Savaşın Siber Yönü; Ukrayna İnternetine Saldırı Sürüyor

Rusya Ukrayna savaşının en önemli boyutlarından bir tanesi de siber saldırılar. Uluslararası uydu internet ve TV sağlayıcısı Viasat’a Mart ortasında bir siber saldırıya uğradı. (Foto: turk-internet)

En sonunda savaşın siber tarafı ağırlık kazanmaya başlamış gözüküyor. Kapsama alanı açısından Ukrayna’nın en büyük operatörü, eski devlet tekeli UkrTelecom abonelerini olası kesintilere karşı uyarıyor. Ukrayna Silahlı Kuvvetlerine gerekli İnternet hizmetlerini sağlamak için Ukrtelecom, kurumsal ve bireysel kullanıcılarının çoğuna hizmet sunumunu geçici olarak sınırladı. Ayrıca çatışmalar sırasında ekipmanın zarar görmesi nedeniyle Ukrayna’nın çeşitli bölgelerinde internet kesintileri yaşanıyor[1].

Diğer yandan, uluslararası uydu internet ve TV sağlayıcısı Viasat’a da Mart ortasında bir siber saldırıya uğradı[2]. Avrupa’da pek çok kullanıcının internet erişimini sağlayan modemler üzerinden gelen saldırının Ukrayna’yı hedeflediği ve Rus hackerlar tarafından gerçekleştirildiği iddiaları var. Ukrayna istihbaratı, ABD Ulusal Güvenlik Ajansı (NSA) ve Fransız siber güvenlik kuruluşu ANSSI’den analistlerle birlikte siber saldırıyı araştırıyor.

UkrTelecom Kesintilerle Uğraşıyor

UkrTelecom 28 Mart’ta da büyük ölçekli bir siber saldırıya uğramış ve küresel internet izleyicisi Netblocks, ülkedeki internet sunumunun yüzde 13’e düştüğünü raporlamıştı. UkrTelecom daha sonra mühendislerinin çabasıyla arızaları çözmeye çalıştı ve yüzde 50’ye kadar yükseldiği görüldü. Ancak halen hizmet sunumunda öncelik, Ukrayna ordusuna verildiği kaydediliyor [3].

UkrTelecom abonelerine mesajında, mühendislerin internetin kesildiği bölgeler için ellerinden geldiği kadar çabaladığını belirtiyor. Ancak Chernihiv, Kharkiv, Poltava ve Volyn bölgelerindeki abonelerin küresel ağa bağlanmada zorluk yaşamaya devam ettiği, Lugansk hariç internetin her bölgede sunulmaya çalışıldığı görülüyor.

UkrTelecom, Ukrayna’da müşteri sayısı açısından Kyivstar’dan sonra ikinci sırada. Üçüncü sırada ise Turkcell’in ait şirketi LifeCell var. Kyivstar’in üst kuruluşu Veon ve şirketin sahibi, Turkcell’in de ortağı olan LetterOne.

28 Mart saldırısı konusunda ilginç bir analiz, Darktrace tehdit analizi başkanı Toby Lewis’den geldi. Lewis saldırının tipik dDOS ya da fidye saldırısı yerine kademeli bir düşüş göstermesi nedeniyle, ev yönlendiricileri (modem) gibi uç nokta cihazlarının yavaş yavaş devreden çıkarıldığı bir tedarik zinciri saldırısı gibi gözüktüğünü söyledi.

Ukrayna Uydu İnternet Hizmetini Siber Saldırı Vurdu

28 Mart UkrTelecom saldırısı gibi, şubat sonundan itibaren başladığı ve Mart ortalarında şiddetlendiği, halen de sürmekte olan Viasat saldırısı da modemleri etkilemiş gözüküyor.

Hizmet kesintisinin, 24 Şubat sabahı, Rus kuvvetlerinin çeşitli Ukrayna şehirlerine doğrudan saldırılara başlamasıyla başladı. Almanya, Fransa, Macaristan, Yunanistan, İtalya, Polonya, Çek Cumhuriyeti ve Slovakya’daki kullanıcıların uydu internet hizmetinde kesintiler yaşadığı görülüyor.

Ancak uyduya yapılan saldırının esas hedefinin, Viasat’ın Ukrayna ordusuna uydu internet hizmetleri sağladığı bilindiği için, konuşlandırılmış “akıllı silah” sistemleri arasındaki iletişimi bozmaya yönelik olabileceği düşünülüyor.

Rusya’nın Ukrayna’yı işgal ettiği 24 Şubat’tan bu yana Viasat’ın KA-SAT ağını çalışmaz hale getiren siber saldırıyla ilgili ayrıntılar şu ana kadar açıklanmadı. Viasat, soruşturmaya yardımcı olması için ABD siber güvenlik firması Mandiant’ı tuttu.

Modemlerin Sistemleri Silindi, Kullanılamaz Hale Getirildi

Başlangıçta DDoS saldırısı sanılan olay, Viasat ağındaki modemlere yönelik olduğu anlaşılıyor. Uzmanlar, siber saldırının SurfBeam 2 ve Tooway modemleri tamamen devre dışı bıraktığını belirtiyor. Modemler tamamen çalışmaz hale gelmiş durumda. Bir Viasat yetkilisi, modemlerin tekrar çalışması için bir teknisyen tarafından yeniden programlanması gerektiğini ve bazı durumlarda onarılamayacak durumda olabileceklerini ve değiştirilmeleri gerekebileceğini söyledi ve kullanıcılara 30 bin kadar yeni modem gönderdi.

