Avrupa Polis Teşkilatı Europol, siber suçlulara yönelik soruşturmalarını hız kesmeden sürdürüyor. Kuruluş, son olarak ‘Rex Mundi‘ adlı siber gasp çetesi üyesi Fransız vatandaşını Tayland’ta gözaltına aldırdı. Global antivirüs yazılım kuruluşu ESET, çetenin çalışmalarını ve ülkeler arasındaki suçlu takibini inceledi.
Siber suçlulara savaş ilan eden Europol ve birlikte çalıştığı yerel polis teşkilatları, küresel düzeyde gözaltılar gerçekleştiriyor. Kuruluş son olarak,2012’den beri faaliyet gösteren bir hack ve siber gasp topluluğu olduğu bilirilen ve latincede “Dünyanın Kralı” anlamına gelen Rex Mundi’yi hedef aldı.
Sekiz kişi tutuklandı
Küresel antivirüs yazılım kuruluşu ESET’in edindiği bilgilere göre Europol, Rex Mundi suç çemberine karıştığından şüphelenilen sekiz Fransız vatandaşının tutuklandığını duyurdu. Tutuklamalar dizisinin sonuncusu, Fransız uluslararası tutuklama emri üzerine harekete geçen Tayland polisi tarafından yapıldı. Bu yılın Mayıs ayında tutuklanan kişi‚ kodlama yeteneklerine sahip bir Fransız vatandaşı olarak tanımlandı. Bu, Haziran ve Ekim 2017’de Fransız polisi tarafından yakalanan çete üyeleri olduğuna inanılan yedi kişinin tutuklanmasıyla sonuçlanan bir operasyon oldu.
Fidye yazılımları yayıyordu
Rex Mundi, Avrupa’da çoğunlukla şirketlere zarar veren çok sayıda hack ve sibar gasp kampanyasıyla isim yaptı. 2014 yılında ESET’in de rapor ettiği çete, genellikle kurumsal ağlara sızarak fidye talep etmek için hassas verileri şifreledi ve internette yaymakla tehdit etti. Faaliyetleri 2012 yazına kadar uzanan çete, başlangıçta Twitter’da kendisini övüyordu daha sonraları ise düşük profil çizmeye başladı.
Çete nasıl yakalandı?
Mayıs 2017’de İngiltere merkezli bir firmanın müşteri bilgilerinin çalındığını iddia etmesinin hemen ardından güvenlik birimlerinin gözü gruba çevrildi. Çetenin bir üyesi daha sonra şirketi aradı ve verileri halka açmamak için 580 bin Euro veya sızıntının nasıl gerçekleştiğini açıklamak şartı ile de 825 bin Euro değerinde bitcoin talep etti. Europol’a göre, suçlular şirketin ödeme yapmadığı her gün için 210 bin Euro fidye istediler. Şirket ödemeyi reddetti ve İngiliz Polisi ile iletişime geçti. İngiliz Polisi de gerekli bilgileri toplayarak Fransız Polisi ve Europol’a iletti. Edinilen bilgiye göre ‘bir saat içinde‘, Europol’un 7/24 Operasyon Merkezi, mevcut bilgiler ile bir Fransız vatandaşına ulaşmayı başardı.
Fransız polisi, daha sonra Haziran 2017’de grubun beş şüpheli üyesine karşı harekat başlattı ve Ekim ayında iki tanesine daha ulaştı. Ana şüpheli, son gasp kampanyasındaki rolünü kabul etmekle birlikte ihlalin kendisinin derin internette kiraladığı bir hacker tarafından gerçekleştirildiğini söyledi.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
2007 yılında Estonya’yı hedef alan siber saldırıların sorumluluğunu Nashi adlı Kremlin yanlısı bir gruba bağlı hackerler üstlenmişti. Sony Pictures’ın bazı gizli verilerinin sızmasına sebep olan 2014 saldırısının arkasında ise Kuzey Kore destekli bir grubun varlığı iddia edilmişti. Bu ve benzeri siber saldırıların ardından yaptığımız tartışmalarında bu eylemlerin uluslararası hukukun hangi kurallarını ihlal ettiği üzerinde durmuştuk. Ancak bunun ötesinde tartışmamız gereken diğer bir husus ise hangi şartlar altında hacker gruplarının saldırılarından devletlerin sorumlu tutulabileceğidir. Çünkü saldırı bir devlete isnat edilemediği takdirde saldırının kaynaklandığı ülkeye yönelik karşı tedbirler (counter-measures) alınamayacağı gibi meşru müdafaa (self-defence) hakkı da doğmayacaktır.
Devletin organları ya da kamu gücünü kullanarak hareket eden kişi veya birimler tarafından gerçekleşen eylemler, uluslararası hukuka göre o devletin fiili olarak kabul edilmektedir. Bunun yanı sıra devlet dışı bir aktör, eylemi bir devletin talimatı, emri ya da kontrolü altında gerçekleştirmiş ise fiilin sorumluluğu doğrudan o devlete ait olacaktır. Yani kısaca eylemi gerçekleştiren aktör ile söz konusu devlet arasında nitelikli bir bağlantı aranmaktadır. Örnek olarak, Özgür Suriye Ordusu (ÖSO) Afrin’de hukuka aykırı fiiller işlerse, bunlardan dolayı Ankara’nın sorumluluğu değerlendirilirken, TSK’nın ÖSO unsurları üzerinde ne ölçüde bir kontrolünün olduğu sorusunun cevaplanması gerekecektir.
