Semih Yavuz tarafından yazıldı.
Siber Espiyonaj Nedir?
Yeni petrol artık veri.Artık çağımızda elimizde herhangi bir insanın kişisel bilgilerinin ve verilerinin bulunması artık bize süper güçler vermekte olup, iş dünyasında ve ayrıca devletler arasında üstünlük sağlamaktadır. Akıllı buzdolaplarından, nükleer füze bataryalarına kadar çalışma ve yaşam ortamımızın merkezinde yer alan bilgisayarlar, içinde her türlü bilgi depolar ve veri işler. Peki bu bilgi ve verilen bizden çalınması hayatımızı nasıl etkiler? Bu yazımda Siber Espiyonaj'ın tanımına ve ne olduğuna bir göz atalım.
Siber Espiyonaj'ın Derin Tanımı
Siber espiyonaj, bir diğer adı ile siber casusluk, yabancı bir devletin, hükümetin veya rakip bir şirketin karşı devlete, hükümete veya rakibe karşı kişisel, ekonomik, siyasi veya askeri avantaj elde etmek için izni ve bilgisi olmaksızın devlet veya şirket bazında sırları, kritik bilgileri, hassas ve sınıflandırılmış verileri elde etme amacıyla yapılan siber saldırı türüdür.Devlet destekli veya temelli gizli tehdit aktörlerinin en başında gelen APT grupları, askeri ve istihbarat teşkilatlarının yetiştirdiği veya istihdam ettiği bilgisayar programcıları, mühendisler ve bilim adamlarından oluşur. Espiyonaj operasyonu hükümet aktörleri, devlet destekli veya devlet tarafından yönlendirilen gruplar veya bir hükümet adına hareket eden ve hedefleri hakkında istihbarat toplamak amacıyla sistemlere ve verilere yetkisiz erişim elde etmeye çalışan diğer kişiler tarafından da gerçekleştirilebilir.Yüksek ve pahalı teknolojik kaynaklara ve devlet bazında finansal desteğe sahip olduklarından dolayı tekniklerini çok hızla geliştirir ve değiştirirler.
Siber Espiyonaj'ın Amaçları Nelerdir?
Espiyonajın en temel motivasyonu askeri , politik veya ekonomik alanda stratejik bir avantaj, politik üstünlük, psikolojik baskı ve yıkım, sabotaj amacıyla askeri ve kritik altyapı projeleri sırlarına, hassas ve sınıflandırılmış verilere veya düşman ve hedef bilgisayar unsurlarına karşı yüksek erişim elde etmektir. Her büyük iş sektörü, çalmak, casusluk yapmak veya bozmak için belirli hedeflere sahip gelişmiş aktörler tarafından siber saldırı örnekleri kaydetmiştir. Bu hedeflenen sektörler arasında hükümet, savunma, finansal hizmetler, hukuk hizmetleri, sanayi, telekom, tüketim malları ve daha pek çok şey yer alıyor.Kimleri Hedefler?
Siber espiyonaj faaliyetleri basit bir siber saldırı değildir, bu amaca yönelik hedefleri de basit unsurlar değildir.En yaygın hedefleri arasında, karşı bir kuruluş veya hükümet için rekabet avantajı yaratabilecek değerli IP adresleri, teknik veriler, savunma sanayisi gibi önemli ve kritik projelere sahip büyük şirketler, devlet kurumları, akademik kurumlar, düşünce kuruluşları veya siyasi kuruluşlardır.Hangi Varlık ve Unsurları Hedefler?
- Siyasi stratejiler, bağlantılar ve iletişim kanalları
- AR-GE faaliyetleri, verileri ve planları
- Askerî sırlar
- Savunma sanayi projeleri
- Teknik, stratejik, operasyonel istihbarat
- Akademik araştırma verileri
- Önemli IP adresleri
- İş hedefleri ve pazarlama taktikleri
- Müşteri, kullanıcıların kişisel bilgileri, ödeme yapıları
Hangi Sektörleri Hedefler?