SentinelLabs araştırmacıları “AcidRain adlı yeni bir kötü amaçlı yazılımın, güvenlik açığı bulunan modemleri ve yönlendiricileri uzaktan silebildiğini açıkladılar. AcidRain, 15 Mart’ta SentinelLabs araştırmacıları tarafından İtalya’daki bir kullanıcıdan VirusTotal’a yüklendikten sonra keşfedildi ve “Ukrayna operasyonu”anlamında “ukrop” adı verildi. Silicinin işlevselliği, araştırmacılar tarafından “genel” olarak tanımlanıyor, çünkü verileri yok etmeye çalışmadan önce dosya sistemini ve bilinen çeşitli depolama aygıtı dosyalarını derinlemesine siliyor. Silme işlemleri tamamlandıktan sonra cihaz yeniden başlatılıyor ve sonunda çalışamaz hale getiriliyor.

Saldırının 2018’deki VPNFilter kötü amaçlı yazılımına benzediği kaydediliyor. O da benzer şekilde modemleri etkilemişti. Bu saldırı Rus destekli “Fancy Bear” – veya APT28 – bilgisayar korsanlığı grubuna bağlandı ki, FBI bu grubun Rusya’nın askeri istihbarat teşkilatı GRU ile bağlantılı olduğunu iddia ediyor.

Kesinti henüz tam olarak çözülmedi ve CISA ve FBI, ABD uydularının bir sonraki hedef olabileceği konusunda uyardı. Ukrayna’ya Starlink sunan Elon Musk da, servislerine yönelik bir kaç saldırı olduğunu ama etkilenmediklerini belirtti.

Bu son olayların, Rusya’nın Ukrayna’yı işgal etmesinin ardından siber faaliyetlerde bir tırmanışa işaret edebileceğinden endişe ediliyor.

Ülkemize Dersler

Bu saldırılara bakarak ülkemize çeşitli dersler çıkarmanın zamanıdır [4]. Bazı dersleri bizzat Ukrayna yetkililerinin sözleriyle belirtelim;

İletişim hatlarına gelen saldırılan konusunda Ukrayna Devlet Özel İletişim ve Bilgi Koruma Servisi başkanı Yurii Shchyhol şunları söyledi;

“İşgalciler için ilk görevlerden biri, halka nesnel bilgi sağlama olasılığını ortadan kaldırmaktır. Bu nedenle TV kanallarını devre dışı bırakırlar, medya ve bilgi kaynaklarına siber saldırılar düzenlerler.”

Devlet Özel İletişim ve Bilgi Koruma Servisi başkanı Yurii Shchyhol ise yazılı açıklamasında şunları söyledi;

“Mobil operatörlerimiz, ağların istikrarlı bir şekilde çalışmasını sağlamak için çok çalıştılar ve son iki yılda hatları yedeklemek ve en hızlı yenilemelerini sağlamak için önemli yatırımlar yapıldı. Yedek fiber optik iletişim kanalları oluşturarak harika bir iş çıkardılar. Bu yüzden kabloyu keserek tüm sistemi yok etmek imkansızdır. Şimdi, yenileme sürecinde yer alan herkesin sıkı çalışması ve silah sesleri altında çalışan operatörler ve gönüllüler sayesinde ve bu olağanüstü karmaşık sistemin istikrarlı çalışmasını sağlıyor. Düşman, Ukrayna’nın iletişim altyapısını yok etme planlarından vazgeçmeyecek, çünkü bu, geçici olarak işgal edilen bölgeler de dahil olmak üzere ülkede olup bitenler hakkında doğru bilgilere ulaşmanın önemli bir bileşenidir.”

Bu 2 yetkiliden ilki medya ve haberleşme kurumlarının önemine işaret ediyor. İkincisi ise, yedek şebekelerin ve fiber optik iletişim kaynaklarının önemini anlatıyor. Bizde 2si de maalesef yeterli değil. Hükümetin operatörleri, vatandaşlarına karşı kullanmayı bırakıp, vatandaşlarının güvenliği için kullanmayı düşünmesinin zamanı gelmedi mi?  

[1] «Укртелеком» предупредил абонентов о возможных перебоях с интернетом
[2] Viasat İnternet Erişim Servislerine Saldırı Avrupa’daki Aboneleri Etkiledi
[3] UkrTelecom Saldırıya Uğradı
[4] Ukrayna İşgalinin Düşündürdükleri; Siber Güvenlik ve Trafik Değişim Noktası

Kaynak: https://turk-internet.com/savasin-siber-yonu-ukrayna-internet-servislerine-saldiri-suruyor/

close

Yeni yazılardan haberdar olun! Lütfen aboneliğinizi güncelleyin.

İstenmeyen posta göndermiyoruz! Daha fazla bilgi için gizlilik politikamızı okuyun.

Bunları da beğenebilirsiniz...