıkları ve trenlerin acil durdurma işlevini tetiklediklerini ortaya çıkardı.
Bununla birlikte bu komutu gönderebilmek için yaklaşık 30 dolarlık bir radyo ekipmanı kullandıkları anlaşılan sabotajcıların, komutların arasına Rus millî marşı ve Rusya Devlet Başkanı Vladimir Putin’in bir konuşmasından kimi bölümler serpiştirdikleri ortaya çıkarıldı.
SABOTAJ NASIL GERÇEKLEŞTİ?
Sofistike bir saldırı olmaktan çok uzak olan bu yöntem, sabotajcıların trenlerin acil durdurma işlevini tetikleyen basit bir telsiz komutunu taklit etmeleriyle gerçekleşti.
Bağımsız bir siber güvenlik araştırmacısı olan ve saldırıyı inceleyen Lukasz Olejnik, trenlerin radyo sisteminin herhangi bir şifreleme veya kimlik doğrulama içermemesi nedeniyle 30 dolarlık hazır radyo ekipmanına sahip herhangi birinin Polonya trenlerine 150.100 megahertz frekansında bir dizi üç akustik ton göndererek komutu taklit edebileceğini ve acil durdurma işlevini tetikleyebileceğini söyledi.
“Söz konusu komut, art arda gönderilen üç tonlu mesaj olarak biliniyor. Radyo ekipmanı bunu algıladığındaysa tren duruyor.” diyen Olejnik, Avrupa Birliği’nde trenlerin farklı teknik standartlarını ortaya çıkaran ve Polonya sistemlerinde kullanılan ‘radio-stop’ komutunu tanımlayan bir belgenin Polonya radyo ve tren forumlarında ve YouTube’da yıllardır anlatıldığını belirtti.
Saldırı için Olejnik, “Bunu herkes yapabilir. Trollük yapan gençler bile. Frekanslar biliniyor. Tonlar biliniyor. Ekipmansa ucuz.” ifadelerini kullandı.
Söz konusu saldırının tek gerçek sıkıntısıysa, saldırganların hedef trenlere nispeten yakın olmasının gerekmesi. Bunun sebebi radyo sinyalinin etki alanının sınırlı olması. Bu etki alanı yüzlerce metre veya birkaç kilometre arasında değişiklik gösterse de saldırganların bu etki alanına göre konuşlanmaları gerekiyor.
NEDEN POLONYA HEDEF ALINIYOR?
Ukrayna-Rusya arasındaki savaş başladığından bu yana Rus aktörler, Ukrayna’nın ağlarını yok etmek, ülkenin uydu iletişimini bozmak ve hatta büyük elektrik kesintilerini tetiklemek için çeşitli sofistike teknikler deniyordu.
Bir süredir ise Rus aktörler, NATO’nun Ukrayna’ya verdiği destekte önemli bir transit altyapı parçası olan Polonya’ya siber saldırılar düzenliyor.
Polonya’nın demiryolu sistemi, NATO’nun Rusya’nın işgaline karşı ülkenin savunmasını güçlendirmeye çalıştığı Ukrayna’ya Batılı silahların ve diğer yardımların ulaştırılmasında kilit bir kaynak olarak görev yapıyor.
Üst düzey bir güvenlik yetkilisi olan Stanislaw Zaryn Polonya Basın Ajansı’na yaptığı açıklamada “Birkaç aydır Polonya devletinin istikrarını bozmaya yönelik girişimler olduğunu biliyoruz. Şu an için hiçbir tehdidi göz ardı etmiyoruz.”
POLONYA KULLANDIĞI TEKNOLOJİYİ DEĞİŞTİRECEK
Polonya Devlet Demiryolları tarafından yapılan açıklamada, kesintilerinin “bilinmeyen bir fail tarafından bir telsiz telefon aracılığıyla” gönderilen “radio-stop sinyalinin yetkisiz yayınlanması” nedeniyle olduğu belirtildi.
