Ulusal Siber Güvenlik Merkezi (NCSC), Rus siber saldırganlarının İngiltere ve Batılı hükümetlerin kritik altyapısına yönelik bir saldırı gerçekleştirme amacıyla faaliyet gösterdiğini bildirdi. İşte NCSC’nin bu konuyla ilgili açıklamasının detayları.
Saldırganlar 2020 ABD seçim saldırılarından da sorumlu olabilir!
NCSC, söz konusu saldırı grubunun, “NOBELIUM” adlı bir grup tarafından yönetildiğini açıkladı. NCSC, “NOBELIUM”un 2020 yılında ABD seçimlerine yönelik bir siber saldırı gerçekleştirdiğine inanılan “Cozy Bear” adlı bir siber saldırı grubuyla aynı kişilerden oluştuğuna inanıyor. “NOBELIUM”, özellikle Batılı hükümetlere yönelik siber casusluk faaliyetleri yürüten bir grup olarak bilinmektedir.
Bu yıl Belfast’ta düzenlenen yıllık CYBERUK konferansının açılışıyla eş zamanlı olarak yapılan uyarıda, son 18 ay içinde Rusya’ya bağlı “yeni bir siber saldırgan sınıfının” ortaya çıktığı belirtildi.Bu “yeni düşman sınıfının” bir parçası olarak belirli bir grup tanımlanmadı, ancak bugün CYBERUK’un açılış konuşmasını yapacak olan Şansölye Oliver Dowden bunları “Wagner benzeri gruplar” olarak nitelendirdi. NCSC bu grupların devlet destekli olmadığını söyledi. Bu da nispeten daha az donanımlı oldukları ama aynı zamanda diplomasi tarafından operasyonel olarak daha az kısıtlandıkları ve dolayısıyla “daha az öngörülebilir” oldukları anlamına geliyor.
“Bu grupların, özellikle de sistemler yeterince korunmuyorsa, böyle bir etki yaratmak için fırsat kollamalarını bekliyoruz.”
Ortaya çıkan grupların kısa vadede kendi başlarına kasıtlı ve başarılı bir şekilde yıkıcı bir saldırı gerçekleştirebilecek kadar güçlü oldukları düşünülmüyor. Bununla birlikte, kendilerine yardım edilmesi halinde, belki de Rus devlet destekli hackerların kendilerine ödünç verilmesi halinde, daha zarar verici saldırıların gerçekleştirilebileceği öne sürülmektedir. NCSC ayrıca bu grupların zaman içinde daha da güçlenebileceği ve yeteneklerinin daha da gelişerek sonunda yıkıcı olmaktan çıkıp yıkıcı hale gelebileceği konusunda da uyarıda bulundu.
Dowden’ın konuşmasında Birleşik Krallık’ın “bozma ya da yok etme” güdüsünü benimseyen Rusya’ya bağlı aktörler için birincil hedef haline geldiğini söylemesi bekleniyor. Dowden, “Bu tehdidi açıklamak hafife aldığımız bir şey değil” diyecek. “Ancak bu şirketlerin karşı karşıya oldukları mevcut riski anlamalarını ve kendilerini ve ülkelerini savunmak için harekete geçmelerini istiyorsak bunun gerekli olduğuna inanıyoruz.”
Rusya’nın bilgisayar korsanlarını barındırma geçmişi
Uzun zamandır Rusya’nın siber suçlular için bir ‘güvenli liman’ görevi gördüğüne ve yargılanma korkusu olmadan faaliyet göstermelerine olanak sağladığına inanılıyor. Geçmişte Rusya’nın siber suçlulara hapishane ile askerlik arasında bir seçenek sunduğu, suç gelirleri yerine ülke için hackleme teklif ettiği iddia edilmişti. Bugüne kadar faaliyet göstermiş en başarılı fidye yazılım organizasyonlarının büyük bir kısmı Rusya’ya bağlanmıştır. Devlet kontrolünde olmasalar da, genellikle Rus çıkarlarına karşı çıkan kuruluşları hedef alırlar. ABD ve Birleşik Krallık rutin olarak dünyada fidye yazılımları tarafından en çok saldırıya uğrayan bölgeler arasındadır. LockBit, REvil, DarkSide ve Conti ülke ile ilişkili en yüksek profilli fidye yazılımı çeteleri arasındadır. Fidye yazılımlarının dışında, Rusya bağlantılı en önde gelen yıkıcı siber suç gruplarından biri de Killnet’tir. NCSC, DDoS saldırılarını Batılı kuruluşlara karşı kullanılan en yaygın yıkıcı tekniklerden biri olarak tanımladı ve bu tür saldırılar Killnet tarafından yoğun bir şekilde kullanılıyor. Siber güvenlik araştırmacılarına göre, Killnet’in birincil aracı DDoS’tur ve geçmişte Eurovision Şarkı Yarışması’nın oylama sistemleri ve Avrupa Parlamentosu gibi kurbanlara karşı bu saldırıları kullandığı gözlemlenmiştir.
