Altı aylık Ukrayna savaşına bir bakış: Rus siber saldırıları hangi stratejiyi izledi ve şimdiye kadar ne kadar etkili oldu? Siber savaş 4 stratejiye göre yürütüldü: imha, dezenformasyon, bilgisayar korsanlığı ve e-casusluk. Sophos Baş Araştırma Bilimcisi Chester Wisniewski'nin yorumu.
Rusya, 24 Şubat 2022'de Ukrayna'yı işgal ettiğinde, birçok değerlendirme girişimine rağmen, siber saldırıların tam ölçekli bir işgalde nasıl bir rol oynayabileceğini hiçbirimiz bilmiyorduk. Rusya, 2014 yılında Kırım'ı işgal ettiğinden beri Ukrayna'ya yönelik siber saldırılar düzenliyordu ve bu araçların rol oynamaya devam etmesi kaçınılmaz görünüyordu. özellikle Ukrayna elektrik şebekesine yapılan saldırılardan sonra ve NotPetya solucanının dünya çapında yayılması.
Siber saldırıların etkinliğini veya etkisini değerlendirmedeki zorluklardan biri, "büyük resme" nasıl uyduklarını görmektir. Bir çatışmanın ortasındayken, savaşın "bilgi sisi" genellikle belirli bir eylemin etkinliğine ilişkin görüşümüzü gizler ve çarpıtır. Şimdi savaşın üzerinden altı ay geçmişken, geriye dönüp siber silahların o ana kadarki rolünü belirlemeye çalışalım.
Ukrayna'ya 1.100'den fazla siber saldırı
Ukrayna Devlet Özel İletişim ve Bilgi Koruma Servisi'ne (SSSCIP) göre, Ukrayna, savaşın başlangıcından bu yana 1.123 kez saldırdı. Hedeflerin %36,9'u hükümet/savunma idi ve saldırıların %23,7'si kötü amaçlı kod ve %27,2'si istihbarat toplamaydı.
Savaşın siber bileşeni, kara işgalinden yaklaşık 24 saat önce başladı. Çatışma günlüğümde, DDoS saldırılarının ve silme saldırılarının 23 Şubat'ta yerel saatle 16:00 civarında başladığını not ettim. Hemen ardından çok sayıda saldırı ve teknik paralel olarak kullanıldığından kafa karıştırıcı bir hal aldı. Yoğunluğu, etkililiği ve hedefleri daha iyi analiz edebilmek için bu saldırıları dört kategoriye ayırdım: imha, dezenformasyon, bilgisayar korsanlığı ve casusluk.
1. Strateji: İmha
Savaş Rusya için planlandığı gibi ilerlemediğinden, bu tekniklerin bir kısmı savaşın farklı aşamalarında farklı şekillerde kullanılmıştır. İlk ve en bariz olanı, yıkıcı kötü amaçlı yazılım aşamasıydı. SSSCIP'e göre Ocak 2022 itibariyle, Rus ve Rus yanlısı saldırganlar, bir sistemin içeriğini silmeyi veya onu çalışmaz hale getirmeyi amaçlayan, silici ve önyükleme sektörünü değiştiren kötü amaçlı yazılımları yayınlamaya başladı. Öncelikle Ukraynalı hizmet sağlayıcıları, kritik altyapıyı ve devlet kurumlarını hedef aldılar.
Bu saldırılar, çatışmanın ilk altı haftası boyunca devam etti ve ardından zayıfladı. Bu faaliyetin çoğu 22 ve 24 Şubat tarihleri arasında, yani işgalin hemen öncesinde ve işgal sırasında yoğunlaştı. Bu faaliyetlerin Ukrayna'daki çeşitli sistemler üzerinde bir etkisi oldu, ancak nihayetinde Rus kara işgalinin başarısı üzerinde olumlu bir etkisi olmuş gibi görünmüyor.
