İngiltere ve Hollanda Kraliyet Donanmalarına ait iki savaş gemisi, Karadeniz’de yerlerini tespit etmeye çalışan Rus deniz üssünü yanıltmayı başardı.
HMS Defender ve HNLMS Evertsen isimli gemiler Ukrayna’nın Odessa kentinde demirli iken, Rus Deniz Kuvvetleri’nni kontrolündeki stratejik Sivastopol limanının girişine yaklaşmış gibi sinyal verdi.
Karadeniz’de Rusya’nın kontrolü altında bulunan bir deniz üssü, iki NATO savaş gemisinin yerini tespit ederken aldatıldı. Gemilerin deniz üssünün tespit ettiği yere göre 180 mil uzakta bulunduğu ortaya çıktı.
İngiltere Kraliyet Donanması’na ait HMS Defender ve Hollanda Kraliyet Donanması’na ait HNLMS Evertsen isimli savaş gemileri, 18 Haziran’da Ukrayna’nın Odessa kentine uğradı. ABD Donanması’na ait 17 Haziran tarihli fotoğraflara göre grup Karadeniz’de manevra yapıyordu.
Deniz güvenliğini artırmak için konum ayrıntılarını ileten bir otomatik tanımlama sistemi (AIS) sinyaline göre, iki gemi 18 Haziran gece yarısından hemen önce Odessa’dan ayrıldı. Veriler, doğrudan Sivastopol’a gittiklerini ve limanın girişinin iki deniz mili yakınına yaklaştığını gösteriyor. Stratejik liman, Rusya’nın Karadeniz filosunun kalbini teşkil ediyor.
SAHTE SİNYALLER OLDUĞUNA DAİR İKNA EDİCİ KANITLAR VAR
AIS izine karşın, canlı web kamerası yayınları, iki savaş gemisinin Odessa’dan ayrılmadıklarını gösteriyor. Savunma çevrelerinde ve yerel medyada bilinen durum zaten bu şekildeydi. Windy.com gibi üçüncü taraf hava durumu siteleri tarafından arşivlenen ekran görüntüleri de, iki savaş gemisinin o geceyi Odessa’da geçirdiğini gösteriyor.
Birbiriyle çelişen egemenlik iddiaları dikkate alındığında, iki NATO savaş gemisini büyük bir Rus deniz üssünün girişine yerleştirmek kışkırtıcı bir eylem olarak görülecektir. ABD, İngiltere ve Hollanda da dahil olmak üzere uluslararası toplum, çoğunluk itibarıyla Kırım’ı Rus toprağı olarak tanımıyor.
Gemilerin yeri konusundaki aldatmanın sebepleri henüz belirsizliğini korusa da, söz konusu eylem, hem savunma sanayiinde hem de gazeteciler tarafından giderek daha yaygın şekilde kullanılan AIS gibi açık kaynaklı istihbarat verilerinin etkinliği hakkında soru işaretlerini artırmış durumda. AIS izlerinin sahte olduğuna dair ikna edici kanıtlar var.
Hydra piyasasında gerçekleştirilen Bitcoin işlemleri üzerinde yapılan analizler, operatörlerin satıcıları zorla Rus borsalarına yönlendirdiğini ve yerel aktörlerin bu durumdan haksız kazanç elde etmiş olabileceğini gösteriyor.
Hydra adıyla bilinen Rusça Dark Web pazarındaki satışların 2016 yılında 10 milyon doların altında iken, sadece dört yıl içerisinde 1,4 trilyon doları aştı. Yeni araştırmalar, bu olağanüstü artışın Rus devlet yetkililerinin örtülü desteğinden kaynaklanmış olabileceğini gösteriyor.
Flashpoint ve kripto para analiz şirketi Chainalysis tarafından hazırlanan rapora göre, yaklaşık bir düzine operatörden oluşan gevşek bir konfederasyon tarafından yönetilen Hydra, Rusya’da ve diğer dokuz eski Sovyet ülkesinde uyuşturucu ve illegal hizmet satıcıları için bir forum görevi görüyor. Rusça diğer siber suç pazarları, rekabetçilik ve yasal yaptırımlarla mücadele ederken, Hydra’nın aradan sıyrılması dikkati çekiyor.
