Siber Savaş Metodolojileri ve Vaka Çalışmaları

Yazar: Dr. Berker KILIÇ / Adli Bilişim Uzmanı

Sürekli gelişen modern çatışma ortamında, siber savaş metodolojileri ulus devletlerin, hacktivistlerin ve siber suçluların cephaneliklerinde güçlü araçlar olarak ortaya çıkmıştır. Bu makale siber savaş alanında kullanılan metodolojilerin kapsamlı bir analizini sunmaktadır. Teknikleri, stratejileri ve taktikleri derinlemesine inceleyerek siber savaşın çok yönlü doğasına ışık tutmak amaçlanmıştır.

Keşif ve İstihbarat Toplama

Herhangi bir siber savaş operasyonunun ilk aşaması genellikle keşif ve istihbarat toplamayı içerir. Siber saldırganlar, hedefleri hakkında güvenlik açıkları, ağ mimarisi ve potansiyel giriş noktaları gibi bilgileri toplar. Bu aşamada genellikle açık kaynak istihbaratı (OSINT) ve güvenlik açıklarına yönelik aktif tarama kullanılır (Clarke ve Knake, 2010).

Kimlik Avı ve Sosyal Mühendislik

Kimlik avı ve sosyal mühendislik en yaygın siber savaş taktikleri arasındadır (Hadnagy, 2011). Saldırganlar, bireyleri hassas bilgileri açığa çıkarmaya yönlendirmek için aldatıcı e-postalar, web siteleri ve mesajlar hazırlar. Sistemlere veya gizli verilere erişim sağlamak için insan psikolojisinden yararlanılıyor.

Kötü Amaçlı Yazılım ve Açıklardan Yararlanmalar

Virüsler, solucanlar, Truva atları ve sıfır gün saldırıları da dahil olmak üzere kötü amaçlı yazılımların yayılması siber savaş için temeldir (Skoudis ve Zeltser, 2004). Bu kötü amaçlı araçlar sistemlere sızmak, verileri çalmak veya kritik altyapıyı bozmak için kullanılır.

Hizmet Reddi (DoS) ve Dağıtılmış Hizmet Reddi (DDoS) Saldırıları

DoS ve DDoS saldırıları, hedef sistemi veya ağı trafik barajıyla ezerek onu erişilemez hale getirmeyi içerir (Northcutt ve Novak, 2001). Bu saldırılar hizmetleri ve iletişimi bozar ve daha kapsamlı siber operasyonlar sırasında dikkat dağıtma işlevi görebilir.

Gelişmiş Kalıcı Tehditler (APT’ler)

APT’ler uzun süreli ve yüksek oranda hedeflenen siber casusluk kampanyalarıdır (Mandia ve diğerleri, 2011). Devlet destekli aktörler, hassas verileri sızdırırken güvenliği ihlal edilmiş sistemlere kalıcı erişimi sürdürmek için karmaşık taktikler, teknikler ve prosedürler (TTP’ler) kullanır.

Siber-Fiziksel Saldırılar

Ünlü Stuxnet solucanı (Langner, 2013) gibi siber-fiziksel saldırılar, kritik altyapıyı hedef alarak siber savaş ile fiziksel dünya arasındaki uçurumu kapatıyor. Örnekler arasında elektrik şebekelerine, su tesislerine ve ulaşım sistemlerine yönelik saldırılar yer alıyor.

İçeriden Tehditler

İster kötü niyetli çalışanlardan ister farkında olmadan işbirlikçilerden gelen içeriden gelen tehditler, siber savaşta önemli riskler oluşturmaktadır (Finkle, 2012). İçerideki kişiler güvenlik önlemlerini atlayabilir, hassas verileri sızdırabilir veya bir kuruluş içindeki operasyonları kesintiye uğratabilir.

Fidye yazılımı

WannaCry (Paganini, 2017) gibi fidye yazılımı saldırıları, kurbanın verilerinin şifrelenmesini ve şifre çözme anahtarı için fidye talep edilmesini içerir. Bu saldırılar her büyüklükteki kuruluşu hedef alarak operasyonlarını sekteye uğrattı.

Bilgi Savaşı ve Siber Casusluk

Bilgi savaşı, dezenformasyon ve propagandanın yayılmasını kapsar (Rid, 2018). Rusya’nın 2016 ABD seçimlerine katılımında görüldüğü gibi, kamuoyunu manipüle edebilir ve uluslararası ilişkileri etkileyebilir (Mueller, 2018).