Bunun bir nedeni, bu saldırılardan birkaç gün önce Ukrayna hükümetinin resmi çevrimiçi işlevlerinin birçoğunu, savaşa dahil olmayan üçüncü taraflarca yönetilen ve kontrol edilen bir bulut altyapısına taşıması olabilir. Bu, müdahaleyi önledi ve Ukrayna'nın birçok hizmeti sürdürmesine ve dünyayla iletişim kurmasına izin verdi. Bu, Gürcistan'ın 2008'de Rusya'nın ülkeye yönelik DDoS saldırıları sırasında önemli hükümet web sitelerini üçüncü ülkelere taşıdığı zamanki benzer bir hareketi anımsatıyor.
Viasat saldırısı çok etkiliydi ve Alman rüzgar türbinlerini de etkiledi.
Bir başka yıkıcı saldırı, tam işgal başlarken Orta ve Doğu Avrupa'da konuşlandırılmış Viasat uydu iletişim modemlerine yapılan saldırıydı. Reuters'ten Raphael Satter'e göre, Ukraynalı üst düzey bir siber güvenlik yetkilisi, bunun "savaşın başlangıcında gerçekten büyük bir iletişim kaybına" neden olduğunu açıkladı. Bu saldırı aynı zamanda NATO üyelerine tali hasar verdi ve diğer şeylerin yanı sıra Almanya'daki 5.800'den fazla rüzgar türbininin işletimini kesintiye uğrattı.
Bu muhtemelen savaş sırasında şimdiye kadar yapılan tüm saldırıların en etkilisidir. Çoğu uzmanın Rusya'nın 72 saatlik bir savaş planladığına dair spekülasyon yaptığı göz önüne alındığında, bu strateji işe yararsa, askeri iletişimdeki bir kesintinin Ukrayna üzerinde önemli bir olumsuz etkisi olabilirdi. Ek olarak, Ukraynalı komutanlar kesintiyi en aza indirmek için yeniden bir araya gelip alternatif bağlantılar kurabildiler. Uzun vadede Rusya, komuta zinciriyle Ukrayna'dan çok daha fazla mücadele ettiğini kanıtladı. Belki de kısmen Microsoft ve ESET gibi teknoloji şirketlerinin yanı sıra ABD istihbarat teşkilatlarının desteği sayesinde, Ukrayna'nın yıkıcı saldırıları püskürtmedeki başarısı etkileyici olmuştur.
Industroyer2 kötü amaçlı yazılımı Ukraynalı enerji şirketine saldırdı
Kritik altyapıyı hedef alan en karmaşık kötü amaçlı yazılım tehditlerinden biri, Ukraynalı bir kamu hizmeti şirketinin ağında tespit edildiğinde fark edildi ve etkisiz hale getirildi. Industroyer2 olarak bilinen kötü amaçlı yazılım Windows, Linux ve Solaris'i hedefleyen geleneksel silicilerin ve elektrik şebekesini kontrol etmek ve izlemek için kullanılan operasyonel teknolojiyi (OT) hedef alan ICS'ye özgü kötü amaçlı yazılımların bir kombinasyonuydu.
Microsoft yakın tarihli bir raporda, birçok Rus siber saldırısının Dnipro, Kiev ve Vinnytsia Havaalanı'ndaki geleneksel saldırılarla koordineli göründüğüne dikkat çekti. Ancak siber bileşenin Rus saldırısındaki belirgin ilerlemelere katkıda bulunduğuna dair hala bir kanıt yok. Tahminime göre, yıkıcı siber operasyonların şimdiye kadar gerçek savaş olaylarının sonucu üzerinde neredeyse hiçbir etkisi olmadı. Pek çok insana fazladan iş verdiler ve pek çok manşet attılar, ancak yapmadıkları şey savaşta gerçek bir fark yaratmadı.
Strateji 2: dezenformasyon
Dezenformasyon stratejisi üç grubu hedef aldı: Ukrayna halkı, Rusya'nın kendisi ve dünyanın geri kalanı. Rusya, siyasi sonuçlara ulaşmak için dezenformasyonu bir silah olarak kullanmaya yabancı değil. Orijinal görev, hızlı bir zafer ve kukla bir hükümetin kullanılmasını öngörmüş görünüyor. Bu planla birlikte dezenformasyon önce iki etki alanında, ardından ilerledikçe üç etki alanında kritik hale gelecekti.
