Rusya'nın Ukrayna'ya saldırmasından önce, bir dizi siber tehdit vardı: Ukrayna hükümetinin web sitelerini ve finansal hizmet sağlayıcılarını ara sıra kesintiye uğratan Dağıtılmış Hizmet Reddi (DDoS) saldırıları. Tarihten hazırlıklı olmak için ne öğrenebiliriz? 2007'den 2022'ye bir zaman çizelgesi. Sophos'ta Baş Araştırma Bilimcisi Chester Wisniewski'nin yorumu.
“Bütün şirketler her yönden gelebilecek saldırılara her zaman hazırlıklı olmalıdır. Ancak bir saldırı riski arttığında nelere bakılacağını bilmek faydalı olabilir. Rus devletinin siber ortamdaki bilinen veya şüphelenilen faaliyetlerinin geçmişini gözden geçirerek ne tür faaliyetlerle karşılaşılacağını ve organizasyonların nasıl hazırlanabileceğini değerlendirmeye karar verdim." Chester Wisniewski, Sophos.
Hizmet reddi saldırılarının istikrarsızlaştırılması
Bilinen en eski faaliyet, Estonya hükümetinin Sovyetler Birliği'nin Estonya'yı Nazilerden kurtarmasını anan bir heykeli daha az göze çarpan bir yere taşıdığı 26 Nisan 2007'ye kadar uzanıyor. Bu eylem, Estonya'nın Rusça konuşan nüfusunu öfkelendirdi ve Moskova ile ilişkileri istikrarsızlaştırdı. Kısa bir süre sonra sokaklarda isyanlar, Moskova'daki Estonya büyükelçiliği önünde protestolar ve Estonya hükümeti ve finansal hizmetler web sitelerine bir DDoS saldırısı dalgası oldu.
DDoS saldırılarına nasıl katılacağınıza dair tamamen hazırlanmış araçlar ve talimatlar, heykelin döşenmesinden hemen sonra Rus forumlarında ortaya çıktı. Bu saldırılar, Cumhurbaşkanı'na, Meclis'e, polise, siyasi partilere ve ana medya kuruluşlarına ait web sitelerini hedef aldı.
Diğer "Rus vatanseverler" Estonya'yı cezalandırmaya yardım etmeleri için çağrılırken, bu, araçlar ve bir hedef listesiyle birdenbire ortaya çıkan bir taban hareketi* değildi. Aynı taktik daha sonra Anonymous tarafından Low Orbit Ion Canon (LOIC) adlı bir araç kullanarak Wikileaks'i savunmak için kullanıldı.
2007'den beri eylemler
4 Mayıs 2007'de saldırılar yoğunlaştı ve bankaları da hedef aldı. Tam yedi gün sonra, gece yarısı, saldırılar başladığı gibi aniden sona erdi. Hepsi hemen Rusya'yı suçladı, ancak bunu dağıtılmış hizmet reddi saldırılarına bağlamak neredeyse imkansız. Artık bu DDoS saldırılarının, spam, botnet'ler ve farmasötik bağlı programlarla bağlantılı, Rusya'da kötü şöhretli bir organize suç grubu olan Russian Business Network'ün (RBN) işi olduğuna inanılıyor. Görünüşe göre hizmetleri, bu saldırıları gerçekleştirmek için tam olarak bir hafta boyunca "angajmanlıydı".
19 Temmuz 2008'de yeni bir DDoS saldırısı dalgası başladı. Gürcistan'daki haber ve hükümet web sitelerini hedefleme. Bu saldırılar, 8 Ağustos 2008'de Rus birliklerinin Güney Osetya'nın ayrılıkçı eyaletini işgal etmesiyle gizemli bir şekilde yoğunlaştı. Saldırılar başlangıçta Gürcü haber ve hükümet sitelerine, daha sonra finans kurumlarına, şirketlere, eğitim kurumlarına, Batı medyasına ve bir Gürcü bilgisayar korsanlığı web sitesine yönelikti.
Estonya'ya yönelik önceki saldırılarda olduğu gibi, bir hedef listesi ve bunların nasıl kullanılacağına dair talimatlar içeren bir dizi araç içeren bir web sitesi ortaya çıktı. Burada da saldırılar Gürcü saldırganlığına direnen “vatanseverler”e mal edilmeye çalışılmıştır. Ancak, gerçek saldırı trafiğinin çoğu, RBN tarafından kontrol edildiğine inanılan bilinen büyük bir botnet'ten geldi.