Siber savaş metodolojilerini anlamak, üst düzey siber güvenlik profesyonellerinin etkili savunma stratejileri geliştirmesi için çok önemlidir. Teknolojinin, politikanın ve güvenliğin dijital alanda yakınlaşması, sürekli tetikte olma ve gelişen tehditlere karşı uyum sağlama ihtiyacını vurguluyor. Siber savaş; tespit, önleme ve müdahale konusunda kapsamlı bir yaklaşım gerektiren dinamik ve çok yönlü bir alandır. Kritik altyapıyı, ulusal güvenliği ve demokratik kurumların bütünlüğünü korumak için üst düzey profesyonellerin siber güvenliğin ön saflarında yer alması gerekiyor.

Siber savaş metodolojilerine ilişkin beş önemli vaka çalışmasının özetleri aşağıdadır.

Stuxnet:

Stuxnet, İran’ın nükleer programını hedef alan çığır açıcı bir siber savaş örneğidir (Langner, 2013). ABD ve İsrail tarafından ortaklaşa geliştirilen bu yazılım, İran’ın Natanz tesisindeki santrifüjleri sabote etmek için son derece gelişmiş kötü amaçlı yazılımlar kullanıyordu. Bu vaka, devlet destekli siber operasyonların kritik altyapıyı tehlikeye atmadaki etkinliğini vurgulamaktadır.

NotPetya:

Başlangıçta fidye yazılımı olarak gizlenen NotPetya, 2017 yılında hızla yayılarak dünya çapında çok sayıda kuruluşu etkiledi (Eset, 2017). Daha sonra bunun Ukrayna altyapısını bozmak için tasarlanmış bir siber silah olduğu ortaya çıktı. Bu vaka, siber savaşın istenmeyen küresel sonuçlara yol açma potansiyelini göstermektedir.

Aurora Operasyonu:

Aurora Operasyonu 2009’da büyük teknoloji şirketlerini hedef aldı ve fikri mülkiyet haklarına erişim sağlamak amacıyla sıfır gün saldırıları gerçekleştirdi (Zetter, 2010). Bu dava, ulus devlet destekli siber casusluğa ve bunun fikri mülkiyete yönelik tehdidine örnek teşkil ediyor.

2016 ABD Seçimlerinde Rusya’nın Siber Müdahalesi:

Rusya’nın 2016 ABD seçimlerine müdahalesi, kamuoyunu etkilemek için bilgisayar korsanlığı, dezenformasyon ve sosyal medya manipülasyonunu birleştirdi (Mueller, 2018). Bu vaka, jeopolitik ve demokratik süreçlerde bilgi savaşının rolünün altını çiziyor.

WannaCry:

2017 yılındaki bir fidye yazılımı saldırısı olan WannaCry, kuruluşları dünya çapında sekteye uğratmak için bir Windows güvenlik açığından yararlandı (NCSC, 2017). Siber savaşın kritik altyapı üzerindeki potansiyel sonuçlarını ortaya çıkardı.

Detaylı Örnek Olay: 2016 ABD Seçimlerinde Rusya’nın Siber Müdahalesi

Bu vaka çalışması, akademik ve güvenilir kaynaklara atıfta bulunarak siber operasyonların teknik inceliklerini, vakaya dahil olan taktikleri ve teknikleri inceleyecektir.

Rusya’nın 2016 ABD seçimlerine siber müdahalesi, siber güvenlik ve bilgi savaşı dünyasında belirleyici bir an olmaya devam ediyor. Bu bölümde, Rus devleti destekli aktörlerin kritik sistemlere sızmak ve onları manipüle etmek ve Amerikan seçim süreci içinde anlaşmazlık yaratmak için kullandıkları karmaşık taktik ve teknikler inceleniyor. Bu operasyonun teknik yönlerini analiz ederek, üst düzey profesyonellere demokratik kurumlara yönelik siber tehditlere ilişkin kapsamlı bir anlayış sağlanması amaçlanıyor.

2016 ABD başkanlık seçimleri, sonucu etkilemek için bilgisayar korsanlığı, dezenformasyon kampanyaları ve sosyal medya manipülasyonunu birleştiren çok yönlü bir yaklaşım kullanan Rus devlet destekli aktörlerin benzeri görülmemiş müdahalesiyle gölgelendi. Rus siber müdahalesinin teknik yönleri hakkında, kullanılan yöntemler, araçlar ve stratejiler hakkında bilgi verilmesi.

Hacking ve Saldırı Teknikleri

Rus devleti destekli aktörler, yüksek hedefli hackleme teknikleriyle müdahale kampanyasını başlattı. Birincil saldırı vektörü, meşru iletişim görünümü altında kötü amaçlı e-postaların kullanımını içeren hedef odaklı kimlik avıydı. Alıcılar bu e-postaları açmaya ikna edildikten sonra, saldırganlar sistemlere sızmak için bilinen ve sıfır gün güvenlik açıklarından yararlandı (Meyers ve diğerleri, 2017).