En bariz hedef Ukrayna halkıdır - onlar Rusya'nın bir kurtarıcı olduğuna ikna edilmeli (olmalı) ve sonunda Kremlin yanlısı bir lideri kabul etmelidir. Ruslar, SMS ve geleneksel sosyal medya yoluyla çok sayıda etkileme girişiminde bulunmuş gibi görünseler de, giderek daha vatansever hale gelen Ukrayna, bu girişimin başından beri başarılı olma ihtimalini düşük tuttu.
Rusya içindeki dezenformasyon
Rusya, ikinci en önemli hedefi olan kendi ülkesindeki dezenformasyonda çok daha başarılı oldu. Yabancı ve bağımsız medyayı büyük ölçüde yasakladı, sosyal medyaya erişimi engelledi ve Ukrayna işgaliyle bağlantılı olarak "savaş" kelimesinin kullanılmasını suç saydı. Bu eylemlerin genel nüfus üzerindeki etkisini gerçekten ölçmek zordur, ancak anketler propagandanın işe yaradığını gösteriyor - ya da en azından kamuya açıklanabilecek tek görüş "askeri özel operasyonlara" destek.
Savaş uzadıkça dezenformasyonun üçüncü hedefi dünyanın geri kalanı. Hindistan, Mısır ve Endonezya gibi bağlantısız ülkeleri etkilemeye çalışmak, onları Birleşmiş Milletler oylarında Rusya'ya karşı oy kullanmaktan caydırabilir ve potansiyel olarak onları Rusya'yı desteklemeye ikna edebilir.
Dünya çapındaki medya için propaganda
ABD biyolojik silah laboratuvarları, denazifikasyon ve Ukrayna ordusu tarafından sözde soykırım hakkında yayılan hikayeler, Batı medyasının çatışma tasvirine meydan okumayı amaçlıyor. Bu etkinliğin çoğu, güvenliği ihlal edilmiş hesaplar veya herhangi bir tür kötü amaçlı yazılımdan ziyade, önceden var olan kişilerin dezenformasyon oluşturmasından kaynaklanıyor gibi görünüyor.
Dezenformasyonun bir etkisi olduğu açıktır, ancak yıkıcı saldırılar gibi savaşın sonucunu hiçbir şekilde doğrudan etkilemez. Siviller Rus birliklerini kurtarıcı olarak kabul etmiyor ve Ukrayna kuvvetleri silahlarını bırakmıyor veya teslim olmuyor. ABD ve Avrupa hala Ukrayna'yı destekliyor ve Rus halkı temkinli görünüyor ama isyankar değil. En önemlisi, son günlerde Ukrayna kuvvetleri Rus kontrolündeki bölgeleri geri aldı ve hatta Kharkiv yakınlarındaki bazı siviller tarafından kurtarıcılar olarak memnuniyetle karşılandı.
Strateji 3: Hacktivizm
🔎 Chester Wisniewski, Sophos'ta Baş Araştırmacı (Resim: Sophos).
Rusya ve Ukrayna'daki tanınmış, son derece deneyimli bilgisayar korsanları siber silahlar alıp her biri kendi tarafını destekleyen kötü niyetli saldırı dalgaları mı başlatacak? Savaşın başlarında durum böyle olabilirmiş gibi görünüyordu. Conti ve Lockbit gibi bazı tanınmış siber suç grupları hemen bir taraftan diğerinden yana olduklarını açıkladılar, ancak çoğu umursamadıklarını ve her zamanki gibi devam edeceklerini söyledi. Ancak ilk istiladan sonra yaklaşık altı hafta boyunca fidye yazılımı saldırılarında önemli bir düşüş gördük. Saldırıların normal hacmi Mayıs ayı başlarında yeniden başladı ve bu da bizim gibi suçluların da tedarik zinciri kesintileri yaşadığını gösteriyor.
En kötü şöhretli gruplardan biri olan Conti'nin sızıntı sitelerinde Batı'ya karşı tehdit edici açıklamalar yapması, Ukraynalı bir araştırmacının kimliklerini ve uygulamalarını ifşa etmesine ve sonunda dağılmalarına yol açtı.