Dijital Tahrifat ve Spam
Gürcistan'a yapılan saldırılar arasında web sitelerinin tahrif edilmesi ve Gürcistan gelen kutularını tıkamak için tasarlanmış büyük spam kampanyaları da vardı. Görünüşe göre tüm bunlar, Gürcistan'ın kendini savunma ve yönetme yeteneğine olan güveni sarsmaya ve hükümetin vatandaşları ve dış dünya ile etkili bir şekilde iletişim kurmasını engellemeye hizmet etti.
Bir yıldan kısa bir süre sonra, Ocak 2009'da Kırgızistan'da bir dizi başka DDoS saldırısı başladı. Bu, Kırgız hükümetinin ülkelerinde bir ABD hava kuvvetleri üssünün kira kontratını uzatmaya karar vermesiyle aynı zamanda oldu. Bir kaza? Eylem yine RBN tarafından yapılıyor gibi görünüyordu, ancak bu sefer dijital görüşlerini dile getiren "yurtseverler" tarafından yapılan bir oyun değildi.
Bu bizi en son kinetik çatışmaya, 2014 Kırım işgaline getiriyor.
dezenformasyon ve izolasyon
2009'dan bu yana Ukrayna'ya karşı düşük seviyeli bir bilgi savaşı yürütülüyor ve birçok saldırı, NATO zirvesi ve Ukrayna-AB ortaklık anlaşması müzakereleri gibi Rusya'nın çıkarlarına tehdit olarak yorumlanabilecek olaylarla aynı zamana denk geliyor.
Mart 2014'te The New York Times, Ukrayna'da hükümet karşıtı protestolar başladığında, Snake kötü amaçlı yazılımının Ukrayna başbakanının ofisine ve birkaç uzak büyükelçiliğe sızdığını bildirdi. 2013'ün sonlarında ve 2014'ün başlarında ESET, Potao Express Operasyonu olarak adlandırılan, askeri hedeflere ve medyaya yönelik saldırıları belgeleyen soruşturmalar da yayınladı.
Daha önce olduğu gibi, "Cyber Berkut" adlı yerli bir siber grup, DDoS saldırıları ve web tahrifatları gerçekleştirdi, ancak büyük bir hasara neden olmadı. Bununla birlikte, büyük bir kafa karışıklığı yarattı ve bunun tek başına çatışma zamanlarında sonuçları var.
Çatışmanın başlangıcında, rütbesiz askerler Kırım'ın telekomünikasyon ağlarının ve bölgedeki tek internet merkezinin kontrolünü ele geçirerek bilgilerin donmasına neden oldu. Saldırganlar, Rus karşıtı protestocuları tespit etmek ve onlara şu yazılı mesajlar göndermek için hücresel ağ erişimlerini kötüye kullandı: "Sevgili abonemiz, kitlesel bir isyana katılımcı olarak kayıtlısınız."
Saldırganlar, Kırım'ın iletişim yeteneğini izole ettikten sonra, Ukrayna parlamentosu üyelerinin cep telefonlarını da taklit ederek işgale etkili bir şekilde yanıt vermelerini engelledi. Military Cyber Affairs'te belirtildiği gibi, dezenformasyon kampanyaları tüm hızıyla devam ediyordu:
“Bir durumda, Rusya tek bir kişiye birden çok farklı web kimliğine sahip olması için ödeme yaptı. St.Petersburg'daki bir aktör, on blog ile üç farklı blogcu olarak hareket ettiklerini ve aynı anda diğer web sitelerinde yorum yaptıklarını belirtti. Her 126 saatte bir XNUMX kez haberlere ve sosyal medyaya yorum yapması için başka bir kişi işe alındı."
Sakat güç kaynağı
23 Aralık 2015'te Ivano-Frankivsk (Ukrayna) sakinlerinin yaklaşık yarısının elektriği aniden kesildi. Bunun Rus devlet destekli bilgisayar korsanlarının işi olduğuna yaygın olarak inanılıyor. İlk saldırılar, elektrik kesintisinden altı aydan uzun bir süre önce, üç elektrik dağıtım merkezindeki işçilerin BlackEnergy adlı kötü amaçlı yazılımı yüklemek için tasarlanmış bir makro içeren virüslü bir Microsoft Office belgesini açmasıyla başladı.