- Enerji
- Tarım
- Teknoloji
- Ulaşım
- Sağlık
- İletişim
- Üretim
- Finans
- Eğitim
Yaygın Siber Casusluk Taktikleri
Genel olarak siber espiyonaj faaliyetleri, gelişmiş kalıcı tehdit (APT) grupları tarafından gerçekleştirilir. Bir APT grubu, bir saldırganın hassas verileri uzun bir süre boyunca çalmak için bir uzun süreler boyunca kış uykusuna yatan ve ağda algılanmayan bir varlık oluşturan karmaşık, finansman olarak çok yüksek element ve fonlamalara sahip, iyi planlanmış, sürekli ve üst düzey teknik bilginin kullanıldığı komplex siber saldırılardır. Bir APT saldırısı, belirli bir devlet veya özel kuruluşa sızmak ve uzun süreler boyunca mevcut güvenlik önlemlerine yakalanmaması için çok hassas ve ince detaylarla planlanır ve tasarlanır. APT saldırılarını gerçekleştirmek geleneksel bir saldırıya göre daha yüksek derecede gelişmiş bilgi düzeyi gerektirir. Saldırıları gerçekleştiren ekip genellikle yüksek değerli kuruluşları hedef alan, devletlerce veya teknoloji devleri gibi büyük kuruluşlarca finanse edilen, son derece deneyimli kişilerden oluşur.Çoğu siber espiyonaj saldırısı düşman unsurlara ilk olarak sosyal mühendislik ataklarıyla yaklaşır. Bu yöntem saldırıya yardımcı olması planlanan gerekli bilgileri hedef unsurlarıyla iletişime geçerek toplamaya yardımcı olur. Sosyal mühendislik saldırıları genellikle korku, merak, empati veya heyecan gibi insan doğasının sahip olduğu duyguları hedef unsurun hızlı veya düşüncesizce hareket etmesini sağlayarak psikolojik üstünlük kurar. Bunu yaparken siber suçlular, kurbanlarını kandırarak fiziksel yollarla, sosyal medya ya da telefon veya mail gibi iletişim araçlarını kullanarak hedefe istediği aksiyonları aldırtmaya çalışır. Night Dragon olarak bilinen, devlete yönelik şüpheli bir siber espiyonaj operasyonun failleri, birden fazla ülkedeki küresel enerji şirketlerinin kritik sistemlerine yetkisiz erişim sağlamak ve operasyonları hakkında bilgi edinmek için sosyal mühendislik taktikleri ve kötü amaçlı yazılımların bir kombinasyonunu kullandı.
Örnek olarak saldırı teknikleri:
- Supply Chain Saldırıları :Supply Chain saldırısı, tedarik zinciri için hayati önem taşıyan hizmetler veya yazılımlar sunan güvenilir bir üçüncü taraf satıcının ürünlerindeki güvenli olmayan ağ protokollerinin, güvenli olmayan kodları ve korumasız sunucu altyapılarını hedef alan bir tür siber saldırıdır. Yazılım tedarik zinciri saldırıları, bir uygulamanın tüm kullanıcılarına bulaşmak için bir uygulamaya kötü amaçlı kod enjekte ederken, donanım tedarik zinciri saldırıları aynı amaç için fiziksel bileşenleri tehlikeye atar. Bir devletin tedarik zinciri ihlal edildiğinde hassas ve gizli bilgilerin çalınmasından hayati kamu hizmetlerinin çökmesine kadar çok sayıdaki istenmeyen sonucu doğurabilir.
- Spear-Phishing : Spear-Phishing genellikle kötü niyetli nedenlerle önceden belirlenmiş bir kişiden, kuruluştan veya işletmeden e-mail veya elektronik iletişim araçları aracılığıyla hassas bilgileri ve sınıflandırılmış verileri çalmaya yönelik bir etkisi oldukça yıkıcı olabilen bir sosyal mühendislik saldırısıdır.
- Zero-Day Açıkları: Genellikle bir yazılımda veya donanımda bir zafiyetin keşfedildiği gün, çok uzun zamandan beri o zafiyetin daha önceden bir çok kez bilgisayar korsanları tarafından istismar edilmiş olması durumudur. Açık yeni keşfedilirliği için başarı şansı oldukça yüksektir ve yapılan saldırıları önleme veya tespit etme gibi aksiyonlar aniden alınamaz.
