FBI’ın Kiev’deki ABD büyükelçiliğindeki hukuk ataşesi yardımcısı Ajan Alex Kobzanets açıklamasına göre FBI, Ukrayna’lı yetkililerin savaş suçları soruşturmalarından elde ettikleri büyük miktarda veriyi işlemesine yardımcı oluyor. Rusya’nın geçen yıl Ukrayna’yı işgali öncesinde ve onu takip eden çatışma boyunca, Ukrayna sistemlerini hedef alan bir çok siber saldırı düzenlediği raporlandı. Bu olayların araştırılması, hangi verilerin çalındığı ya da siber saldırıların dijital parmak izleri gibi pek çok verinin toplanmasını ve düzenlenmesini gerektiriyor.
Kobzanets RSA güvenlik konferansında katıldığı panelde, Ukrayna ordusu, ulusal polis gücü ve diğer müfettişlerin yalnızca siber saldırılarla ilgili değil, aynı zamanda savaş suçu işlediği iddia edilen kişilere bağlı cep telefonu konum verileri gibi bilgilerle ilgili “çok sayıda dijital bilgi topladığını” söyledi. Kobzanets, FBI’ın bu tür soruşturmaların ortaya çıkardığı “büyük veri sorunlarını” çözebilecek yer olduğunu söyledi.
FBI, Ukraynalı müfettişlerin ihtiyaç duydukları verileri ABD’li servis sağlayıcılardan almalarına yardımcı olmak için çalışıyor ve son zamanlardaki en yüksek profilli soruşturmalarından birinden dersler çıkarıyor. ABD Kongre Binası’na yapılan saldırıya ilişkin genişleyen soruşturmaya atıfta bulundu :
“Bu verilerin toplanması ve bu verilerin analizi ve bu veriler üzerinde çalışmak, FBI’ın 6 Ocak soruşturmalarımızda deneyim sahibi olduğu bir şeydir”
Ancak Ukraynalı müfettişlerin Rus bilgisayar korsanlarına veya sivil altyapıya saldırı emri veren yetkililere karşı savaş suçları iddiasında başarılı olup olmayacakları belirsizliğini koruyor. Sivil altyapıya yönelik siber saldırıların bir savaş suçu olarak kovuşturulması, denenmemiş bir hukuk teorisi olmaya devam ediyor. Sonucunu göreceğiz.
Panelin diğer konuşmacısı Ukrayna Savunma Bakanlığı altındaki Bilgi Güvenliği Başkanı Illia Vitiuk, davaların Uluslararası Ceza Mahkemesine gitmesi gerektiğini belirtti :
“GRU ve SVR gibi özel kuvvetlerden ve özel hizmetlerden sorumlu askeri komutanların sivil altyapıya yönelik siber saldırılardan sorumlu olduğuna inanıyorum”
Vitiuk, teşkilatının devam eden başka davalar için bilgi ve kanıt toplamaya devam ettiğini, ancak bu tür operasyonlar hakkında bilgi toplamanın zor olduğunu da sözlerine ekledi.
Rusya’nın Ukrayna’nın sivil altyapısına yönelik saldırılarını kovuşturmaya ilişkin kanıtlar, 2022 işgalinden önceye dayanıyor. 2015 ve 2016’da Rus askeri istihbaratı, Ukrayna elektrik tesislerine kötü amaçlı yazılımla hedef aldı ve Rus kuvvetleri geçen yıl Ukrayna’yı işgale başladıktan sonra da, Rus kuvvetleri siber saldırı kullanarak bir kez daha elektriği kesmeye çalıştı, ancak Nisan ayında meydana gelen bu saldırı büyük ölçüde engellendi.
İşgalin ardından Rus güçleri, Ukrayna’daki kamu ve özel kuruluşları hedef alan yıkıcı siber saldırı dalgaları ve Ukraynalı sivilleri psikolojik olarak terörize etmek için tasarlanmış bilgi operasyonları gerçekleştirdi.
Vitiuk, ABD hükümeti, FBI ve bir dizi özel sektör teknoloji firmasının desteğinin Ukrayna’nın çok daha büyük bir düşmana karşı direnmesine yardımcı olduğunu söyledi. Çatışmayı dünyanın ilk “tam ölçekli siber savaşı“ olarak nitelendirdi ve “Ukrayna, kudretli Rus bilgisayar korsanları hakkındaki efsaneyi çürüten bir ülke“ dedi.
Google Raporunda Ukrayna-Rusya Siber Savaşı
İnternetteki konumu nedeniyle Google, Ukrayna savaşının dijital yönlerini izlemek ve analiz etmekte herkesten önde. Eylül 2022’de Google’ın Tehdit Analizi Grubu tarafından yayınlanan raporda da ilginç bilgiler var. Dünya çapında devlet destekli bilgisayar korsanlığı operasyonlarını, 1 milyar kullanıcısının güvenliği için izleyen ve engellemek için çalışan bir ekibin raporu şöyle diyor :
“Eşzamanlı yıkıcı saldırılar, casusluk ve bilgi operasyonları modeli var – muhtemelen üçünün de geleneksel bir savaşta devlet aktörleri tarafından aynı anda yürütüldüğü ilk örnek”.
Rapora göre, Google’ın gözlemlediği binlerce dijital saldırı, halkın savaşa ilişkin algısını şekillendirmeye çalışan bilgi operasyonları şeklinde.