Flashpoint’in kıdemli uzmanı Andras Toth-Czifra, bu durumun bir tesadüf mü yoksa iş birliğinin göstergesi mi olduğunun net olmadığını söylüyor. Toth-Czifra, “Doğrudan bağlantının bir kanıtını gösteremiyoruz, bu nedenle Hydra’nın bir Rus hükümet yetkilisiyle bağlantılı olduğunu net bir dille söyleyemeyiz. Ancak Hydra kadar büyük bir organizasyon söz konusu olduğunda, rahatsız edilmeden yol devam ettikleri süre uzadıkça, bu durumun ancak buna göz yumacak devlet görevlilerinin desteğiyle mümkün olabileceğine dair şüpheler artıyor.” değerlendirmesinde bulunuyor.
RAKİPLERİ KAPANIRKEN HYDRA OLAĞANÜSTÜ BÜYÜDÜ
Hydra Dark Web pazarı son dört yılda olağanüstü bir büyüme kaydetti. Diğer taraftan eski rakiplerinden biri olan Russian Anonymous Marketplace (RAMP) 2017’de kapandı.
Öte yandan, Hydra’nın operatörleri, piyasadan para çekmeyi zorlaştırıyor ve satıcıları paralarını Yandex Money ve Qiwi gibi Rus itibari (fiat) para birimlerine çevirmeye zorluyor.
Söz konusu raporda Hydra’nın başarısının tek açıklamasının “finansal olarak teşvik edilen bölgesel paydaşlar” olduğu belirtiliyor.
Satıcıların sahip olduğu kripto para birimi fonları, sadece bölgesel ödeme ve transfer hizmetleri için kullanılabiliyor. Hydra kripto işlemlerinin blok zinciri analizi, çıkış yapan fonların büyük çoğunluğunun yerel finansal kuruluşlarına itildiğini doğruluyor.
Bir blog yazısında, araştırmacılar, “Satıcılar yalnızca Hydra kazançlarını Rus itibari para birimine çevirmeye zorlanmıyor, aynı zamanda ödeme hizmetleri ve kripto para birimi dönüşümünü yapmak için kullanmalarına izin verilen borsalarda da sıkı kısıtlamalarla karşı karşıya kalıyor.” değerlendirmesinde bulunuyor. Araştırmacılara göre ayrıca “izin verilen bölgesel birkaç borsa ve ödeme hizmetinin tümünün Rusya ve Rus dostu Doğu Avrupa ülkelerinde yerleşik olmaları hiç de şaşırtıcı değil.”
HYDRA’DA PARANIN İZİNİ SÜRMEK NEREDEYSE İMKANSIZ
Kısıtlamalar, satıcıların geçici çözümler aramaya itiyor. Hydra, satıcıları yaklaşık 10.000 ABD Doları tutarında bir bakiye tutmanın yanı sıra ve minimum 50 işlem yapmalarını şartını koşuyor.
Flashpoint ekip lideri Vlad Cuijuclu, “Temelde, para çekmenin yolu Bitcoin’den Yandex Money’e veya başka bir itibari para birimine yönelmekten geçiyor.” diyor.
Uzmanlar, Hydra işlemlerinin bölgesel doğasının paranın izini sürmeyi zorlaştırdığını söylüyor. Buna göre, bir mal veya hizmet satın aldığında, parayı takip etmek imkânsız hâle geliyor. Rus itibari para birimlerine yapılan transferler, karanlık pazar ve satıcılar arasında kalan tüm bağlantıyı kesiyor.
Yerel güvenlik birimlerinin pazarı kapatma niyeti olmadan işlemlerin varış yerlerini takip etmenin pek muhtemel olmadığını söyleyen Cuiujuclu, sözlerini şöyle devam ettiriyor: “Rus güvenlik birimleri müdahale etmek isterse öyle ya da böyle bunu yapabilir. Ancak Rusya’daki birçok şey aslında yolsuzluğa bağlı. Bu yüzden bazı kolluk kuvvetlerinin bu pazardan yararlanma ihtimali var.”
Ukrayna emniyet güçleri, Clopfidye yazılım çetesiyle bağlantılı siber suçluları tutukladı ve 2019’dan beri bilinen hedef alan saldırılarda kullanılan altyapıyı çökertti.