- Watering Hole Saldırısı: Bu saldırı, hedeflenen bir kuruluştaki veya özellikle savunma, devlet veya sağlık gibi tüm kritik sektördeki kullanıcılar tarafından sıkça kullanılan gözü kapalı indirme işlemi yapacak kadar güvenilir bir web sitesini tespit ederek gerçekleştirilir. Daha sonra bu web sitesi, kötü amaçlı yazılımın dağıtımını sağlamak için ele geçirilir. Saldırganlar, ana hedefin güvenlik tarafındaki zayıflıklarını tespit eder, ardından bu zayıflıkları istismar edecek RAT gibi zararlı yazılımlar ile hedef unsurlara iletmek için siteyi manipüle eder.
- İç Aktörler: İç aktör, personel, tesisler, bilgi, ekipman, ağlar ve sistemler dahil olmak üzere bir kuruluşun tüm kritik kaynaklarına erişim yetkisi olan veya bu kaynaklar hakkında bilgi sahibi olan herhangi bir kişidir. Bu kişi, bilerek veya bilmeyerek, kamu veya özel kuruluşun misyonuna, kaynaklarına, personeline, tesislerine, bilgisine, ekipmanına, ağlarına zarar vermek için yetkili erişimini kötüye kullanabilir. Bu zarar, kuruluşun, verilerinin, personelinin veya tesislerinin bütünlüğünü, gizliliğini ve kullanılabilirliğini olumsuz yönde etkileyen kötü niyetli, kayıtsız veya kasıtsız eylemleri içerebilir.
Siber Espiyonajın Küresel Etkisi
Siber espiyonaj özellikle devlet bazında organize edildiğinde ve yürütüldüğünde, etkileri son derece yıkıcı olabilen bir güvenlik tehdididir. Siber espiyonajın etkisi, özellikle askeri veya siyasi kampanyaların parçası olduğunda, kamu hizmetlerinin ve kritik altyapılarının kesintiye uğramasına ve kişilerin can kaybına yol açar. Bu tür faaliyetleri engellemeye yönelik bir dizi kanuna ve mevzuata rağmen, suçluların çoğu, ülkeler arasında suçluların iadesine ilişkin anlaşmaların olmaması ve bu konuyla ilgili uluslararası hukukun uygulanmasının zorluğu nedeniyle hala serbest durumda ve en ciddi vakalar genellikle suçluların iadesine tabi olmayan ülkelerdeki yabancı aktörleri içeriyor. Bu nedenle, kolluk kuvvetleri, istihbarat servisleri özellikle yurtdışında faaliyet gösteren siber suçluları takip etme ve aksiyon alma konusunda konusunda nispeten etkisi düşüktür.Siber Espiyonaj Örnekleri
ABD, Çin'in kendi beşinci nesil hayalet uçağını üretmek için F-35 savaş uçaklarında kullanılan teknolojiyi çaldığını iddia etmişti ve Çin'in F-35 bilgilerini çalmadaki rolüne ilişkin şüphe, ilk olarak, eski Merkezi İstihbarat Teşkilatı ve eski Ulusal Güvenlik Dairesi çalışanı Edward Snowden'in 2015 yılında Alman gazetesi Der Spiegel ile paylaşılan kayıtlar, bazı gizli belgeleri sızdırdığı iddia edildikten sonra kamuya mal oldu. Bu sızıntı Çinli bilgisayar korsanlarının F-35 Lightning II ortak taarruz uçağı hakkında çok gizli bilgilere erişebildiğini gösteriyordu. İçeridekilere göre, veri sızıntısı 2007 yılında ana taşeron üretici Lockheed Martin'de meydana geldi. Buna benzer Rus bilgisayar korsanlarının ABD ordusu tarafından kullanılan drone teknolojilerini çalmaya çalışan birkaç ABD şirketine saldırdığı benzer bir olayı bildirdi.Solarwinds
