#

Dünya

Batılı kaynaklar: Son dönemdeki siber saldırıların arkasında Türkiye olabilir

Batılı ülkelerden üst düzey üç güvenlik yetkilisi, Avrupa ve Ortadoğu’daki hükümetleri, kamu kurumlarını ve şirketleri hedef alan siber saldırıların Türk hükümetinin çıkarları doğrultusunda hareket eden hackerların işi olduğuna dair yaygın bir kanı olduğunu öne sürdü.

Reuters’ın kamuya açık internet erişim kayıtlarına göre, saldırganlar, aralarında farklı ülkelerden bakanlıklar, büyükelçilikler, güvenlik kurumları, şirketler ve çeşitli gruplar dahil en az 30 kuruluşa siber saldırı düzenledi.

Kayıtlara göre, hackerların hedefleri arasında Kıbrıs Cumhuriyeti ve Yunan hükümetinin e-posta sunucuları ile Irak hükümetinin ulusal güvenlik danışmanı da yer alıyor.

Saldırılar, hedef alınan internet sitesine giden ve siteden gelen veri trafiğinin dinlenilmesi veya çalınması yöntemiyle gerçekleşti. Bu sayede saldırganlar hedef aldıkları ağların içinde gezinebildikleri gibi ağ sunucularındaki bilgi ve belgeleri de görebildi.

İki Britanyalı ve bir ABD’li yetkiliye göre; saldırılar, dünyanın farklı yerlerinde de görülen devlet destekli siber casusluk operasyonlarına benziyor ve Türkiye’nin ulusal çıkarlarını ilerletmek doğrultusunda yapılmış gibi görünüyor.

‘Saldırılar birbiriyle bağlantılı’

Yetkililer, üç unsurun varlığına bakarak böyle bir tespitte bulunuyorlar. Bu unsurlar arasında Türkiye açısından jeopolitik öneme sahip ülkelerin hükümetlerinin hedef alınması, Türkiye’de kurulu altyapıyı kullanan önceki saldırılar ile benzerlikleri ve hakkında bilgi vermeyi kabul etmedikleri gizli istihbarat değerlendirmeleri bulunuyor.

Yetkililer, saldırıların arkasında hangi kişi veya kuruluşların olduğunu netleştirmediklerini, ancak aynı ağ sunucusu veya altyapı öğelerini kullanıldığı için birkaç dalga halinde düzenlenen saldırıların birbiriyle bağlantılı olduklarına inandıklarını belirttiler.

İçişleri Bakanlığı konu hakkındaki sorulara yanıt vermedi. Üst düzey bir Türk yetkili konuyla ilgili sorulara doğrudan yanıt vermedi, ancak Türkiye’nin sıklıkla siber saldırıların kurbanı olduğunu söyledi.

Kıbrıs Cumhuriyeti hükümeti yaptığı açıklamada, ‘ilgili kurumların saldırıların hemen farkında vardıklarını ve kontrol altına almaya yöneldiklerini‘ belirterek, “Ulusal güvenlik nedeniyle ayrıntılar hakkında yorum yapmayacağız” ifadelerini kullandı.

Yunan hükümetinden yetkililer, hükümetin e-posta sisteminin tehlikeye maruz kaldığına dair hiçbir kanıtları olmadığını söyledi. Irak hükümeti sorulara yanıt vermedi.

Kamuya açık kayıtlara göre; Kıbrıs, Yunanistan ve Irak’a ait olduğu görülen hedeflere yapılan saldırıların tümü 2018’in sonlarında veya 2019’un başlarında gerçekleşti. Yetkililere ve özel siber güvenlik uzmanlarına göre başka hedefleri de kapsayan siber saldırılar hâlâ devam ediyor.

Britanya’nın muhabere istihbarat kurumu GCHQ’ya bağlı Ulusal Siber Güvenlik Merkezi ve ABD Ulusal İstihbarat Direktörlük Makamı saldırının ardında kimin olduğu sorusuna yanıt vermedi.

Veri trafiğini rehin almak

Siber güvenlik uzmanları, saldırının internetin altyapısının temel güvenlik eksiklerinden birinden faydalanılarak yapıldığını belirttiler.

Batılı yetkililere ve özel siber güvenlik uzmanlarına göre saldırganlar DNS korsanlığı (hijacking) olarak bilinen bir teknik kullandılar. Bu teknik internet adreslerinin doğru bilgisayar sunucularıyla eşleştirilmesini sağlayan, internetin adres rehberi olarak da bilinen DNS kayıtlarının tahrif edilmesiyle hayata geçiyor.

Saldırganlar, bu adres rehberi sisteminin bazı bölümlerini yeniden yapılandırarak, mesela e-posta hesaplarına giriş yapılan sayfaları kullanıcı adları ve şifreleri kopyalan sahte giriş sayfalarına yönlendiriyorlar. Böylece yazışmaları da ele geçirebiliyorlar.

Reuters tarafından incelenen kamuya açık DNS kayıtları, hedef alınan sitelerdeki veri trafiğinin, özel siber güvenlik danışmanlarının verdiği bilgiye göre saldırganlar tarafından kontrol altında tutulan sunuculara aktarıldığını gösteriyordu. Reuters tarafından incelenen kayıtlar ve saldırıları inceleyen özel güvenlik uzmanlarının çalışmaları hedeflerin çoğunluğunda e-posta, bulut veri depolama veya özel iletişim ağlarındaki veri trafiğinin saldırganların eline geçtiğini gösterdi.

Kayıtlar, saldırıların 2018’in başından beri gerçekleştiğine işaret ediyor.

Üç yetkili ve diğer iki ABD istihbarat yetkilisi, küçük ölçekli DNS saldırılarının nispeten yaygın olmasına rağmen, bu saldırıların ulaştığı ölçeğin Batı istihbarat teşkilatlarını telaşlandırdığını söyledi.

Yetkililer, bu saldırıların, varlığı 2018’in sonlarında ortaya çıkarılan benzer bir saldırı ile aynı yöntemi kullanıyor olsa da o saldırıyla bağlantısı bulunmadığına inandıklarını ifade ettiler.