Ayrıca daha önce İtalya’ya ‘savaş ilan etmiş’ ve kamu hizmeti şirketleri gibi CNI’lara ve İtalyan kimliğine sahip diğerlerine saldırı sözü vermişti. Killnet, Nisan 2022’de Rusya’ya bağlı en tehditkar siber düşmanların vurgulandığı Beş Göz tavsiyesinde de diğerlerinin yanı sıra özel olarak adlandırılmıştı. İstihbarat ittifakı o dönemde CNI’ın saldırılar karşısında özellikle risk altında olduğunun düşünüldüğünü belirtmişti.
Rusya’nın geçmişte kritik ulusal altyapıyı hedef alması
CYBERUK 2022’de NCSC, Ukrayna’da faaliyet gösteren uydu tabanlı internet sağlayıcısı Viasat’a yapılan saldırıların Rus devlet destekli bilgisayar korsanları tarafından gerçekleştirildiğini resmen açıkladı. Saldırılar, ülkenin Ukrayna’yı işgal etmesinden bir saat önce gerçekleşti. Viasat önemli bir kesinti yaşadı ve wiper zararlı yazılımının kullanıldığı saldırıların etkileri ülke dışında da hissedildi, örneğin diğer Avrupa ülkelerindeki rüzgar çiftliklerini etkiledi. Devlet tarafından sipariş edildiğine inanılmasa da, Darkside’ın Colonial Pipeline’a yönelik fidye yazılımı saldırısının tarihteki en yıkıcı siber saldırılardan biri olduğuna inanılıyor.
ABD ayrıca geçtiğimiz yıl Rus hükümetinin dört üyesini dünya çapında CNI’ya yönelik iki saldırıda rol aldıkları iddiasıyla suçladı. Bunlardan ilki Suudi Arabistan’daki bir petrokimya tesisine yapılan meşhur saldırıydı. Rus hükümetinin tesiste patlamaya neden olabilecek kötü amaçlı yazılım geliştirdiğine inanılıyor. İddianamelerde ABD merkezli CNI’a yönelik ayrı bir saldırıya da atıfta bulunuldu, ancak saldırı uzun uzadıya detaylandırılmadı.
Birleşik Krallık hükümetinin Rus siber tehdidine yanıtı
Dowden’ın konuşması, Rusya’dan gelen bu yüksek tehdidin bir sonucu olarak siber savunmalarını güçlendirmeye odaklanmaları için iş dünyasına ülke çapında bir çağrıda bulunacak. Dowden ayrıca 2025 yılına kadar CNI kuruluşları için güvenlik hedefleri belirlemeye ve hepsini siber dayanıklılık düzenlemelerine uygun hale getirmeye yönelik yeni planlarını ve hükümetin kritik BT sistemlerinin korunmasına yönelik yeni yöntemleri de açıklayacak.
“Bunlar ülkemizin çalışmasını sağlamakla görevli şirketler. Işıkları açık tutmakla yükümlüler,” diyecek Dowden. “Ortak refahımız onların kendi güvenliklerini ciddiye almalarına bağlıdır.
“Her gece arka kapısını suçlulara açık bırakan bir tuğla ve harç işletmesi ayakta kalamaz. Aynı şekilde günümüz dünyasında işletmeler dijital arka kapılarını siber dolandırıcılara ve bilgisayar korsanlarına açık bırakmayı göze alamazlar.”
NCSC, CNI kuruluşlarına gelecekteki saldırılara karşı riski yönetmek için “şimdi harekete geçmelerini” tavsiye etti. Kuruluşların siber dayanıklılıklarını değerlendirmelerine yardımcı olacak çeşitli çevrimiçi rehberlik belgelerine ve siber tehdit arttığında operasyonel olarak nasıl değişeceklerine işaret etti.
