Rusya Devlet Başkanı Vladimir Putin’in siber savaş yeteneklerini güçlendiren çalışmalarının arkasındaki NTC Vulkan adlı bilgi teknolojisi şirketinin gizli belgeleri sızdırıldı.
Binlerce sayfalık gizli belgeler, şirketin Rus askerî ve istihbarat kurumları için hack operasyonlarını desteklemek, ulusal altyapılara saldırılardan önce operatörleri eğitmek, dezenformasyon yaymak ve interneti kontrol etmek için nasıl çalıştıklarını ortaya koyuyor.
BEŞ YILLIK BELGELER SIZDIRILDI
Vulkan çalışanının sızdırdığı belgeler 2016’dan 2021’e dek uzanırken, şirketin Rus askerî ve istihbarat kurumlarına nasıl yardımcı olduğunu ortaya çıkardı.
Belgeleri sızdıran Vulkan çalışanı, Ukrayna’da yaşanan olaylardan etkilendiğini belirtirken, “Herkesin bu tehlikeleri bilmesi gerekiyor. Rus hükûmetinin haksız olduğunu ve yanlış yaptığını düşünüyorum. Ukrayna’nın işgaline ve orada yaşanan korkunç şeylere kızgınım. Umarım bu bilgileri kapalı kapılar ardında neler olduğunu göstermek için kullanabilirsiniz.” dediği belirtildi.
Söz konusu belgeler Le Monde, The Guardian, Washington Post, Der Spiegel gibi dünyanın önde gelen medya kuruluşları tarafından aylardır inceleniyordu.
Yapılan incelemelerden sonra belgelerin gerçekliği onaylandı.
KISA SÜREDE ÖNEMLİ BİR ŞİRKET OLDU
NTC Vulkan, Rusya’nın siber yeteneklerini hızla genişlettiği bir dönemde, 2010 yılında Anton Markov ve Alexander Irzhavsky iş birliği ile bir “bilgi güvenliği” şirketi olarak kuruldu.
Her iki kurucu da askerî akademi mezunu ve geçmişte orduda görev aldı. Askerî bağlantıları kuvvetli olan iki isim kısa bir zaman sonra da Rusya’nın askerî-endüstriyel donanımının bir parçası hâline geldi.
Vulkan, kuruluşundan bir yıl sonra, yani 2011 yılıyla birlikte gizli askerî projeler ve devlet sırları üzerinde çalışmak için özel hükûmet lisansı aldı.
Rusya’da kaç özel yükleniciye bu tür hassas projelere erişim izni verildiği bilinmese de bir düzineden fazla şirketin olmadığı tahmin ediliyor.
Bilgi güvenliği konusunda uzmanlaşan, yaklaşık 60 yazılım geliştiricisi olmak üzere 120’den fazla çalışanıyla orta ölçekli bir teknoloji şirketi olan Vulkan’ın resmî olarak müşterileri arasında Rus devlet kurumları ve şirketleri bulunurken bunlar arasında ülkenin en büyük bankası Sberbank, ulusal havayolu şirketi Aeroflot ve Rus demiryolları yer alıyor.
BELGELERİN İÇERİSİNDE NELER VAR?
Sızdırılan Vulkan belgeleri arasında şirket e-postaları, dâhili belgeler, proje planları, bütçeleri ve sözleşmeleri bulunuyor.
Sızdırılan belgeler, şirket çalışmalarının Rus federal güvenlik servisi (FSB), Rus askerî istihbarat servisi (GRU) gibi kurumların yanında Rusya’nın dış istihbarat örgütü SVR ile de bağlantılı olduğunu ortaya koyuyor.
Binlerce sayfalık gizli belgeleri içeren sızıntıda, şirketin Rus askerî ve istihbarat kurumları için hack operasyonlarını desteklemek, ulusal altyapılara saldırılardan önce operatörleri eğitmek, dezenformasyon yaymak ve interneti kontrol etmek için yaptıkları çalışmalar detayları yer alıyor.