Saldırganlar, SCADA (Denetleyici Kontrol ve Veri Toplama) ağı verilerine uzaktan erişmeyi ve devre kesicileri açmak için trafo merkezi kontrollerinin kontrolünü ele geçirmeyi başardı. Daha sonra, anahtarların gücü geri yüklemek için kapanmasını önlemek için uzaktan kumandaları ele geçirdiler. Ayrıca saldırganlar, ağı kontrol etmek için kullanılan bilgisayarları yok etmek için bir "silecek" kullandı ve aynı anda telefonla hizmet reddi (TDoS) saldırısı gerçekleştirerek müşteri hizmetleri numaralarına baskın düzenledi ve böylece kesintileri bildirmeye çalışan müşteriler ele geçirildi. hüsrana uğramış.
Neredeyse bir yıl sonra, 17 Aralık 2016'da Kiev'de ışıklar tekrar söndü. Bir kaza? Muhtemelen değil.
Bu sefer sorumlu kötü amaçlı yazılımın adı Industroyer/CrashOverride idi ve çok daha karmaşıktı. Kötü amaçlı yazılım, SCADA denetleyicilerini bulmak ve onların dilini konuşmak için ağı tarayabilen modüler bileşenlerle donatılmıştı. Ayrıca sistemi silmek için bir silecek bileşeni de vardı. Saldırı, BlackEnergy veya ünlü silme aracı KillDisk ile ilgisiz görünüyordu, ancak arkasında kimin olduğuna dair hiçbir şüphe yoktu.
E-posta İfşası
Haziran 2016'da Hillary Clinton ve Donald Trump arasındaki yakın başkanlık kampanyası sırasında, Demokratik Ulusal Komite'yi hacklediğini ve e-postalarını Wikileaks'e ilettiğini iddia eden Guccifer 2.0 adlı yeni bir figür ortaya çıktı. Resmi olarak Rusya'ya atfedilmese de, 2016 seçimleri sırasında diğer dezenformasyon kampanyalarıyla birlikte su yüzüne çıktı ve yaygın olarak Kremlin'in eli olduğuna inanılıyor.
Tedarik Zinciri Saldırıları: NotPetya
Rusya'nın Ukrayna'ya yönelik ısrarlı saldırıları henüz bitmedi ve 27 Haziran 2017'de NotPetya adlı yeni bir kötü amaçlı yazılım yayınlayarak durumu daha da kötüleştirdi. Yeni fidye yazılımı kılığına giren NotPetya, Ukraynalı bir muhasebe yazılımı sağlayıcısının hacklenmiş bir tedarik zinciri aracılığıyla dağıtıldı. Aslında, fidye yazılımı değildi. Bir bilgisayarı şifreledi, ancak şifresi çözülemedi, cihazı etkili bir şekilde sildi ve kullanılamaz hale getirdi.
Kurbanlar sadece Ukraynalı şirketlerle sınırlı kalmadı. Kötü amaçlı yazılım birkaç saat içinde tüm dünyaya yayıldı ve çoğunlukla bubi tuzaklı muhasebe yazılımının konuşlandırıldığı Ukrayna'da faaliyet gösteren kuruluşları etkiledi. NotPetya'nın dünya çapında en az 10 milyar dolarlık hasara neden olduğu tahmin ediliyor.
Sahte bir bayrak altında
PyeongChang Kış Olimpiyatları 9 Şubat 2018'de açılırken, dünyayı merakta bırakan başka bir saldırı yaklaşıyordu. Kötü amaçlı yazılım saldırısı, Olimpiyat ağındaki tüm etki alanı denetleyicilerini devre dışı bırakarak WiFi'den bilet gişelerine kadar her şeyin düzgün çalışmasını engelledi. Mucizevi bir şekilde, BT ekibi ağı izole etmeyi, kötü amaçlı yazılımları geri yüklemeyi ve sistemlerden kaldırmayı başardı ve ertesi sabah her şey hatasız bir şekilde çalışmaya devam etti.
Ardından, Olympia ağına kimin saldırmaya ve kapatmaya çalıştığını bulmak için bir kötü amaçlı yazılım analizi çalıştırmanın zamanı gelmişti. Kötü amaçlı yazılımın atfedilmesi zordur, ancak yardımcı olabilecek bazı ipuçları vardı veya karışmamış bir üçüncü tarafa işaret etmesi gereken yanlış yönlendirmelerdi. "Kanıtlar" Kuzey Kore ve Çin'e işaret ediyor gibi görünüyordu, ancak Kuzey Kore'yi suçlamak için neredeyse çok açıktı. Sonunda Kaspersky Lab'den Igor Soumenkov, mükemmel bir dedektiflik çalışmasıyla doğrudan Moskova'yı işaret eden sıcak bir ipucu buldu.