Siber suçlular, ABD ve Kore Cumhuriyetinden gelen güvenlik güçleriyle birlikte yürütülen uluslararası bir operasyonun ardından tutuklandı.
ALTYAPI ÇÖKERTİLDİ
Ukraynalı yetkililere göre emniyet güçleri, virüsün yayıldığı altyapıyı durdurmayı başardı, buna eş zamanlı olarak, yasadışı yollardan elde edilen kripto paraları meşrulaştıran kanalların önünü kesti. Başkentte kolluk kuvvetleri, sanıkların evlerinde ve arabalarında 21 arama çalışması yürüttü.
Araştırma faaliyetlerinin devam ettiği de aktarılan bilgiler arasında.
SANIKLARIN GRUP ÜYESİ OLUP OLMADIĞI BELLİ DEĞİL
Ukrayna polisinin basın açıklamasına göre tutuklu kişilerin fidye yazılım faaliyetinin asıl üyeleri mi yoksa bağlantılı kişiler mi olduğu henüz net değil.
Siber güvenlik şirketi Intel 471’e göre asıl üyeler muhtemelen Rusya’da olduğu için, Ukraynalı yetkililer yalnızca Clop çetesine kara para aklayan kişileri tutukladı.
Intel 471 uzmanları konuya ilişkin, “Ukrayna’daki Clop fidye yazılımına ilişkin emniyet baskınları, CLOP faaliyetinin sadece nakit düzenleme ve para aklama tarafıyla sınırlı. Clop’un arkasındaki asıl aktörlerin yakalandığına inanmıyoruz, dahası, onların büyük ihtimalle Rusya’da yaşadıklarını düşünüyoruz. Clop’a vurulan toplam darbenin küçük olması bekliyoruz; buna karşın, bu hukuki vaziyet Clop markasının terk edilmesiyle sonuçlanabilir, tıpkı son zamanlarda DarkSide ve Babuk gibi diğer fidye yazılım gruplarında gördüğümüz gibi.” değerlendirmesinde bulundu.
Şifreleme saldırılarına ek olarak Clop fidye yazılım çetesi, Accellion veri ihlallerinin son dalgasıyla bağlantılı. Söz konusu ihlaller 2021’in ilk üç ayı için hesaplanan ortalama fidye ödemelerinde şiddetli bir artışa yol açtı.
Alışılmış fidye yazılım saldırılarının bir parçası olarak mağdurun verileri şifrelenirken, Clop saldırıları tek bir biti bile şifrelemedi. Bunun yerine, Accellion’un mirası olan Dosya Aktarım Aracı’nı (FTA) kullanan yüksek profilli şirketlerden çok miktarda veri çaldı.
Çete, fazla fidye talebi olan anlaşmalı şirketleri gasp etmek için çalınan veriyi kaldıraç olarak kullandı.
Accellion’u istismar eden Clop çetesinin faaliyetlerinden bazıları arasında:
Enerji devi Shell, siber güvenlik şirketi Qualys,
Süpermarket devi Kroger,
Yeni Zelanda Merkez Bankası,
Singtel,
Avustralya Güvenlik ve Yatırım Kurulu (ASIC),
Washington Devlet Denetleme Ofisi (SAO) ve pek çok üniversiteyle çeşitli kuruluşlar bulunuyor.
Ayrıca Clop çetesi, Koreli perakendeci E-Land’in sunucularından 2 milyon kredi kartı çaldığını iddia etmişti. Clop, bir yıl sonra Kasım 2020’de fidye yazılımını ağda yürürlüğe koymadan önce bunun için POS kullandı.
Maastricht University, Software AG IT, ExecuPharm ve Indiabulls saldırılarının arkasında da Clop fidye yazılımı olduğu biliniyor.
Clop’un Tor ödeme sitesi ve veri sızdırma sitesinin hala yürürlükte olması, Clop’un faaliyetlerinin tam anlamıyla durdurulamamış olduğunu gösteriyor.
Rus istihbarat analistiDmitry Smilyanets, Rusya Devlet Başkanı Vladimir Putin istediği takdirde tüm siber suçluların yakalanacağını öne sürdü.
Eskiden bir hacker olan şu anda da Recorded Future adlı siber güvenlik firmasında istihbarat analisti olarak çalışan Smilyanets, NPR adlı internet sitesine bir röportaj verdi.
