Geçtiğimiz hafta Suriye Elektronik Ordusu’nun (SEO) Cumhurbaşkanlığı başta olmak üzere diğer bazı devlet kurumlarına ait mailleri sızdırıp yayınlaması uzun bir aradan sonra siber güvenlik konusunu gündemin ön sıralarına taşıdı. Televizyonlar güvenlik uzmanlarını canlı yayınlara çıkardı, yorumcular savaşların artık siber alana taşındığı, Türkiye’nin siber ordusu olması gerektiği gibi meselelerin üzerinde durdular.

Çoğunlukla yapılan analizler Türkiye’yi merkeze alırken, saldrıgan odaklı yorumlar pek üretilmedi. Halbuki SEO geçtiğimiz 3-4 yıl içerisinde siber kabiliyetlerini geliştirerek Türkiye’ye karşı ciddi bir stratejik tehdti haline geldi. Bu noktadan hareket ederek SEO saldırısını daha kapsamlı değerlendirebilmek için bazı önemli noktaları bir araya getirdik:

1. Nereden çıktı bu SEO?

Tunus’ta başlayan Mısır ve Libya’dan sonra Suriye’ye sıçrayan ve kısaca ‘Arap Baharı’ olarak adlandırılan kitle hareketleri sırasında diktatör yönetimlerin internet politikası genelde ‘sınırlamacı ve reaktif’ olarak nitelendirilebilir. Sitelere erişimin engellenmesi, hesapların askıya alınması ve nihayetinde tüm ülkenin internet erişiminin kapatılması gibi yöntemler bu stratejinin taktiksel adımları olarak öne çıktı. Fakat Esad rejimi bu stratejiyi ‘müdahaleci-proaktif’ bir hale çevirdi. Suriye de Mısır ve Tunus gibi interneti kapattığı oldu fakat, Şam yönetimi siber alanı aynı zamanda bir operasyon sahası olarak da gördü. Sosyal medyada Esad yanlısı hesaplar açıldı. Şam’ı destekleyen hacktivist gruplar oluştu. 2011 Mart ayında başlayan rejime muhalif hareketlerden iki ay sonra ise siber alan SEO ile tanıştı.

2. Kim bu adamlar?

Bu sorunun cevabı çok net olmasa da önemli ipuçları var. Bir kısmının Suriye’de olduğuna kesin gözüyle bakılsa da, ülke dışında yaşayan Suriyeli mühendislerin de yardımcı olduğuna inanılıyor. Suriye’de devlet yanlısı medyada  kahraman muamelesi görüyorlar. Televizyonlara canlı yayında bağlanıyorlar. Gazetelere demeç veriyorlar. Fakat şu ana kadar gerçek kimliği tespit edilebilen yok. Twitter hesaplarından yaptıkları eylemlerin bilgilerini paylaşıyorlar. Hepsinin Suriyeli olmadığı tahmin ediliyor. Özellikle Rus hackerlardan destek aldıkları düşünülüyor.

3. Ne tür eylemler gerçekleştirdiler?

 SEO ilk olarak Suriyeli muhalifleri takip-izleme amaçlı çalıştı. DARKCOMET ve XTREME adlı truva  yazılımları ile muhaliflerin bilgisayarlarının kamerasını kontrol etme, bazı anti-virüs programlarını devre dışı bırakma, tuş kullanımını kaydetme, şifre çalma ve ekran görüntüsü alma gibi casusluk faaliyetleri gerçekleştirdi. Bu iki yazılımın da elde ettiği bilgileri Suriye’deki bir IP adresine gönderdikleri belirlenmiştir. BLACKSHADES isimli yazılımın da kaydettiği Skype konuşmalarını Suriye Telekomünikasyon’una gönderdiği tespit edilmiştir.

4. Kimleri hedef aldı?

 İlk hedefleri Suriye’deki devrimi destekleyen muhalif site ve sosyal medya hesapları oldu. Daha sonra uluslararası medya organları ve küresel popülerliğe sahip kişilerin hespalarını hackleyerek rejim yanlısı mesajlar yerleştirdiler. Al Jazeera, BBC, Reuters, Al Arabia , Sky News Arbia, CNN, CBS, New York Times, Huffington Post, Washington Post, Reuters, BBC, The Guardian, The Financial Times hacklenen medya organları arasında sayılabilir. Bunların yanı sıra, Kaliforniya ve Harvard gibi üniversiteler Linkedin gibi internet platformları da saldırılardan payını almıştır. SEO en sansasyonel eylemini Associated Press (Nisan 2013) ajansının Twitter hesabından attığı ” Beyaz Saray’da iki patlama oldu. Barack Obama yaralandı.” paylaşım ile gerçekleştirmiştir.

5. Türkiye’den başka devlete saldırdılar mı?

Suriyeli muhaliflere destek veren Türkiye’nin dışında Katar’ın devlet kurumlarından da gizli mailleri sızdırdılar. Bu mailler arasında dönemin Dışişleri Bakanı Ahmet Davutoğlu’nun da Katarlı yetkililerle yaptığı temasların ayrıntıları mevcut. Ayrıc Suriye’ye uluslararası müdahalenin tartışıldığı günlerde ABD Deniz Kuvvetleri’nin sitesini hackleyerek müdahale karşıtı resimler konmuştu. SEO’nun saldırıları ile Suriye ile ilgili gelişmeler arasında ciddi bir parallelliğin varlığı dikkat çekiyor.