Açıklamada, “Radio-stop sinyalinin alınması, telsizleri belirli bir frekansta çalışan tüm trenlerin derhal durdurulmasıyla sonuçlanır. Bu otomatik acil durum durdurmalarına rağmen, demiryolu yolcularına yönelik herhangi bir tehdit yoktur. Bu olayın neticesi trenlerin çalışmasında yaşanan zorluklar olmuştur.” bilgileri paylaşıldı.
Polonya’nın ulusal ulaşım ajansıysa, 2025 yılına kadar Polonya’nın demiryolu sistemlerini neredeyse tamamen şifreleme ve kimlik doğrulama özelliğine sahip GSM hücresel telsizleri kullanacak şekilde yükseltme niyetinde olduklarını bildirdi..
Ancak o zamana dek Polonya, radio-stop komutlarının taklit edilmesine olanak tanıyan nispeten korumasız VHF 150 MHz sistemini kullanmaya devam edecek.
Rusya Devlet Başkanı Vladimir Putin’in siber savaş yeteneklerini güçlendiren çalışmalarının arkasındaki NTC Vulkan adlı bilgi teknolojisi şirketinin gizli belgeleri sızdırıldı.
Binlerce sayfalık gizli belgeler, şirketin Rus askerî ve istihbarat kurumları için hack operasyonlarını desteklemek, ulusal altyapılara saldırılardan önce operatörleri eğitmek, dezenformasyon yaymak ve interneti kontrol etmek için nasıl çalıştıklarını ortaya koyuyor.
BEŞ YILLIK BELGELER SIZDIRILDI
Vulkan çalışanının sızdırdığı belgeler 2016’dan 2021’e dek uzanırken, şirketin Rus askerî ve istihbarat kurumlarına nasıl yardımcı olduğunu ortaya çıkardı.
Belgeleri sızdıran Vulkan çalışanı, Ukrayna’da yaşanan olaylardan etkilendiğini belirtirken, “Herkesin bu tehlikeleri bilmesi gerekiyor. Rus hükûmetinin haksız olduğunu ve yanlış yaptığını düşünüyorum. Ukrayna’nın işgaline ve orada yaşanan korkunç şeylere kızgınım. Umarım bu bilgileri kapalı kapılar ardında neler olduğunu göstermek için kullanabilirsiniz.” dediği belirtildi.
Söz konusu belgeler Le Monde, The Guardian, Washington Post, Der Spiegel gibi dünyanın önde gelen medya kuruluşları tarafından aylardır inceleniyordu.
Yapılan incelemelerden sonra belgelerin gerçekliği onaylandı.
KISA SÜREDE ÖNEMLİ BİR ŞİRKET OLDU
NTC Vulkan, Rusya’nın siber yeteneklerini hızla genişlettiği bir dönemde, 2010 yılında Anton Markov ve Alexander Irzhavsky iş birliği ile bir “bilgi güvenliği” şirketi olarak kuruldu.
Her iki kurucu da askerî akademi mezunu ve geçmişte orduda görev aldı. Askerî bağlantıları kuvvetli olan iki isim kısa bir zaman sonra da Rusya’nın askerî-endüstriyel donanımının bir parçası hâline geldi.
Vulkan, kuruluşundan bir yıl sonra, yani 2011 yılıyla birlikte gizli askerî projeler ve devlet sırları üzerinde çalışmak için özel hükûmet lisansı aldı.
Rusya’da kaç özel yükleniciye bu tür hassas projelere erişim izni verildiği bilinmese de bir düzineden fazla şirketin olmadığı tahmin ediliyor.
Bilgi güvenliği konusunda uzmanlaşan, yaklaşık 60 yazılım geliştiricisi olmak üzere 120’den fazla çalışanıyla orta ölçekli bir teknoloji şirketi olan Vulkan’ın resmî olarak müşterileri arasında Rus devlet kurumları ve şirketleri bulunurken bunlar arasında ülkenin en büyük bankası Sberbank, ulusal havayolu şirketi Aeroflot ve Rus demiryolları yer alıyor.