Rusya’daki siber suç pazarından eğitim sistemine, fidye yazılım saldırılarından Rusya’daki hackerlara kadar geniş yelpazeli birçok başlığa değinilen röportajda önemli bilgilere yer verildi.
“FİDYE YAZILIM SALDIRILARINA HAZIR OLUNMALI”
Halihazırda fidye gruplarına kimsenin engel olamayacağını söyleyen Smilyanets, ancak Biden ve Putin’in bir araya gelmesiyle gerekli kararların alınabileceğini ve yalnızca Putin’in bu grupları durdurabileceğini söyledi.
Smilyanets, “Rusya’daki kolluk kuvvetlerinin ve Rus hükümetinin bu grupları izlediğini düşünüyorum. Bu kötü adamların yakalanması için de sadece bir emir gerekiyor.” dedi.
Smilyanets, “Bu adamlar (hackerlar) Rus özel kuvvetlerinde çalışmıyor. Ancak finansal olarak oldukça motive olmuş durumdalar. Yine de devlet adamlarıyla bağlarının olduğu söylenemez. Çoğunun böyle bağlantıları olduğuna inanıyorum.” ifadelerini kullandı.
Devlet destekli olmayan ve devletin istediği zaman bu siber saldırganları yakalayabileceğini iddia eden Simyanets, Colonial Pipeline saldırısından sonra yaşananlara dikkati çekerek, “Siber saldırganların duracağına inanmıyorum. Onların gözünde kazanılması gereken çok fazla para var. Bu sebeple herhangi biri onları durdurana kadar asla durdurulamayacaklar. Daha fazla fidye yazılım saldırılarına hazır olunmalı.” dedi.
“YÜZLERCE KİŞİ BİRLİKTE ÇALIŞIYOR”
Siber saldırganların oldukça organize hareket ettiğini söyleyen Smilyanets, “İnanmayacaksınız ama bazı grupların altında çalışan yüzlerce kişi var. Gayet organize ve profesyoneller.” dedi.
Smilyanets, “Neden bunlar Rusya’da sıklıkla oluyor sorusunun cevabı aslında çok basit. Bir seranız var diyelim. Harika bir sulama sisteminiz, gelen harika güneş ışığı… Sebzelerinizin büyümesine engel olacak hiçbir şey yok. Rüzgar bile esmiyor.”
“İŞ FIRSATI GÖRMEYEN GENÇLER YER ALTI DÜNYASINA KATILIYOR”
Rusya’daki siber korsanlığın artması üzerine Smilyanets, “Rusya’da harika bir eğitim sistemi var. Aynı zamanda önemli matematik ağırlıklı okullar da. Ancak gençler, iş bulma serüvenlerine kendi alanlarıyla bağlantılı iş yapmak istemeyince boşluğa düşüyor. Bu sebeple alternatif arama çabaları içine giriyorlar. İnternette de yeterince alternatif var, yer altı suç pazarları da dahil.”
Smilyanets, “Aynı gençler siber alana dair paylaşımlar yapan telegram kanallarına üye oluyorlar. Eğitici videolar izleyebiliyorlar. Hatta fidye yazılım paketleri bile alabiliyorlar. Bunlar tamamen ‘merak’ ve ‘ne kadar boş zamanınız’ olduğuyla ilgili. Rusya’daki gençlerde ikisinden de bulunuyor.” dedi.
Siber saldırıların nasıl önleneceğine ilişkin gelen soruya ise Smilyanets, “Güvenlik zafiyetlerinizi mümkün olan en kısa sürede yamalamanız gerekiyor. İyi bir tehdit istihbarat sağlayıcısına sahip olmanız da önemli ama yine de herhangi bir saldırıyı yüzde yüz engellemenin bir formülü yok. Bu yüzden şirketiniz savunmasızsa ve hala saldırıya uğramamışsa sadece dua edin derim.” açıklamalarında bulundu.
İsrailli casus yazılım firması Rayzone Group’un elde ettiği gizli bilgileri korumak amacıyla, Rus istihbaratıyla yakından çalışan bir kuruluştan elektronik teçhizat satın aldığı ortaya çıktı.
Yakın zamanda ortaya çıkan bazı sevkiyat kayıtları, İsrailli bir özel siber istihbarat şirketinin KGB’nin devamı sayılan Rusya Federal Güvenlik Servisi (FSB) yetkilileriyle çalıştığını göz önüne serdi.