Süslü Ayı ve Rahat Ayı’ya Atıf

Teknik analiz ve ilişkilendirme, izinsiz girişi iki farklı Rus tehdit aktörü grubuyla ilişkilendirdi: Süslü Ayı (APT28) ve Rahat Ayı (APT29). Hedef odaklı kimlik avı kampanyasını Fancy Bear’ın yürüttüğüne inanılırken, DNC uzlaşmasından Cosy Bear sorumluydu. Her iki grup da Rus hükümetiyle ilişkilidir ve devlet destekli çeşitli siber operasyonlara katılmıştır (DHS ve FBI, 2016).

DNC İhlali ve Veri Sızıntısı

Demokratik Ulusal Komite (DNC) sunucularının uzlaşması, Rusya’nın müdahale kampanyasında çok önemli bir andı. Saldırganlar hassas belgeleri ve e-postaları sızdırmayı başardı. Siber güvenlik firması Crowdstrike tarafından yapılan bir analiz, saldırının TTP’lerini detaylandırarak Rus devleti destekli aktörlerin olaya dahil olduğunu doğruladı (Alperovitch, 2016).

Sosyal Medya Manipülasyonu ve Dezenformasyon

Bilgisayar korsanlığı ve veri hırsızlığına paralel olarak Rus aktörler, İnternet Araştırma Ajansı (IRA) aracılığıyla kapsamlı bir sosyal medya manipülasyon kampanyası yürüttü. Bu kuruluş, kamuoyunu etkilemek ve anlaşmazlıkları ekmek için sahte sosyal medya hesapları, hedefli reklamlar ve bölücü içeriklerin bir kombinasyonunu kullandı (Mueller, 2018).

Kötü Amaçlı Yazılım Analizi

Rusya’nın müdahalesi aynı zamanda çeşitli amaçlarla kötü amaçlı yazılımların yayılmasını da içeriyordu. Özellikle, “X-Agent” olarak bilinen (hem Fancy Bear hem de Cozy Bear tarafından kullanılan) kötü amaçlı yazılım, hassas verilerin sızmasına izin verdi. X-Agent kötü amaçlı yazılımı, güvenliği ihlal edilmiş ağlarda yanal olarak hareket etmek, kalıcı erişimi sürdürmek ve tespitten kaçınmak için kullanıldı (Meyers ve diğerleri, 2017).

İlişkilendirme Zorlukları

Siber saldırıları belirli devlet aktörlerine atfetmek, dikkate alınması gereken birçok unsurun bulunduğu karmaşık bir süreçtir. ABD Adalet Bakanlığı, Rus müdahalesine ilişkin raporunda, uzlaşma göstergeleri, altyapı analizi ve Rus tehdit aktörlerinin bilinen TTP’leri de dahil olmak üzere, atıf için kullanılan tekniklerin kapsamlı bir analizini sunmuştur (Mueller, 2018).

Siber Güvenlik Profesyonelleri için Çıkarımlar

Rusya’nın 2016 ABD seçimlerine müdahalesi, siber güvenlik uzmanları için geniş kapsamlı sonuçları olan bir örnek olay incelemesi işlevi görüyor. Temel çıkarımlar şunları içerir:

Gelişen Tehdit Ortamı

Vaka, siber tehditlerin sürekli gelişen doğasının ve kritik sistem ve verilere yönelik kalıcı riskin altını çiziyor. Siber güvenlik profesyonelleri, tehdit aktörlerinin gelişen taktiklerini hafifletmek için stratejilerini uyarlama konusunda proaktif kalmalıdır.

Bilgi Savaşı ve Etkileme Operasyonları

Bilgi savaşı ve nüfuz operasyonları siber savaşın ayrılmaz bileşenleri haline geldi. Üst düzey profesyoneller, jeopolitik çatışmalarda etkili araçlar olarak dezenformasyon kampanyalarının ve sosyal medya manipülasyonunun önemini dikkate almalıdır.

İlişkilendirme Zorlukları

Siber saldırıları belirli tehdit aktörlerine bağlamanın zorlukları, siber güvenlik önlemlerinin sürekli iyileştirilmesini gerektirmektedir. Profesyoneller, tehdit istihbaratı yeteneklerini geliştirmeye ve sağlam izinsiz giriş tespit sistemleri geliştirmeye odaklanmalıdır.