Belgelerden edinilen bilgilere göre şirketin en önemli ürünleri arasında açık kaynak verilerinden potansiyel muhalif figürleri tespit eden Fraction, internet gözetimi ve dezenformasyon makinesi Amezit, siber operatörlerin eğitim programı olan Crystal-2V ve GRU’nun bir birimi olan “Sandworm” grubuyla ilişkilendirilen Scan-V adlı araçlar bulunuyor.
SCAN-V SANDWORM İLE İLİŞKİLENDİRİLİYOR
Vulkan’ın en geniş kapsamlı projelerinden biri, Sandworm ile ilişkilendirilen Scan-V adlı siber aracı.
On yıldan uzun süredir siber operasyonlarına devam eden Sandworm, bugüne kadar 2016’daki ABD Başkanlık seçimlerine siber yollarla müdahale, Ukrayna elektrik sistemini devre dışı bırakma ve NotPetya yazılımının arkasındaki birim olarak biliniyor.
ABD Adalet Bakanlığı birim hakkında 2020 yılında iddianame hazırlamış ve 6 GRU üyesi hakkında Sandworm ile ilişkili olmaktan yakalama kararı çıkartmıştı.
Sızdırılan belgeler arasındaki bir teknik belgede Birim 74455 ile de bilinen GRU’nun 74455 koduyla yer aldığı ve “onay tarafı” olarak göründüğü belirtiliyor.
Karşılıklı mutabakatın konusu ise Vulkan’ın yazılım ve donanım zafiyetleri hakkında istihbarat içeren bir veri tabanının kurulmasında yardımcı olması. Bu yazılımın kod adı ise Scan-V.
Sandworm gibi birimler, bilgisayar sistemlerine girmek için ilk olarak zayıf noktaları arıyor. Scan-V bu süreci destekliyor ve potansiyel olarak savunmasız sunucuları ve ağ cihazlarını avlamak için dünyanın dört bir yanındaki potansiyel hedeflerin otomatik keşfini gerçekleştiriyor. İstihbarat daha sonra bir veri havuzunda depolanarak birime hedefleri belirlemenin otomatik bir yolunu sunuyor.
Siber güvenlik şirketi Mandiant’tan Gabby Roncone, bu araştırmaları eski askerî filmlerdeki insanların toplarını ve birliklerini haritaya yerleştirdikleri sahnelere benzettiğini ifade ederek, “Düşman tanklarının nerede olduğunu ve düşman hatlarını yarmak için önce nereye saldırmaları gerektiğini anlamak istiyorlar.” yorumunu yaptı.
Scan-V projesi Mayıs 2018’de Moskova bölgesinde GRU ile yakından ilişkili bir araştırma tesisi olan Mühendislik Fiziği Enstitüsü tarafından başlatıldı. Projenin tüm ayrıntıları gizli tutuldu.
Sandworm’un sistemin amaçlanan kullanıcısı olup olmadığı belli olmasa da Mayıs 2020’de Vulkan’dan bir ekip, Scan yazılımını test etmek üzere biriminin bulunduğu Khimki’deki bir askerî tesisini ziyaret etmesi, Sandworm ve Vulkan arasındaki bağlantının ipuçları arasında yer aldı.
Uzmanlar, Scan-V’nin kesinlikle saldırı amaçlı inşa edildiğini belirtirken GRU’nun organizasyon yapısına ve stratejik yaklaşımına da rahatlıkla uyduğunu belirtti. Uzmanlar, böylesi ağ diyagramları ve tasarım belgelere çok sık rastlanmadığını söyledi.
Sızdırılan dosyalarda Rusya’nın bilgisayar korsanlığı operasyonlarında kullandığı zararlı kodlar ya da kötü amaçlı yazılımlar hakkında bilgi bulunmuyor. Ancak Google’dan bir analist, Google’ın 2012 yılında Vulkan’ı, “MiniDuke” olarak bilinen kötü amaçlı yazılımı içeren bir operasyonla ilişkilendirdiğini söyledi.
MiniDuke, SVR tarafından kimlik avı kampanyalarında kullanılırken, sızdırılan belgelerde SVR’nin gizli bir birimi olan 33949 askerî biriminin Vulkan ile birden fazla proje üzerinde çalıştığını gösteriyor.