Konu siber saldırılara geldiğinde ise yukarıda sayılan isnat edilebilirlik kurallarının uygulanması sorunlu hale gelecektir. İlk problem, siber saldırıyı gerçekleştiren aktörün yani hacker grubunun tespitindeki zorluklardır. Siber dünya, saldırıyı gerçekleştiren gruba kimliğini gizleme noktasında büyük olanaklar sunsa da başarılı iz sürme (trace back) sonucunda bu grupların tespiti mümkün olmaktadır. Ancak asıl sorun, tespit edilen aktör ile eylemin arkasında olduğu düşünülen devlet arasındaki bağlantıyı yakalayabilmektir. Bu noktada devletin saldırıya ilişkin talimatlarını veya hacker grubu üzerindeki etkili kontrolünü ispat edecek deliller aranacaktır.
Siber savaştaki tespit zorlukları, isnat edilebilirlik şartlarının daha esnek uygulanması önerilerini gündeme getirmiştir. Bu önerilerden bir tanesi, saldırının kaynaklandığı ülke tespit edildiğinde, o devletin bu saldırının arkasında olduğu kabul edilecek ve aksini ispat etmesi istenecektir. Kuzey Koreli hackerların Sony saldırısını Tayland’da bir otelden gerçekleştirdiği dikkate alındığında saldırının kaynağını oluşturan ülkeyi tespit etmek yeterli olmayacak ve hatta yanıltıcı sonuçlara yol açabilecektir.
Diğer bir öneri, devletlerin kendi toprakları ya da siber altyapısı kullanılarak gerçekleşen bir saldırıyı engellemek için gerekli özeni göstermesi gerektiği (due diligence) tezine dayanmaktadır. Buna göre hacker grubunun gerçekleştirdiği saldırıdan önceden haberdar olan ve bildiği halde gerekli tedbirleri almayan devlet, bu saldırıdan dolayı doğrudan sorumlu tutulacaktır. Diğer bir ifadeyle devlet, tedbir almadığı için sorumlu tutulmanın ötesinde saldırıyı bizzat kendi gerçekleştirmiş kabul edilecektir.
Hukuken tartışmalı olmakla birlikte bu öneriye dayanak oluşturabilecek örnekleri kinetik savaşta bulabiliriz. 11 Eylül sonrası El-Kaide’ye karşı başlatılan savaşta hükümette olan Taliban rejimi de hedef alınmıştı. BM Güvenlik Konseyi de aldığı kararlarla Afgan devletine karşı kuvvet kullanımını onaylamıştı. Benzer şekilde 2006’da Hizbullah tarafından saldırıya uğrayan İsrail, sadece bu grubu değil Lübnan devletini de doğrudan hedef almıştı. Dikkat ederseniz bu saldırılar, Batılı devletlerin Suriye’de IŞİD’e karşı operasyon gerçekleştirmesinin ötesinde bir durumdur.
Esad yönetimi, IŞİD’in eylemlerinden doğrudan sorumlu tutulmamış ve bu yüzden bir saldırıya maruz kalmamıştır. Yalnızca, Şam’ın rızası olmadan Suriye topraklarına müdahale edildiği için Suriye’nin egemenlik hakkı ihlal edilmiştir. Buna gerekçe olarak ise Suriye ordusunun IŞİD ile mücadelede isteksiz olduğu veya aciz kaldığı (unwilling or unable doctrine) gösterilmiştir. Ancak, El-Kaide ve Hizbullah’ın saldırılarını engelleyebileceği halde gerekli tedbirleri almadıkları ve örgütlere korunaklı alanlar oluşturduğu gerekçesiyle Afgan ve Lübnan devletleri, kendi unsurlarının gerçekleştirmediği saldırılardan dolayı doğrudan sorumlu tutulmuştur.
Bu yaklaşım ışığında en baştaki örneğe dönersek, Moskova’nın Estonya’ya saldıran hacker grubuna talimat verdiği ya da grup üzerinde etkili bir kontrole sahip olduğu ispatlanamasa dahi saldırının Moskova’ya isnat edilebilmesi mümkündür. Ancak bunun için Rusya’nın bu saldırıyı bildiği ve engellemeye gücü yeteceği halde hareketsiz kaldığının ispatlanması gerekecektir.
Sonuç olarak, uluslararası teamül hukukunda kabul edilen isnat şartları siber saldırılar için uygulandığında, hackerler tarafından gerçekleştirilen saldırıların bir devlete isnat edilebilmesi pek mümkün gözükmemektedir. Diğer yandan getirilen öneriler henüz ne uluslararası sözleşmelerde ne de teamül hukukunda yer bulmuştur. Ancak, El-Kaide ve Hizbullah örneğinde olduğu gibi devletlerin siber saldırılara karşı alacağı tedbirler zaman içerisinde bu teamülün değişmesi sonucunu doğurabilecektir.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