Conti'deki iç savaş dağılmalarına neden oldu
Öte yandan, her iki taraftaki bilgisayar korsanları savaşın ilk günlerinde aşırı hızlandı. Web tahrifatları, DDoS saldırıları ve diğer önemsiz saldırılar, savunmasız ve Rus veya Ukraynalı olduğu açıkça tanımlanabilen hemen hemen her şeyi hedef aldı. Ancak bu aşama uzun sürmedi ve kalıcı bir etkisi yok gibi görünüyor. Araştırmalar, bu grupların hızla sıkıldığını ve bir sonraki dikkat dağıtmaya geçtiğini gösteriyor. Burada da faaliyetler savaş üzerinde maddi etkilere yol açmadı - ancak ilgili bilgisayar korsanlarının kutlamış olabileceği şakalara yol açtı. Örneğin, yakın zamanda bir grubun Yandex Taksi'yi hacklediği ve tüm taksileri Moskova'nın merkezine yönlendirerek trafik sıkışıklığına neden olduğu iddia edildi.
Kategori 4: E-casusluk
Son kategori, nicelleştirmesi en zor olanıdır, çünkü doğası gereği belirsiz olan bir şeyin etkisini değerlendirmek özünde karmaşıktır. Bu savaşta ne kadar kapsamlı bir casusluk yapıldığını tahmin etmenin en umut verici yolu, girişimlerin keşfedildiği zamanlara bakmaktır. Daha sonra, girişimlerin ne sıklıkta başarısız oldukları göz önüne alındığında, ne sıklıkta başarılı olabileceğini tahmin etmeye çalışabilirsiniz.
Yıkıcı saldırılardan farklı olarak, e-casusluk saldırıları, örtülü yapıları ve buna bağlı olarak tespit edilme güçlükleri nedeniyle, yalnızca Ukrayna'ya değil, tüm düşman hedeflerine karşı yararlıdır. Dezenformasyonda olduğu gibi, bu alanda da Ukrayna'nın destekçilerini hedef alan faaliyetler, ABD ve NATO müttefiklerinin kara savaşına enjekte edebilecekleri diğer saldırı türlerinden çok daha fazladır.
Daha fazla savaş güdümlü siber saldırı
Ukraynalı olmayan şirketlere yönelik saldırı iddiaları dikkatle değerlendirilmelidir. Rusya'nın kötü amaçlı yazılımlar, kimlik avı saldırıları ve veri hırsızlığıyla ABD'yi, Avrupa Birliği'ni ve diğer NATO üye devletlerini hedef alması yeni bir şey değil, ancak bazı durumlarda saldırıların özellikle Ukrayna'daki savaştan kaynaklandığına dair ikna edici kanıtlar var.
Mart 2022'de Google'ın Tehdit Analizi Grubu (TAG), ABD merkezli STK'ları ve düşünce kuruluşlarını, bir Balkan ülkesinin ordusunu ve bir Ukraynalı savunma müteahhitini hedef alan Rus ve Belarus kimlik avı saldırılarını vurgulayan bir rapor yayınladı. Proofpoint ayrıca, mültecilere destek için çalışan AB yetkililerinin, daha önce Rus istihbaratı tarafından ele geçirildiği iddia edilen bir Ukrayna e-posta hesabından başlatılan kimlik avı kampanyalarının hedefi olduğunu gösteren bir araştırma da yayınladı.
Rusya'nın Ukrayna hedeflerine yönelik saldırıları son altı ayda azalmadı ve her zaman en son güvenlik açıklarından kamuya açıklanır açıklanmaz yararlandı. Örneğin, Temmuz 2022'de Rusya merkezli bir siber suç grubu kilit oyuncular arasındaydı, yaniMicrosoft Office'teki "Follina" adlı yeni bir güvenlik açığından kapsamlı bir şekilde yararlandılar.. Görünüşe göre bu kampanyada kötü amaçlı belgelerin hedeflerinden biri, savaş sırasında önemli bir araç olan medya kuruluşlarıydı.
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.