Google’a göre Rusya’nın genel siber saldırı girişimlerinin sayısı yükseldi. Rusya’nın NATO ülkelerine yönelik kimlik avı kampanyaları geçen yıl %300’den fazla arttı, Ukrayna hedeflerine yönelik kimlik avı kampanyalarında %250 artış ve 2022’nin ilk dört ayında önceki sekiz yıla göre daha yıkıcı kötü amaçlı yazılım saldırıları yapılıyor.
Rapor, siber saldırıların kapsamı, nasıl konuşlandırıldıkları ve bunların arkasında kimlerin olabileceği hakkında yeni ayrıntılar sunuyor. Google’ın Tehdit Analizi Grubu’nun kıdemli yöneticisi Shane Huntley, kimlik avı saldırılarından bilgi ve etki operasyonlarına ve küresel siber suç ekosistemi üzerindeki etkiye kadar, bir yıllık durumun yansıtılması için doğal bir nokta oluşturduğunu söyledi.
“Savaş zamanında siber saldırıların neye benzeyeceği konusunda düşünen ve teoriler üreten birçok insan var. Ve şimdi muhtemelen bu, kinetik bir savaşa giren büyük bir siber gücün elimizdeki en iyi örneği ve en azından bu durumda nasıl kullanıldığına dair gerçek bir görünürlük. Tartışmayı gerçekten şekillendirebilecek gelecekteki çatışmalar için burada öğrenmemiz gereken dersler olacak.”
Huntley, henüz kamuoyu tarafından bilinmeyen şeyler olduğunu ve kilit soruların cevapsız kaldığını belirtti. Örnek olarak, Rus siber operasyonlarının kinetik askeri operasyonlarla ne kadar entegre ve koordineli olduğunun net olmadığını söyledi :
“Gerçekten iyi koordine edilmiş mi, yoksa çoğunlukla bağımsız mı çalışıyorlar? Çünkü buna dair bazı ipuçları var.
Rus hükümeti destekli saldırganların ağırlıklı olarak Ukrayna hükümetine ve askeri kuruluşlarına odaklandığını görsek de, incelediğimiz kampanyalar aynı zamanda kritik altyapı, kamu hizmetleri ve kamu hizmetleri ile medya ve bilgi alanına yönelik güçlü bir hedefleme odağı gösteriyor.
Rapor, 2021 boyunca Rusya bağlantılı bilgisayar korsanlığı gruplarının Ukrayna’yı ve diğer ülkelerdeki hedefleri kapsamlı kimlik avı kampanyalarıyla nasıl hedef aldığını ortaya koyuyor. Ukraynalılar tarafından UNC2589, SaintBear, Nascent Ursa veya UAC-0056 olarak da tanımlanan Frozen Vista adlı bir grup, Eylül ve Ekim 2021’i kapsayan 11 günlük bir dönemde dünyanın dört bir yanındaki hedeflere 14.000’den fazla kimlik bilgisi kimlik avı e-postası gönderdi. Google, Şubat 2022 ile Ekim 2022 arasındaki Rus kimlik avı çabalarında, Pushcha olarak bilinen ve bazen UNC1151 olarak adlandırılan ve Kasım 2021’de Mandiant tarafından Beyaz Rusya’ya bağlanan ve üretken Ghostwriter bilgi operasyonuyla bağlantılı olan bir grubun daha aktif hale geldiğini söyledi.
Rapora göre Mandiant, bazılarının birden çok çeşidi olan en az 6 benzersiz veri silici gözlemledi, ancak kalıcı etki sınırlıydı. Raporda şöyle anlatıldı :
“Yıkıcı siber saldırılar başlangıçta bazı Ukrayna ağlarında önemli ölçüde yaygın kesintiler sağlasa da, muhtemelen Ukrayna’daki önceki Rus siber saldırıları kadar etkili olmadılar. Yıkıcı faaliyetin ilk dalgalarını yürütmek için, Rus aktörler genellikle aylar önce kazanılan ve saldırı düzeltildikçe genellikle kaybedilen erişimleri kullandı.”
Raporda, Google’ın 2022’de platformlarında 1.950’den fazla Rus bilgi operasyon faaliyetini blokladığı belirtildi. Savaşla ilgili bilgi operasyonları faaliyetlerinde bir artış var. Google, KillNet, XakNet gibi bu grupların Ukrayna, ABD ve NATO ülkelerinde devam eden dağıtılmış hizmet reddi saldırıları düzenlediğini ve ayrıca veri sızıntısı gerçekleştirdiğini söyledi.
Rapora göre, savaş mali amaçlar güden siber suçluların sadakatini de test etti, bazıları Rus hedeflerine siyasi bağlılık, diğerleri tarafsızlık ilan etti. Belki de en belirgin örnek, işgalden sonraki gün kötü şöhretli Conti fidye yazılımı ekibinin Rusya’ya sadakatini ilan etmesi ve düşmanlarına saldırma sözü vermesiydi. Conti sunucularına erişimi olan Ukraynalı bir BT araştırmacısı, Conti’nin dahili sohbetlerini ve materyallerini sızdırarak grubu engelleyerek karşılık verdi.
Araştırmacılar, Rusya’nın yaptırımlarına ve Ukrayna’ya verilen diğer desteklere yanıt olarak ABD ve NATO ülkelerine yönelik fidye yazılımı saldırısı korkusunun “büyük ölçüde gerçekleşmediğini” belirtti. Ancak araştırmacılar, geleneksel olarak finansal olarak motive olmuş gruplarla bağlantılı taktiklerin hükümet saldırılarında giderek daha yaygın hale geldiğini söyledi.