6. Siber kapasiteleri gelişme gösteriyor mu?

Kesinlikle. 2011 yılından bu yana gerçekleştirdikleri siber saldırılar giderek daha komplike hale geliyor. SEO’nun faaliyetleri dikkatle incelendiğinde grubun kurulduğu ilk aylarda amatör hackerların kolaylıkla gerçekleştirebileceği sosyal medya hesaplarının çalınmasından, ilerleyen zamanda daha karışık bir işlem olan kullanıcı bilgileri çalma, veri kaçağı, Tango ve Viber gibi akıllı telefon uygulamalarından bilgi sızdırma gibi DNS ayarlarının exploit edilmesi gerektiren eylemlere doğru bir kayma olduğu fark edildi. 2013 Ağustos ayında düzenlenen saldırıda üçüncü taraf olarak domain ismi sağlayan şirketlerin sistemlerinin kullanması, grubun daha gelişmiş hacker yöntemlerine başvurduğunun göstergesi sayılabilir.

7. SEO’nun küresel bilinilirliği nasıl?

Özellikle ABD’de ve Arap dünyasında Türkiye’den daha fazla popüler olduğu açık. 3 ayrı platformda 2 senedir yaptığım SEO ile ilgili konuşmalardan sadece birinde salondaki bir kişi bu grubun ismini duyduğunu söylemişti. Buna rağmen SEO 2013’ün başında gizli hacker grupları arasında yapılan bir sıralamada en etkili dördüncü grup seçildi.

8. Dış destek alıyorlar mı?

Kısa zamanda siber kapasitelerini geliştirmelerinin arkasında Rusya, Çin ve İran gibi Şam yönetiminin arkasında duran devletlerin desteği olduğu düşünülüyor. SEO’nun saldırılarını önlemek için Network Solutions’ın Suriye’den alınan domainleri kapatmasının ardından syrianelectronicarmy.com ve sea.sy siteleri Rusya’dan verilen bir host üzerinden domain buldular. Grup üyesi olduğu iddia eden kişiler, internet üzerinden verdikleri röportajlarda herhangi bir dış destek almadıklarını öne sürdüler. Saldırı taktiklerinin Çinli hackerların siber espiyonaj operasyonlarına benzemesi bu ülkeyi ‘olağan şüpheli’ haline getiriyor. Ayrıca bugüne kadar SEO’nun kullandığı tespit edilen SQL injection yazılımı ‘Havij’in de İranlı hackerlar tarafından üretildiği biliniyor. SEO’ya Rus desteğini araştıranların karşısına ise esrarengiz bir isim çıkıyor. Andrey Nebilovich Taame adlı Suriye doğumlu Rus vatandaşı. Suriye’de yaşadığı tahmin ediliyor. 35 yaşındaki Taame akıcı şekilde İngilizce ve Rusça konuşabiliyor. FBI’ın en çok aranan hackerlar listesinde yer alıyordu. Rusya ve Güney Kıbrıs’a seyahat ettiği tespit edildi. Muhtemelen doğum yeri olan Suriye’ye de geçtiği düşünülüyor. Taame Rusya’nın siber alanda Suriye’ye desteğinde anahtar rol oynayabileceği iddia ediliyor.

9. Suriye devleti ile nasıl bir ilişkileri var?

 Şam yönetimi de SEO için çalışan hackerlar da organik bir bağın varlığını reddediyorlar. Dijital veri kayıtları 2013 nisanına kadar SEO’nun altyapısının büyük bir kısmı Suriye’de devlete ait domain sağlayıcısı kurum tarafından yönetildiğini göstermiştir. SEO kurucuları grubun internet sitesinde kendilerini “Suriye’deki olaylarla ilgili saptırılmış gerçeklere karşı pasif kalmak istemeyen Suriyeli gönüllüler” olarak tanıtmıştır. Devlet Başkanı Beşşar Esad 2011 Haziran ayında Şam Üniversitesi’nde yaptığı konuşmada SEO’ya atıf yaparak, “Sanal gerçeklikte, gerçek bir ordu gibi davranan bir Elektronik Ordu bulunuyor.” ifadelerini kullanmıştır. SEO bu övgüye karşılık olarak internet sitesinden yaptığı açıklamada Esad’ın konuşmasında kendilerinden bahsetmesinden onurlandıklarını ifade etmiş, buna rağmen rejim ile resmi bir bağlarının olmadığını tekrarlamışlardır.

        10. İyi de, Suriye gibi bir ülkede bu hackerlar nasıl çıktı?

Bu konuda ön yargılı olmamak gerekiyor. Suriye Bilgisayar Topluluğu (Syrian Computer Society) adlı devlet destekli grup 1989’da bilişim konusunda çalışmalar yapmak için kurulmuş. Kurucusu dönemin Devlet Başkanı Hafız Esad’ın oğlu Basil Esad. Basil öldükten sonra kurumun başına şimdiki Devlet Başkanı Beşar Esad geliyor. Makina mühendisi olan Basil’in şahsi merakı ile nispeten erken bir dönemde kurulan SBT’ye Esad’ın oğullarının yönetmesi bu konuya gösterilen önemin bir işareti. SBT’nin bazı eski üyelerinin SEO içerisinde aktif olduğu düşünülüyor. SBT şu anda Suriye’deki domain isimlerinin dağıtılmasından sorumlu.