BELGELERİN İÇERİSİNDE NELER VAR?
Sızdırılan Vulkan belgeleri arasında şirket e-postaları, dâhili belgeler, proje planları, bütçeleri ve sözleşmeleri bulunuyor.
Sızdırılan belgeler, şirket çalışmalarının Rus federal güvenlik servisi (FSB), Rus askerî istihbarat servisi (GRU) gibi kurumların yanında Rusya’nın dış istihbarat örgütü SVR ile de bağlantılı olduğunu ortaya koyuyor.
Binlerce sayfalık gizli belgeleri içeren sızıntıda, şirketin Rus askerî ve istihbarat kurumları için hack operasyonlarını desteklemek, ulusal altyapılara saldırılardan önce operatörleri eğitmek, dezenformasyon yaymak ve interneti kontrol etmek için yaptıkları çalışmalar detayları yer alıyor.
Belgelerden edinilen bilgilere göre şirketin en önemli ürünleri arasında açık kaynak verilerinden potansiyel muhalif figürleri tespit eden Fraction, internet gözetimi ve dezenformasyon makinesi Amezit, siber operatörlerin eğitim programı olan Crystal-2V ve GRU’nun bir birimi olan “Sandworm” grubuyla ilişkilendirilen Scan-V adlı araçlar bulunuyor.
SCAN-V SANDWORM İLE İLİŞKİLENDİRİLİYOR
Vulkan’ın en geniş kapsamlı projelerinden biri, Sandworm ile ilişkilendirilen Scan-V adlı siber aracı.
On yıldan uzun süredir siber operasyonlarına devam eden Sandworm, bugüne kadar 2016’daki ABD Başkanlık seçimlerine siber yollarla müdahale, Ukrayna elektrik sistemini devre dışı bırakma ve NotPetya yazılımının arkasındaki birim olarak biliniyor.
ABD Adalet Bakanlığı birim hakkında 2020 yılında iddianame hazırlamış ve 6 GRU üyesi hakkında Sandworm ile ilişkili olmaktan yakalama kararı çıkartmıştı.
Sızdırılan belgeler arasındaki bir teknik belgede Birim 74455 ile de bilinen GRU’nun 74455 koduyla yer aldığı ve “onay tarafı” olarak göründüğü belirtiliyor.
Karşılıklı mutabakatın konusu ise Vulkan’ın yazılım ve donanım zafiyetleri hakkında istihbarat içeren bir veri tabanının kurulmasında yardımcı olması. Bu yazılımın kod adı ise Scan-V.
Sandworm gibi birimler, bilgisayar sistemlerine girmek için ilk olarak zayıf noktaları arıyor. Scan-V bu süreci destekliyor ve potansiyel olarak savunmasız sunucuları ve ağ cihazlarını avlamak için dünyanın dört bir yanındaki potansiyel hedeflerin otomatik keşfini gerçekleştiriyor. İstihbarat daha sonra bir veri havuzunda depolanarak birime hedefleri belirlemenin otomatik bir yolunu sunuyor.
Siber güvenlik şirketi Mandiant’tan Gabby Roncone, bu araştırmaları eski askerî filmlerdeki insanların toplarını ve birliklerini haritaya yerleştirdikleri sahnelere benzettiğini ifade ederek, “Düşman tanklarının nerede olduğunu ve düşman hatlarını yarmak için önce nereye saldırmaları gerektiğini anlamak istiyorlar.” yorumunu yaptı.
Scan-V projesi Mayıs 2018’de Moskova bölgesinde GRU ile yakından ilişkili bir araştırma tesisi olan Mühendislik Fiziği Enstitüsü tarafından başlatıldı. Projenin tüm ayrıntıları gizli tutuldu.
Sandworm’un sistemin amaçlanan kullanıcısı olup olmadığı belli olmasa da Mayıs 2020’de Vulkan’dan bir ekip, Scan yazılımını test etmek üzere biriminin bulunduğu Khimki’deki bir askerî tesisini ziyaret etmesi, Sandworm ve Vulkan arasındaki bağlantının ipuçları arasında yer aldı.