Birkaç yıl sonra, 2020 tatilinin bitiminden hemen önce, birçok ABD federal kurumu da dahil olmak üzere dünyanın dört bir yanındaki büyük ve orta ölçekli işletmelerin ağ altyapısını yönetmek için kullanılan SolarWinds Orion yazılımını hedef alan bir tedarik zinciri saldırısı olduğu biliniyordu. Yazılımın güncelleme mekanizmaları ele geçirildi ve bir arka kapı kurmak için kullanıldı.
Gizlice kurulan arka kapının sağladığı erişimle birlikte kurbanların öne çıkması, bu saldırıyı muhtemelen modern tarihin en büyük ve en zarar verici siber casusluk saldırılarından biri haline getiriyor.
ABD Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenliği Teşkilatı (CISA), Ulusal İstihbarat Dairesi Başkanlığı (ODNI) ve Ulusal Güvenlik Teşkilatı (NSA) ortak bir açıklama yayınlayarak, yaptıkları incelemelerin şunu gösterdiğini belirtti. :
“...muhtemelen Rus kökenli gelişmiş bir kalıcı tehdit aktörü, hükümet ve hükümet dışı ağlarda son zamanlarda keşfedilen devam eden siber saldırıların çoğundan veya tamamından sorumludur. Gelinen noktada bunun bir istihbarat eylemi olduğuna ve öyle olmaya da devam edeceğine inanıyoruz.”
2022'de Rus siber çatışması
2022'de siber-politik gerilimler yeniden artıyor ve kritik bir şekilde test edilmek üzere. 13-14 Ocak 2022'de çok sayıda Ukrayna hükümeti web sitesi tahrif edildi ve sistemlere fidye yazılımı kılığında kötü amaçlı yazılım bulaştı.
Bu saldırıların bazı bileşenleri geçmişi anımsatıyor. Kötü amaçlı yazılım fidye yazılımı değildi, ama sadece sofistike bir silecek, NotPetya saldırılarında kullanıldığı gibi. Ek olarak, bunun Ukraynalı muhaliflerin veya Polonyalı partizanların işi olabileceğini düşündüren birçok yanlış ipucu bırakıldı. Dikkat dağıtmak, kafa karıştırmak, inkar etmek ve bölmeye çalışmak artık standart bir repertuar gibi görünüyor.
15 Şubat 2022 Salı günü, Ukrayna hükümeti ve askeri tesislerinin yanı sıra Ukrayna'nın en büyük üç bankasına bir dizi DDoS saldırısı başlatıldı. Beyaz Saray, benzeri görülmemiş bir hareketle, saldırıları Rus GRU'suna atfederek bazı istihbarat bilgilerinin gizliliğini kaldırdı.
Rus Siber Harp Başucu Kitabı
Şimdi ne var? Durum daha da tırmansa da, siber operasyonlar kesinlikle devam edecek. 2014 yılında Viktor Yanukoviç'in devrilmesinden bu yana Ukrayna, değişen derecelerde iniş çıkışları olan sürekli bir saldırı yağmuruyla karşı karşıya kaldı.
Rusya'nın 2010 tarihli resmi "Rusya Federasyonu Askeri Doktrini" ne göre: “askeri güç kullanmadan siyasi hedeflere ulaşmak için ve daha sonra dünya toplumunun askeri güç kullanımına olumlu bir yanıt vermesi adına bilgi savaşı operasyonlarının önceden yürütülmesi.”
Bu, önceki çatışma öncesi davranışların devam ettiğini gösterir ve DDoS saldırılarını yakın bir kinetik tepkinin potansiyel bir işareti haline getirir. Bilgi savaşıyla Kremlin, dünyanın geri kalanının tepkisini Ukrayna'daki eylemlere veya diğer hedeflere yönlendirmeye çalışabilir.
Yanlış izleme, yanlış ilişkilendirme, kesintiye uğrayan iletişim ve sosyal medya manipülasyonu, Rusya'nın bilgi savaşı konseptinin önemli bileşenleridir. Yerdeki veya başka bir yerdeki faaliyetler için kalıcı kamuflaj sağlamaları gerekmez, ancak diğer eşzamanlı operasyonların hedeflerine ulaşmalarına izin vermek için yeterli gecikme, karışıklık ve çelişki sağlamaları gerekir.