Yakın tarihte Rusya destekli Cozy Bear grubunun SolarWinds şirketine gerçekleştirdiği SunBurst saldırısı ABD hükümetine, önemli kurumlarına ve Amerikan şirketlerine karşı şimdiye kadar hedef alınan en büyük siber espiyonaj saldırılardan biriydi. Saldırının ana hedefi Amerika Birleşik Devletleri olmakla birlikte, Ticaret Bakanlığı (Department of Commerce), İç Güvenlik Bakanlığı (Homeland Security), Dışişleri Bakanlığı (Department of State) ve Hazine Bakanlığı (Department of Treasury) gibi Amerika’ya ait önemli devlet kurumları saldırıdan büyük ölçüde etkilenen yerler olmuştur.Operation Aurora
Operation Aurora, İlk olarak Google tarafından 12 Ocak 2010'da bir blog yazısında duyurulan Çin'in Pekin kentinde bulunan ve Halk Kurtuluş Ordusu ile bağlantılı olan Elderwood APT grubu tarafından 2009'un ortalarında başlayan ve Aralık 2009'a kadar gerçekleştirilen bir dizi siber espiyonaj saldırısıdır.Saldırı, Adobe Systems, Akamai Technologies, Juniper Networks ve Rackspace'in hedef alındıklarını açıkça doğruladığı ve düzinelerce başka kuruluşu da hedef aldı. Basında çıkan haberlere göre Yahoo, Symantec, Northrop Grumman, Morgan Stanley ve Dow Chemical da hedefler arasındaydı.COVID-19 Araştırmaları
Yakın zamanda, siber espiyonaj aktörleri COVID-19 salgınıyla ilgili araştırma operasyonlarına odaklandı. Nisan 2020'den bu yana ABD, İngiltere, İspanya, Hindistan ,Güney Kore, Japon ve Avustralya laboratuvarlarına karşı korona virüs araştırmalarını hedefleyen sızma faaliyetleri rapor edilmiştir; bu operasyonlar genel olarak Rus, İranlı, Çinli ve Kuzey Koreli aktörler tarafından gerçekleştirilmiştir.- Temmuz 2020'de ABD Adalet Bakanlığı, verilerini çalmak amacıyla Covid-19 ile ilgili tıbbi araştırmalara katılan iki Çin vatandaşını Moderna'yı casusluk yapmakla suçladı.
- Ekim 2020'de Hindistan'da bulunan Dr. Reddy's Laboratories isimli ilaç şirketi bir siber espiyonaj saldırısının kurbanı oldu. Sunucularında bir veri ihlali rapor edildikten sonra şirket, saldırıyı kontrol altına almak için tesislerini kapatmak ve dünya çapındaki veri merkezlerini izole etmek zorunda kaldı.
- Kasım 2020'de Çin, Rusya, İran ve Kuzey Kore devlet destekli aktörler, İngiliz ilaç üreticisi AstraZeneca'yı hedef alarak değerli Covid-19 aşı sırlarını çalmaya çalıştı. Aktörler, kötü niyetli kodlar yerleştirilmiş uydurma iş ilanları kullanarak AstraZeneca çalışanlarını hedef aldılar.
- Aralık 2020'de IBM, Covid-19 aşılarının dünya çapında dağıtılmasına yardımcı olan uluslararası aşı ittifakı GAVI (Global Alliance for Vaccines and Immunization) ile bağlantılı aşı tedarik zincirinin siber espiyonaj saldırıları tarafından hedef alındığını bildirdi. Aşıları nakliye sırasında doğru sıcaklıkta tutmak için kullanılan lojistik ağı, phishing e-mailleri içerisine saklanan kötü amaçlı kodlarla hedef alındı. IBM'e göre, saldırganların kimliği belli olmasa da, yöntemlerinin karmaşıklığı devlet destekli aktörlere işaret ediyordu.