Tel Aviv merkezli bir siber istihbarat/casus yazılım şirketi olan Rayzone Group, Moskova’daki bir Rus savunma ve istihbarat yüklenicisinin alt birimlerinden biri olan “Engineering and Commercial Multidiscipline Center”dan bir kargo aldı.
Kayıtlara göre, paket 23 Temmuz 2018 tarihinde gönderildi. Uzmanlar, Rayzone’un bu ekipmanları casus yazılımları aracılığıyla elde ettiği bilgileri dış güçlerden koruyabilmek için satın almış olabileceğini öne sürüyor.
BAZI MUHALİFLERİ DE GÖZETLİYOR
Web sitesinde Rayzone’un “ulusal ajanslar için butik istihbarat tabanlı çözümler sunduğu” belirtiliyor. Rayzone, bünyesinde istihbarat konusunda tecrübeli isimleri barındırıyor. İnsan hakları örgütleri, dünya çapında gazeteciler ve bazı muhalifleri gözetlediği iddia edilen Rayzone, son yıllarda eleştirilerin hedefinde.
Yazılan raporlar, şirketin dünya çapında bazı telefon operatörleri üzerinden çeşitli mobil ağlarda yer kiralayarak vatandaşları gözetlediğini gösteriyor. Rayzone bu şekilde bir kişinin telefonunu hackleyebiliyor, konumunu saptayabiliyor ve cihazda bulunan verileri alabiliyor.
Rayzone Group, konum bilgilerini kullanan tek müşterilerinin yabancı hükümetler olduğunu iddia ediyor. Şirket, dünya devletlerine istihbarat hizmeti sunduğunu açıkça belirtiyor. Şirket, aralarında Meksika, Singapur, Filipinler, Vietnam ve Yunanistan’ın bulunduğu en az 35 devlete hizmet veriyor.
Moses ve Mendi Gertner gibi önde gelen İsrailli işadamlarıyla da çalışan Rayzone’un son olarak Rus ordusu ile de iş birliği yaptığı ortaya çıkmış oldu.
Nakliye kayıtları, Rayzone’un Moskova’daki ortağının STT (Special Technique and Technology) Group olduğunu gösteriyor. STT Group, çeşitli kuruluşlara siber istihbarat konusunda ekipman ve bilgi sağlayan bir Rus askeri savunma ve istihbarat yüklenicisi.
WikiLeaks tarafından yayınlanan 2006 tarihinde ortaya çıkarılan bir NATO raporu, STT Grubu’nun “1994 yılında eski KGB görevlileri tarafından kurulduğunu” yazıyor.
Esas müşterisi Rus ordusu olan STT Group’un ürünlerini tanıttığı YouTube kanalında şu anda STT’de çalışan eski FSB casusları yer alıyor. STT Group; Rus Federal Güvenlik Servisi, Maliye Bakanlığı, Gazprom ve Başsavcılık gibi birçok Rus devlet kurumuyla çalıştığını bildiriyor.
BİLGİ SIZINTILARINI DA TESPİT EDİYOR
Şirketin bir diğer amacı, “kurum ve kuruluşlar için tesislerdeki bilgi sızıntı kaynaklarının tespiti, koruma sistemlerinin montajı ve bakımı, korunan binaların tasarımı ve inşası ve bina ve nesnelerin test edilmesi dahil olmak üzere bilgi güvenliği hizmetleri sağlamak ve tesis ve nesneleri bilgi güvenliği gereksinimlerini karşılama seviyeleri konusunda test etmek.”
STT’nin ürünleri arasında üçüncü şahıslar tarafından yapılabilecek gizli dinlemeler için kullanılabilecek “Casket-4” gibi cihazlar da yer alıyor. STT Genel Müdürü Vladimir Tkach bir röportajında, “Bizimkilere kıyasla NATO teçhizatı oyuncak gibi kalır.” ifadelerini kullanmıştı.
STT Group web sitesinin Rusça sayfasında, FSB ve Federal Teknik ve İhracat Kontrol Servisi olmak üzere Rus devleti ile imzaladığı belgelere ve sözleşmelere yer veriyor. Bu ortaklıklar, Rayzone’un iş uygulamalarıyla ilgili endişeleri artırıyor.