GÖZETİM VE DEZENFORMASYON ARACI: AMEZİT
2018 yılında Vulkan çalışanlarından oluşan bir ekip, internet kontrolü, gözetleme ve dezenformasyon sağlayan kapsamlı bir programın resmî testine katılmak üzere FSB’ye bağlı bağlı Rostov-on-Don Radyo Araştırma Enstitüsü’ne gitti.
Amezit olarak adlandırılan ve dosyalarda Rus ordusuyla da bağlantılı olan yeni sistemin oluşturulmasına yardımcı olması için Vulkan ve diğer şirketlerle anlaşıldı.
Vulkan’ın merkezi bir rol oynadığı Amezit projesine 2016 yılında başlandı. 2021 yılına dek Amezit’in Vulkan mühendisleri tarafından geliştirilmeye devam ettiği anlaşılırken 2022’de daha da geliştirilmesinin planlandığı belgelerde yer aldı.
387 sayfalık bir iç belge Amezit’in nasıl çalıştığını açıklığa kavuşturuyor.
Amezit, Rusya’nın komutası altındaki bölgelerde interneti gözetlemek ve kontrol etmek için kullanılıyor.
Amezit, Rus ordusunun sosyal medyada ve internette gerçek insanlara benzeyen hesaplar ya da avatarlar yaratarak büyük ölçekli gizli dezenformasyon operasyonları yürütmesine olanak sağlıyor.
Amezit’te, avatarların kendi isimleri ve çalıntı kişisel fotoğrafları olduğu ve gerçekçi bir dijital ayak izi oluşturmak için aylar boyunca geliştirildiği biliniyor.
Ayrıca Amezit, “düşmanca” içeriği tespit etmek için semantik analiz kullanıyor. Bu şekilde hükûmete yönelik negatif sesleri bulunabiliyor ve sosyal medya kullanımları devasa ölçekte gözetlenebiliyor.
Vulkan ayrıca FSB için Fraction adlı bir program daha geliştirdi. Bu program Facebook ya da Odnoklassniki gibi siteleri tarayarak anahtar kelimeler arıyor. Programın amacı açık kaynak verilerinden potansiyel muhalif figürleri tespit etmek.
SİBER OPERATÖR EĞİTİM PROGRAMI: CRYSTAL V2
Amezit ile bağlantılı olan ve Vulkan tarafından geliştirilen bir başka projenin ise çok daha tehditkâr olduğu belirtiliyor.
Crystal-2V olarak bahsedilen bu proje Rus siber operatörler için bir eğitim platformu olarak geçiyor.
Aynı anda 30’a kadar kursiyer tarafından kullanılabilen bu platform, demiryolu hatları, elektrik istasyonları, havaalanları, su yolları, limanlar ve endüstriyel kontrol sistemleri gibi bir dizi temel ulusal altyapı hedefine yönelik saldırıları simüle ediyor.
BATIYLA SÜREKLİ SAVAŞ HÂLİNDELER
Uzmanlar, Rusya’nın aynı zamanda dijital silahlanma yarışında kendi gizli siber saldırı yeteneklerini geliştiren ABD, İngiltere, AB, Kanada, Avustralya ve Yeni Zelanda dâhil olmak üzere düşman olarak gördüğü Batı ile de sürekli bir çatışma içinde olduğunu söylüyor.
Sızıntıda yer alan bazı belgeler potansiyel hedeflere ilişkin açıklayıcı örnekler içeriyor. Bir tanesinde ABD’deki noktaları gösteren bir harita yer alıyor. Bir diğerinde ise İsviçre’deki bir nükleer enerji santralinin detayları yer alıyor.
Belgelerden birinde mühendislerin Rusya’ya 2016 yılında NSA’den çalınan ve internette yayınlanan hack araçlarını kullanarak kendi kabiliyetlerini arttırmasını tavsiye ettiği görülüyor.
Bunun yanı sıra Vulkan ve Rus hükûmetinden batılı medya kuruluşlarının sızdırılan belgelerle alakalı sorularına herhangi bir yorum yapılmadı.