Uzmanlar, Scan-V’nin kesinlikle saldırı amaçlı inşa edildiğini belirtirken GRU’nun organizasyon yapısına ve stratejik yaklaşımına da rahatlıkla uyduğunu belirtti. Uzmanlar, böylesi ağ diyagramları ve tasarım belgelere çok sık rastlanmadığını söyledi.
Sızdırılan dosyalarda Rusya’nın bilgisayar korsanlığı operasyonlarında kullandığı zararlı kodlar ya da kötü amaçlı yazılımlar hakkında bilgi bulunmuyor. Ancak Google’dan bir analist, Google’ın 2012 yılında Vulkan’ı, “MiniDuke” olarak bilinen kötü amaçlı yazılımı içeren bir operasyonla ilişkilendirdiğini söyledi.
MiniDuke, SVR tarafından kimlik avı kampanyalarında kullanılırken, sızdırılan belgelerde SVR’nin gizli bir birimi olan 33949 askerî biriminin Vulkan ile birden fazla proje üzerinde çalıştığını gösteriyor.
GÖZETİM VE DEZENFORMASYON ARACI: AMEZİT
2018 yılında Vulkan çalışanlarından oluşan bir ekip, internet kontrolü, gözetleme ve dezenformasyon sağlayan kapsamlı bir programın resmî testine katılmak üzere FSB’ye bağlı bağlı Rostov-on-Don Radyo Araştırma Enstitüsü’ne gitti.
Amezit olarak adlandırılan ve dosyalarda Rus ordusuyla da bağlantılı olan yeni sistemin oluşturulmasına yardımcı olması için Vulkan ve diğer şirketlerle anlaşıldı.
Vulkan’ın merkezi bir rol oynadığı Amezit projesine 2016 yılında başlandı. 2021 yılına dek Amezit’in Vulkan mühendisleri tarafından geliştirilmeye devam ettiği anlaşılırken 2022’de daha da geliştirilmesinin planlandığı belgelerde yer aldı.
387 sayfalık bir iç belge Amezit’in nasıl çalıştığını açıklığa kavuşturuyor.
Amezit, Rusya’nın komutası altındaki bölgelerde interneti gözetlemek ve kontrol etmek için kullanılıyor.
Amezit, Rus ordusunun sosyal medyada ve internette gerçek insanlara benzeyen hesaplar ya da avatarlar yaratarak büyük ölçekli gizli dezenformasyonoperasyonları yürütmesine olanak sağlıyor.
Amezit’te, avatarların kendi isimleri ve çalıntı kişisel fotoğrafları olduğu ve gerçekçi bir dijital ayak izi oluşturmak için aylar boyunca geliştirildiği biliniyor.
Ayrıca Amezit, “düşmanca” içeriği tespit etmek için semantik analiz kullanıyor. Bu şekilde hükûmete yönelik negatif sesleri bulunabiliyor ve sosyal medya kullanımları devasa ölçekte gözetlenebiliyor.
Vulkan ayrıca FSB için Fraction adlı bir program daha geliştirdi. Bu program Facebook ya da Odnoklassniki gibi siteleri tarayarak anahtar kelimeler arıyor. Programın amacı açık kaynak verilerinden potansiyel muhalif figürleri tespit etmek.
SİBER OPERATÖR EĞİTİM PROGRAMI: CRYSTAL V2
Amezit ile bağlantılı olan ve Vulkan tarafından geliştirilen bir başka projenin ise çok daha tehditkâr olduğu belirtiliyor.
Crystal-2V olarak bahsedilen bu proje Rus siber operatörler için bir eğitim platformu olarak geçiyor.
Aynı anda 30’a kadar kursiyer tarafından kullanılabilen bu platform, demiryolu hatları, elektrik istasyonları, havaalanları, su yolları, limanlar ve endüstriyel kontrol sistemleri gibi bir dizi temel ulusal altyapı hedefine yönelik saldırıları simüle ediyor.