Diğer taraftan, söz konusu belge ve sözleşmelere sitenin İngilizce sayfasında yer verilmemesi dikkati çekiyor. Belgeler incelendiğinde, Rus istihbarat servislerinin STT Group ile kapsamlı bir çalışma yürüttüğü açıkça görülüyor.
Sitede yayımlanan bazı çarpıcı belgeler şunlar:
Devlet sırrı niteliğindeki bilgilerin kullanımı ile ilgili çalışmaları yürütmek üzere FSB Ofisi tarafından verilen 10 Temmuz 2017 tarih ve 30260 numaralı Lisans. 27 Eylül 2021 tarihine kadar geçerli.
FSB binalarında gizlice bilgi almak için tasarlanmış elektronik cihazları tanımlamaya yönelik faaliyetlerde bulunmak üzere FSB tarafından verilen 22 Kasım 2017 tarih ve 16322B numaralı Lisans. Bu lisans için süre kısıtlaması söz konusu değil.
FSB tarafından bilgi ve telekomünikasyon sistemlerinin şifreleme araçları kullanılarak korunan şifreleme araçlarının geliştirilmesi, üretimi için 22 Kasım 2017 tarihli ve 16321H numaralı Lisans. Bu lisans için süre kısıtlaması söz konusu değil.
Gizli bilgilerin teknik olarak korunması için Federal Teknik ve İhracat Kontrol Servisi (Rusya Savunma Bakanlığı) tarafından verilen ve 28 Aralık 2009 tarihli 0972 sayılı Lisans. Bu lisans için süre kısıtlaması söz konusu değil.
RUSYA CASUS YAZILIMLARLA KÜRESEL AĞINI GENİŞLETMEK İSTİYOR
İstihbarat konularına eğilen web sitesi Import Genius’un elde ettiği 2018 tarihli nakliye kayıtları, malzemelerin Moskova’dan Tel Aviv’e kadar takip edildiğini gösteriyor. Kayıtlara göre, 18,7 kilogramlık sevkiyat, STT tarafından “diğer makineler ve ekipmanlar” başlığı altındaki 8543709000 Gümrük Tarife İstatistik Pozisyonu (GTİP) kodu ile gönderilmiş.
Rus gümrük prosedürüne göre bu kategori, genel olarak, “elektrikli makine ve ekipman ve bunların parçaları, kayıt ve oynatma, televizyon görüntüsü ve sesi ve parça ve aksesuarlar için ses kayıt ve çoğaltma cihazları” için. Gönderinin fiyatı 30.795,00 olarak kaydedilmiş ancak ödemenin para birimi belirsiz.
IKMTS-1 yakın zamanda Sberbank, Federal State Unitary Enterprise (Federal Devlet Üniter Girişimi) ve diğer Rus devlet kurumları ile sözleşmeler yaptı. IKMTS-1’in ortaklarından biri olan Federal State Unitary Enterprise’a 2018 yılında birkaç Rus firmalarıyla birlikte “kötü niyetli Rus siber aktörlerinin faaliyetlerine olanak sağladığı” suçlamasıyla yaptırım uygulanmıştı. 2018 yılında kuruluş yaklaşık 7,5 milyon dolar gelir elde etti.
STT’nin siber güvenlik alanındaki ürünleri ise Rayzone tarafından kullanılan ürünlerden farklı olarak, kullanıcıları gizlice dinlemekten veya bilgi sızıntısından faydalanmaktan ziyade koruma amaçlı gibi görünüyor.
Sektörün uzmanları, Rayzone’un bu ekipmanları casus yazılımları aracılığıyla elde ettiği bilgileri dış güçlerden koruyabilmek için satın almış olabileceğini öne sürüyor.
Ortaya çıkan nakliye kayıtları, Rusya güvenlik servislerinin Rayzone Group gibi İsrailli siber istihbarat firmaları aracılığıyla küresel varlığını genişletmeye istekli olduğunu gösteriyor.
Diğer taraftan, nakliye kayıtları, en az bir İsrail casus yazılım şirketinin, insan hakları örgütleri tarafından eleştirilen siber istihbarat hedeflerini gerçekleştirmek için bir Rus askeri ve istihbarat yüklenicisi ile çalıştığını kanıtlıyor.