İşbirliği ve Hazırlık

Rusya’nın müdahale davası devlet kurumları, özel sektör kuruluşları ve uluslararası ortaklar arasındaki işbirliğinin önemini vurgulamaktadır. Bu işbirliği, siber tehditleri etkili bir şekilde azaltmak ve demokratik kurumların güvenliğini sağlamak için gereklidir.

Rus devleti destekli aktörlerin 2016 ABD seçimlerine müdahalesi, siber güvenlik ve bilgi savaşı dünyasında önemli bir vaka olmaya devam ediyor. Modern siber tehditlerin teknik karmaşıklığını ve çok yönlü doğasını örneklediği için, alandaki üst düzey profesyonellerin bu vakayı yakından incelemesi gerekiyor. Siber güvenlik uzmanları, tehdit aktörlerinin kullandığı taktik ve teknikleri anlayarak benzer saldırılara karşı savunma yapmaya ve demokratik süreçleri ve kritik altyapıyı korumaya daha iyi hazırlanabilirler.

Yasal Uyarı: Bu makale eğitim amaçlıdır ve herhangi bir siyasi görüş veya görüşü desteklemez. Siber müdahale operasyonunun teknik yönlerine odaklanır.

Dr. Berker KILIÇ’ın tüm blog yazıları için bağlantıya tıklayınız.

Hukuk ve Bilişim Dergisi’nin Geçmiş Sayılarına bağlantıdan ulaşabilirsiniz.

Yazar: Dr. Berker KILIÇ / Adli Bilişim Uzmanı

Referanslar:

Alperovitch, D. (2016). Ortadaki Ayılar: Demokratik Ulusal Komiteye İzinsiz Giriş. CrowdStrike.

Clarke, R.A. ve Knake, R.K. (2010). Siber Savaş: Ulusal Güvenliğe Yönelik Bir Sonraki Tehdit ve Bu Konuda Ne Yapmalı? HarperCollins.

DHS ve FBI. (2016). GRIZZLY STEPPE – Rusya’nın Kötü Amaçlı Siber Faaliyeti. https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296A_GRIZZLY%20STEPPE-2016-1229.pdf adresinden alındı

Eset. (2017). Ukrayna’yı Saldıran Petya Benzeri Fidye Yazılımı Salgınının ESET Analizi. https://www.welivesecurity.com/2017/06/27/petya-like-ransomware-epidemic-hits-ukraine/ adresinden alındı

Finkle, J. (2012). Riskli İş: İçeriden Gelen Tehditler Ulusal Siber Güvenliği Nasıl Tehdit Ediyor? Georgetown Uluslararası İlişkiler Dergisi, 13(2), 133-138.

Hadnagy, C. (2011). Sosyal Mühendislik: İnsan Hackleme Sanatı. Wiley.

Langner, R. (2013). Bir Santrifüjü Öldürmek: Stuxnet Yaratıcılarının Neyi Başarmaya Çalıştığının Teknik Analizi. Dış Politika, 91, 3-8.

Mandia, K., Prosise, C. ve Pepe, M. (2011). Olay Müdahalesi ve Bilgisayar Adli Bilimleri. McGraw-Hill Osborne Medyası.

Meyers, A. ve ark. (2017). Dukes of Hazzard: Rahat Ayıyı Pwning ve Hedefli İzinsiz Girişlerle Mücadele. BlackHat ABD 2017.

Mueller, R.S. (2018). 2016 Cumhurbaşkanlığı Seçimine Rusya’nın Müdahalesine İlişkin Soruşturma Raporu. ABD Adalet Bakanlığı.

Northcutt, S. ve Novak, J. (2001). Ağ Saldırı Tespiti: Bir Analistin El Kitabı. Yeni Biniciler.

Paganini, P. (2017). WannaCry Fidye Yazılımı: Bilmeniz Gereken Her Şey. https://www.cyberdefensemagazine.com/wannacry-ransomware-everything-you-need-to-know/ adresinden alındı

Rid, T. (2018). Siber Savaş Gerçekleşmeyecek. Oxford Üniversitesi Yayınları.

Skoudis, E. ve Zeltser, L. (2004). Kötü Amaçlı Yazılım: Kötü Amaçlı Kodla Mücadele. Prentice Salonu.

Ulusal Siber Güvenlik Merkezi (NCSC). (2017). WannaCry Fidye Yazılımı Siber Saldırısı. https://www.ncsc.gov.uk/collection/wannacry-cyber-attack-report adresinden alındı

Zetter, K. (2010). Google Hack Saldırısı Son Derece Gelişmişti, Yeni Ayrıntılar Gösterildi. Kablolu. https://www.wired.com/2010/01/operation-aurora/ adresinden alındı