BATIYLA SÜREKLİ SAVAŞ HÂLİNDELER
Uzmanlar, Rusya’nın aynı zamanda dijital silahlanma yarışında kendi gizli siber saldırı yeteneklerini geliştiren ABD, İngiltere, AB, Kanada, Avustralya ve Yeni Zelanda dâhil olmak üzere düşman olarak gördüğü Batı ile de sürekli bir çatışma içinde olduğunu söylüyor.
Sızıntıda yer alan bazı belgeler potansiyel hedeflere ilişkin açıklayıcı örnekler içeriyor. Bir tanesinde ABD’deki noktaları gösteren bir harita yer alıyor. Bir diğerinde ise İsviçre’deki bir nükleer enerji santralinin detayları yer alıyor.
Belgelerden birinde mühendislerin Rusya’ya 2016 yılında NSA’den çalınan ve internette yayınlanan hack araçlarını kullanarak kendi kabiliyetlerini arttırmasını tavsiye ettiği görülüyor.
Bunun yanı sıra Vulkan ve Rus hükûmetinden batılı medya kuruluşlarının sızdırılan belgelerle alakalı sorularına herhangi bir yorum yapılmadı.
“Occupytheweb” hareketi son yayımladığı siber güvenlik kitabını “Siber savaşçı olup Putin’i durdurun!” sloganıyla tanıttı.
Daha önce “Hackerlar için Linux Temelleri” kitabını yayımlayan girişiminin “Usta bir hacker olmaya giriş” kitabı tüm zamanların en iyi 5 siber güvenlik kitabı arasına girdi.
Kitapta siber tehdit istihbaratı, pentest, bug bounty, siber savaş ve siber güvenliği ilgilendiren birçok konuda okuyucuya rehberlik edecek bilgiler sunuluyor ve hackerlığın tarihi hukuki boyutuyla anlatılıyor.
Tersine mühendislik konusuna Python perspektifiyle yaklaşan kitapta bilgisayar korsanlığının en temel nitelikleri gösteriliyor.
Kitapta ayrıca hackerların bakış açısı ve stratejik açıdan yaklaşımları da ele alınıyor. Her seviyeden okuyucuya hitap eden kitap hackerlığa yeni adım atan ya da ileri seviyelerde olan herkesin okuyup faydalanabileceği bir içeriğe sahip.
Ukrayna ile Rusya arasında konvansiyonel çatışmaların yanında siber savaş da devam ediyor. Ukrayna tarafının siber alandaki mücadelesi şaşırtıcı düzeyde başarılı bulunuyor. Ülkenin çevrimiçi kalabilmesi büyük ölçüde Batılı ülkeler ve NATO ile arasındaki iş birliğine dayandırılıyor.
Rusya Devlet Başkanı Vladimir Putin’in Ukrayna’yı işgal girişiminin başladığı Şubat ayında dünya Moskova’nın ülkeyi geleneksel savaş araçlarının haricinde siber alanda da yıpratacağı beklentisini taşıyordu. Ancak aradan geçen iki ayın sonunda, tüm siber saldırılarla beraber ülkenin altyapısının çökmesini engelleyen Ukrayna, aynı zamanda Rusya’ya karşı siber saldırılar düzenleyecek bir başarı kaydetti. Ukraynalı yetkililer bile Rusya’nın dijital savaşının ne kadar etkisiz olduğuna şaşırdıklarını ifade ediyor.
Ukrayna’nın Dijital Dönüşüm Bakanı Mykhailo Fedorov, elde ettikleri başarının ülkeler arasındaki yapısal farklılıklardan kaynaklandığını söyledi. Fedorov, “[Bu başarının] temel nedeninin sistemlerimiz arasındaki fark olduğunu düşünüyorum. Çünkü Rus sistemi merkezi ve tekelleşmiş durumda. Ve savaş devam ettikçe yolsuzluk ve rüşvetin sonuçları giderek daha belirgin hale geliyor.” dedi.