GhostNet
GhostNet, The Information Warfare Monitor (IWM)'deki araştırmacılar tarafından Mart 2009'da keşfedilen Çinli tehdit aktörleri tarafından gerçekleştirilen büyük ölçekli bir siber espiyonaj operasyonuna verilen isimdir. Operasyon, büyük olasılıkla APT aktörü veya tespit edilmeyen bir spyware ile ilişkilendiriliyor. Komuta ve kontrol (C&C) altyapısı Çin Halk Cumhuriyeti'nde bulunuyor ve GhostNet 103 ülkedeki yüksek değerli ve kritik siyasi, ekonomik ve medya kurumlarına sızmıştır. Büyükelçiliklere, dışişleri bakanlıklarına ve diğer devlet dairelerine ait bir çok kritik bilgisayar altyapıları ile birlikte Çin Halk Kurtuluş Ordusuna karşı hayata geçirilen Dalai Lama'nın Hindistan, Londra ve New York City'deki sürgün merkezlerinin güvenliği ihlal edildi.Devlet Destekli Aktörler
Yukarıda anlattığım gibi, en gelişmiş siber espiyonaj operasyonlarının çoğu, iyi finanse edilen, devlet bazında tehdit aktör ekipleri tarafından koordine edilmektedir. Önde gelen devlet aktörleri ve tanınmış siber espiyonaj gruplarına örnek olarak:COZYBEAR(APT29)
Cozy Bear, 2008'den beri faaliyet gösteren bir veya daha fazla Rus istihbarat teşkilatına bağlı olduğu iddia edilen ve genellikle Avrupa ve NATO üye ülkelerindeki kritik hükümet altyapılarını, ağlarını, araştırma enstitülerini ve düşünce kuruluşlarını hedef alan bir Rus APT grubudur. ABD federal hükümeti, bu grubu gelişmiş kalıcı tehdit APT29 olarak sınıflandırır. Grup, MSSP müşterilerine bulaşmak için truva atlı yazılım güncellemelerinin kullanıldığı SolarWinds Supply Chain saldırısı gibi yüksek oranda hedefli saldırılar başlatmak için gelişmiş yeteneklere sahiptir.MUDDYWATER
MERCURY veya Static Kitten olarak da bilinen MuddyWater, 2019'dan beri istikrarlı bir şekilde gelişen, öncelikle Orta Doğu ülkelerini hedef alan ve aynı zamanda Avrupa ve Kuzey Amerika ülkelerinin telekomünikasyon, petrol ve havayolu endüstrisi ve kamu kuruluşlarının BT sistemleri gibi kritik altyapılarını hedef alan, yakın zamanda USCYBERCOM tarafından İran İstihbarat ve Güvenlik Bakanlığı'na (MOIS) atfedilen İranlı bir APT grubudur.HELIX KITTEN(APT34)
HELIX KITTEN, muhtemelen en az 2015'in sonundan beri faaliyet gösteren ve havacılık, enerji, finans, hükümet, konaklama, telekomünikasyon gibi kritik alanlarındaki kuruluşları hedef alan İran merkezli bir APT grubudur. Hedeflenen personelle oldukça alakalı, iyi araştırılmış ve yapılandırılmış sofistike bir spear-phishing saldırısı gerçekleştirirler."Helminth" olarak tanımlanan özel bir PowerShell implantı , obfuscate edilmiş Visual Basic Script (.VBS) dosyasını yürütmek için kullanıcı etkileşimi gerektiren makro etkinleştirilmiş Microsoft Office belgeleri aracılığıyla hedef kişilere gönderirler.Siber Espiyonaj Tespit ve Önleme
Bilgisayarlar insan yapımıdır. Kullandığımız yazılımların güvenlik açıkları olması kadar normal bir durum yoktur. Şirketleri ve hükümetleri siber espiyonajdan korumak için %100 etkili bir güvenlik çözümü yoktur. Kuruluşlar ve hükümetler için şu anda en önemli endişe, güvenlik politikası ve prosedürleri konusunda güncel olmaktır. Riskleri düzenli olarak değerlendirmek ve beklenmedik bir şekilde ortaya çıkabilecek her türlü zafiyete karşı hazır bir güvenlik politikasına sahip olmak. Şirketler, günlük güvenlik prosedürlerine ve bir saldırı ortaya çıkar çıkmaz takip etmek için hazır bir olay müdahale planına sahip olmak zorundadır.Espiyonaj saldırılarına karşı alınabilecek önlemler aşağıda sıralanmıştır:
- Tüm cihazlarda kullanılan yazılımlar sık sık en son sürümüne güncellenmelidir.
- Şüpheli ya da değil gelen E-maillerin ekleri herhangi bir tarama yapılmadan indirilmemeli ve mail içindeki site bağlantılara şüphe ile yaklaşılmalı, kaynağı ve sertifikaları doğrulamalısınız.
- İnternette gezinirken hassas ve gizli verilerinizin güvenliğini sağlamak ve kimliğinizi korumak için VPN kurabilirsiniz.
- Tüm hesaplarınız için farklı ve benzersiz parolalar kullanmalısınız, zorlanıyorsanız parola yöneticisi hizmeti alabilirsiniz.
- Tüm online hesaplarınızda mümkün olduğunca multifaktör kimlik doğrulamayı kurun.
- Phishing saldırılarına karşı kendinizi ve ekibinizi eğitin.