Hazırla ve koru
İlginç bir şekilde, Amerika Birleşik Devletleri ve Birleşik Krallık, etkinliklerini sınırlayabilecek bazı yanlış bilgilendirme kampanyalarının önüne geçmeye çalışıyor. Ancak, saldırganların denemekten vazgeçeceğini varsaymamalıyız, bu nedenle hazırlıklı ve tetikte kalmalıyız.
Örneğin, Ukrayna'nın komşu ülkelerindeki kuruluşlar, doğrudan Ukrayna'da faaliyet göstermeseler bile çevrimiçi dolandırıcılıkların içine çekilmeye hazırlıklı olmalıdır. Önceki saldırılar ve yanlış bilgiler Estonya, Polonya ve diğer komşu devletlere, her ne kadar yalnızca tali hasar olarak da olsa, sızdı. Küresel bir perspektiften bakıldığında, Rusya'daki bir dizi “vatansever” serbest çalışanın, yani fidye yazılımı suçlularının, kimlik avı yazarlarının ve botnet operatörlerinin anavatan karşıtı olarak algılanan hedeflere karşı her zamankinden daha büyük bir şevkle hareket etmesini beklemeliyiz.
Rusya'nın NATO üyelerine doğrudan saldırması ve Madde V'in yürürlüğe girmesi riskini alması pek olası değil. Bununla birlikte, Rusya'nın Rusya Federasyonu ve Bağımsız Devletler Topluluğu'ndaki (BDT) ortakları dışında faaliyet gösteren suçluları kontrol altına almaya yönelik son jestleri muhtemelen sona erecek ve bunun yerine tehditler artacaktır.
Derinlemesine savunma dünyadaki en normal şey olsa da, saldırıların sıklığı ve şiddetinde bir artışla karşılaştığımızda özellikle önemlidir. Yanlış bilgilendirme ve propaganda yakında zirveye ulaşacak, ancak çatışma döngüleri alçalırken, yakında sona erecek olsalar bile, olağan dışı herhangi bir şeye karşı kapakları kapatmalı ve ağlarımızı izlemeli, tetikte olmalıyız. Çünkü hepimizin bildiği gibi Rusya-Ukrayna ihtilafıyla ilgili bir dijital saldırının kanıtlarının ortaya çıkması aylar alabilir.
Chester Wisniewski, Sophos'ta Baş Araştırmacı (Resim: Sophos).
Yazar Chester Wisniewski Hakkında
Chester Wisniewski, yeni nesil güvenlik çözümlerinin lider sağlayıcısı olan Sophos'ta Baş Araştırma Bilimcisidir. 20 yıldan fazla mesleki deneyime sahiptir.
Chester, sektöre gelişen tehditleri, saldırgan davranışlarını ve etkili güvenlik önlemlerini daha iyi anlamak için SophosLabs tarafından toplanan büyük miktardaki saldırı verilerini analiz ederek ilgili bilgileri ayrıştırır ve paylaşır. Şirketlerin kurumsal ölçekte savunma stratejileri geliştirmelerine yardımcı oldu, Sophos'un ilk e-posta güvenlik cihazının geliştirilmesinde teknik liderlik yaptı ve en büyük küresel markalardan bazıları için güvenlik planlaması konusunda danışmanlık yaptı.
Chester, Vancouver'da yerleşiktir ve RSA Konferansı, Virus Bulletin, Security BSides (Vancouver, Londra, Galler, Perth, Austin, Detroit, Los Angeles, Boston ve Calgary) ve diğerleri dahil olmak üzere endüstri etkinliklerinde düzenli olarak konuşmacıdır. Sektörün en iyi güvenlik araştırmacılarından biri olarak tanınan BBC News, ABC, NBC, Bloomberg, CNBC, CBC ve NPR dahil olmak üzere basın tarafından düzenli olarak danışılmaktadır.
Chester, siber suçlarla savaşmadığı zamanlarda InfoSec BC'deki gönüllü çalışması aracılığıyla boş zamanlarını yemek pişirerek, bisiklete binerek ve güvenliğe yeni gelenlere akıl hocalığı yaparak geçiriyor. Chester Twitter'da (@chetwisniewski).
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.