Ülke olarak Rus işgaline Moskova’nın Kırım’ı ilhak ettiği 2014 yılından bu yana hazırlık yaptıklarını dile getiren Fedorov, elde edilen başarı için sekiz yıllık çabalara işaret ediyor.
UKRAYNA YAPAY ZEKAYI DA DEVREYE SOKTU
Son haftalarda Fedorov ve Ukrayna hükümeti, öldürülen ve yakalanan Rus askerlerini tespit etmek için tartışmalı yüz tanıma programı ClearviewAI’yi devreye soktu. Rus bombardımanı altında dahi ülkeyi bağlantıda tutabilmek amacıyla Elon Musk’ın Starlink terminallerinden binlercesini devreye aldı.
Ukrayna ayrıca sivil halkın askeri hareketleri rapor etmelerine izin veren kitle kaynaklı istihbarat toplama yeterliliğine de sahip. Ancak bunların içinde en önemlisinin internet bağlantılarını, enerjilerini ve finansal sistemlerini devre dışı bırakmaya yönelik saldırıları geri püskürtmeleri olduğu düşünülüyor.
Siber alanda savunma cenahında başarılı bulunan Ukrayna, savaşı Rusya toprağına taşıyan hamleleriyle de dikkat çekiyor. Mart ayında Reuters, Ukrayna’nın operasyonda öldürülen Rus askerlerinin cesetlerini teşhis edebilmek için Amerikan Clearview AI şirketinden yüz tanıma yazılımı satın aldığını açıklamıştı. Kiev yönetimi bu bilgileri ölen askerlerin aileleriyle iletişim kurmak için kullandıklarını kabul etti.
RUSYA SİBER SALDIRI KAPASİTESİNİN SINIRINA ULAŞMIŞ OLABİLİR
Fedorov, programın ölüleri teşhis etmenin haricinde de işlerine yaradığını yaşanmış bir örnekle anlattı. “Bir hastanede savaş sonrası nevrozu ve hafıza kaybı yaşadığını ancak Ukraynalı bir asker olduğunu iddia eden bir adam bulundu. Doktor fotoğrafını bize gönderdi ve birkaç dakika içinde kimliğini tespit ettik. Sosyal ağ profilini bulduk ve Rus olduğunu belirledik.” dedi.
Ukraynalı kaynaklar Rus siber saldırılarının savaştan hemen önce üç katına çıktığını ve savaşın başlamasından bu yana kritik altyapıyı agresif bir şekilde hedeflediklerini ifade ediyor. Ancak Ukrayna Devlet Özel İletişim ve Bilgi Koruma Teşkilatı Başkan Yardımcısı Viktor Zhora, Moskova’nın saldırı kapasitesinin sınırına ulaşmış olabileceğini söyledi. Zhora, ayrıca, yıllardır devam eden eğitim, tatbikat ve NATO ile işbirliğinin Ukrayna’yı siber saldırılara karşı çok daha dirençli hale getirdiğini kaydetti.
Rusya Devlet Başkanı Vladimir Putin’in 2017 yılında yaptığı ve oldukça ses getiren ‘Yapay Zeka’ya hakim olan dünyayı yönetir’ açıklamasından tam iki yıl sonra, Rusya Yapay Zeka stratejisini açıkladı.
2024 ve 2030 yıllarına kadar YZ alanında farklı başlıklarda atılacak adımların sıralandığı strateji Rusça yayınlanmasına rağmen kısa süre sonra İngilizceye çevrildi.
Teknoloji, siyaset, diplomasi ve savaş çalışmaları üzerine yoğunlaşan Siber Diplomat ekibi de Teknopolitik adını verdikleri podcastte Rusya’nın Yapay Zeka stratejisini ele aldılar.
Neden 2030? Rusya YZ ürünlerini hangi pazarlara satmak istiyor? Moskova, mikroişlemci ve dataseti geliştirmek için 10 sene içinde nasıl bir yol izleyecek? gibi sorular üzerinde hep beraber düşünmeye ne dersiniz?
Siber Bülten abone listesine kaydolmak için formu doldurunuz
