Geçen hafta elimize geçen “veri sızıntısı” haberlerinden birisinde “Baykar Bayraktar TB2 İHA’sının kaynak kodlarının sızdığı iddiası vardı. Darkweb’de yayınlandıktan sonra bize gelen haberi tabii ki hemen yayınlamadık ve araştırmaya, siber güvenlikçilerin bilgileri ile analiz etmeye çalıştık. Aşağıda bize gelen notu görüyorsunuz;
Kısa zaman sonra da bu iddianın sahte olduğu, sızıntının Baykar Bayraktar TB2 İHA’ya ait gibi gözükmediği yorumlarını aldık. Dolayısıyla haberi de yayınlamadık. Şimdi Cyberthint sitesinde olayın detaylı analizi yayınlandı. Şöyle deniliyor;
“Cyberthint tehdit avcıları, 31 Temmuz’da popüler bir darkweb forumunda “ Bayraktar TB2 Türk İHA | ” zikkail ” kullanıcı adına sahip bir tehdit aktörü tarafından Açık Kaynak Kodu ” . Konu incelendiğinde tehdit faili FUD ile trojan içeren makro Word belgesini oltalama sonucu baykartech.com’un SMTP mail sunucusuna erişim sağladığını ve çok sayıda bilgisayara yetkisiz erişim elde ettiğini söylüyor(iddia ediyor).
Ele geçirilen bu bilgisayarlardan birinin IT departmanına ait bir makine olduğunu ve bu makineden tüm ağı taradığını ve korumasız kaynak kodunu bu şekilde elde ettiğini belirtiyor. Ve gönderide, örnek olarak küçük bir kaynak kodu paylaşıyor.
Analistlerimiz, paylaşılan kaynak kodunu inceledikten sonra, bazı kod kalıplarını kullanarak basit bir OSINT çalışmasıyla kaynak kodun GitHub’da yer alan “ TB-2MAN ” adlı Flappy Bird benzeri bir oyuna ait olduğunu belirledi .
İlgili oyun uygulamasının Github’daki ekran görüntüsü:”
Cyberthint yayınlanmadan önce resmi kurumlarla paylaştıklarını bildirdiği analizinde, “Baykar Teknoloji” şirketine ait insansız hava aracı olan “Bayraktar TB2” modeli ve tehdit aktörüne karşı toplum mühendisliği tabanlı bir operasyon yaptıklarını belirterek, tam analizi ve sonuçları yayınlıyor. Cyberthint’e olayı sorduk. İsmail Saygılı şöyle cevapladı:
“Teknolojinin en gelişmiş döneminde maalesef bir markayı/kurumu/firmayı karalamak çok basit hal almıştır.
Uzun bir süredir blackmarket ortamı olan darkweb forumlarında yıllar önce sızdırılmış verilerin (örneğin; Mernis) tekrar tekrar ısıtılarak sunulması ve bunun yanı sıra, bu tip veriler kullanılarak aslı olmayan sızıntı satış ilanlarıyla gündem meşgul edilmektedir.
Bayraktar TB2 kaynak kodlarının sözde ele geçirilmesi olayı da buna benzer bir durumdur. Zaten böyle bir şey gerçek olsaydı bu kadar düşük bir ücrete satılmazdı.. Bu olayın asparagas olup bir siber dolandırıcılık faaliyetinin olduğu başından belliydi ancak bunun üzerine giderek yaptığımız siber operasyon sonucunda kanıtlarla beraber kamuoyuyla paylaşmak istedik.”
Saygılı’ya cevabında yer alan Mernis detayı konusunda da şunu sorduk;
Soru : Bu durum çok tatsız, özellikle ısıtılıp ısıtılıp dediğiniz Mernis olayı. Burada aslında alınması gereken önlemler devlet tarafından alınmıyor mu? Siber İstihbarat konusunu nasıl değerlendiriyorsunuz? Bir de bu Mernis olayından bağımsız olarak şu anda paneller halinde satılan veriler var. Bu verilerin ele geçirilen admin şifreleri üzerinden APIlerden anlık aktığını söylüyor görüştüğüm diğer siber güvenlikçiler. Bütün bunlar söylenti bazında kalsa da, epeyce güven kaybına neden oluyor. Sizce devletin ne yapması lazım?
Saygılı şöyle cevapladı :
“BTK/USOM, kolluk kuvvetleri ve ilgili birimler elbette bu konularda denetimlerini gerçekleştirmektedir. Zaman zaman bu konularda yapılan operasyonlara da şahit oluyoruz ancak ilgili birimlerin siber güvenlik ve siber istihbarat alanlarındaki faaliyetlerinin kapsamını genişleterek aktif/etkin bir şekilde sürdürmesi gerektiğini düşünüyorum.
Bu duruma FBI veya Europol’ün siber alandaki faaliyetleri örnek olarak verilebilir. Onların bu alandaki faaliyetleri/operasyonları incelendiğinde hem oldukça aktifler hem de etkililer.
Devletimizin teknoloji alanındaki yakın geçmişteki atılımları ve gelecek vizyonları incelendiğinde, ülkecek biz de siber alanda aktif rol alabileceğimizin kanısındayım ancak devletin bu konuyu benimseyerek bütüncül yaklaşım ve yetkiyle ele alması gerekmektedir.
Öte yandan; sızıntı veriler, ele geçirilmiş API’lar ve aktif güvenlik zafiyetlerinin kullanılmasıyla kişisel bilgi sorgusu yapmaya yarayan panel satışlarının önüne geçebilmek için kurumların kendi siber güvenliğini uçtan uca sağlaması adına gerekli tüm adımları eksiksiz bir şekilde atması gerekir. Bunun için de siber güvenlik yatırımları bir masraf olarak görülmemelidir..
Ayrıca, bizim gibi siber istihbarat ekibi olan şirketler, ulusal siber güvenliğin sağlanması adına yaptığı denetimler sonucunda tespit edilen böyle sistemler yetkili birimlerle paylaşmaktadır. Ancak “ilgili birimlerin” konuya ivedilikle yaklaşarak gerekli aksiyonu almasıyla önem kazanacaktır. Aksi taktirde maalesef bu yaptığımız çalışmaların pek bir anlamı kalmıyor.”