ABD, İngiltere, İsrail ve Almanya'daki yetkililerin hepsi APT 28'in Rusya'nın büyüyen askeri istihbarat kanadı GRU tarafından idare edildiğini belirttiler. Moskova APT 28'le irtibatı olduğu iddialarını ısrarla inkar ediyor.
Meşhur Zafer Takı'nın (Arc de Triomphe) yakınlarındaki Prunier isimli zengin deniz mahsulleriyle maruf restoranda ılıman bir bahar akşamı, Saat 8.40'da Paris standartlarında erken sayılabilecek bir akşam yemeğiydi. Sohbet eden müşterilerin uğultusu, servis edilmek üzere kabuğu kırılan deniz mahsulleri seslerinin arasında Yves Bigot'un ısrarla çalan telefonu cevapsız kalıyordu. Sonradan şöyle hatırlıyor Bigot olanları: "Bir baktım ki bir sürü cevapsız arama, SMS'ler, e-mailler ve sair. İki telefonum da çıldırmıştı."
TV5 Monde'de eli ayağı birbirine dolaşan personel amirlerine ulaşmaya çalışıyordu. Bir şeyler acayip şekilde ters gidiyordu.
Tarih 9 Nisan 2015: Dünyanın en büyük frankofon yayın organı TV5Monde'nin ağındaki kanalların yayınları teker teker kesildi. Lobisinden stüdyosuna kadar kuruluşun ana merkezindeki yüzlerce televizyon ekranı sessizliğe gömüldü. Kanalın bodrum katındaki serverları sistemli şekilde siliniyordu.
TV5Monde'nin genel müdürü Bigot maillere bakarken resimli bir mesajı açtı. Bir iş arkadaşı kanalın internet sitesi ve sosyal medya hesaplarının resmini paylaşmıştı: Kanalın turkuaz logosunun yerinde siyah arka plan üzerine beyaz renkte kelime-i şehadet yazılıydı. Üstte de şu: SiberHilafet. Ben DEAŞ'ım (CyberCaliphate. Je suIS IS.)
Ağır silahlı terörle mücadele timleriyle etrafları sarılı vaziyette bir mühendis ekibi geceyi ağı kurtarmakla geçirdi. Kıl payıyla da kurtardılar.
Müteakip günlerde DEAŞ'ın saldırıyı üstlenmesi beklense de böyle bir şey hiç gerçekleşmedi. Siber istihbarat uzmanları suçluları tespit edebilmek için olay mahallinde haftalarca kaldılar. İki ay sonra Fransa'nın siber güvenlik ajansı ANSSI Yves Bigot'a brifing verdi: Saldırının DEAŞ'la alakası yoktu. Ajans, APT 28 diye bilinen bir grubu saldırıdan mesul tutuyor. Yani Rusları...
DNC'YE SALDIRI
Bir yıl sonra yani 2016 baharında, ABD başkanlık kampanyasının sürdüğü esnada APT 28 daha küstah bir operasyona girişecekti. Grup, Hillary Clinton'u itibarsızlaştırmak için Demokratik Ulusal Komitesi'ni (DNC) hack'leyip binlerce dosyayı ifşa etti ve ABD'nin demokratik sisteminin itibarının sorgulanmasına sebep oldu.
Saldırının büyüklüğü ABD'yi şoke etti. Fakat APT 28'in tekamülüne ve TV5Monde örneğinde gördüğümüz üzere, operasyonlarındaki farklılaşmaya aşina olanlar için DNC hadisesi sürpriz olmadı.
FBI'ın eski müdür muavini ve DNC'yi koruma işini uhdesine alan CrowdStrike isimli siber güvenlik şirketinin şu anki başkanı Shawn Henry ise şunları söylüyor: "Mesele ayan beyan ortada. İnsanlar bu tür saldırıların neticelerini anlamıyor. Amerika'da siber güvenliğe sekiz sene öncesinde olduğumuzdan daha uzağız."
Financial Times APT 28'in faaliyetleri hakkında malumat sahibi olan kıdemli istihbaratçılar, askerler ve sivil siber güvenlik uzmanlarının aralarında olduğu bir düzineden fazla isimle konuştu.
FT'nin görüştüğü ABD, İngiltere, İsrail ve Almanya'daki yetkililerin hepsi APT 28'in Rusya'nın büyüyen askeri istihbarat kanadı GRU tarafından idare edildiğini belirttiler. Moskova APT 28'le irtibatı olduğu iddialarını ısrarla inkar ediyor.
Grubun faaliyetlerinin artarak devam etmesine dair de bir endişe mevcut. Geçen yıl NATO'ya yapılan saldırılar yüzde 60'a, Avrupa Birliği'ne yapılanlar ise yüzde 20'ye yükselmiş, bu kuruluşlardan gelen bilgilere göre.
Bu saldırılardan artakalan deliller, henüz detaylı olmaktan uzak olmakla birlikte, Vladimir Putin'in liderliğinde Rusya'nın dünyaya bakışına ve modern Rus devletinin o dünyadaki yerini nasıl sağlamlaştırması gerektiğine dair ipuçlarına götürüyor. Bu, yıllardır geliştirilen bir tür ustaca planlanmış bir oportünizm ve esnekliğin, ama ayrıca derin ve dikkate değer stratejik fedakarlığın, saldırı ve nüfuz silsilesinin bir örneği.
İsmini vermek istemeyen tecrübeli bir sektör analistinin demesine göre, bu sene genel seçimlerin tertipleneceği Fransa ve Almanya'da, APT 28 siyasi partilerin bilgisayarlarına çoktan sızdı. Analist, grubun DNC hadisesinden sonra da "birkaç" ciddi yeni operasyona başladığını ekliyor. Batılı bir güvenlik yetkilisine göre, APT 28 ekseriyeti Suriye'de faal olan ve bazıları ülkedeki iç savaşla ilgili zayiat bilgilerini paylaşan yardım kuruluşlarını ve sivil toplum örgütlerini hack'ledi. Rusya'nın iddiası Suriye'de terörizmle savaştığı yönünde. Batı ise Rus bombardımanlarının amacının yalnızca Esed rejimini desteklemek olduğunda ısrarcı. Savaşla ilgili objektif bilgi kimin doğru söylediğini tespit etmede oldukça kritik.
Institute for Statecraft'ın kurucusu ve bir ara NATO genel sekreterlerinin müşavirliğini de yapmış olan Chris Donnely: "Putin ile ekibi Çarlık ve bilhassa Komünist devri gizli servislerinin varisleridir. Onların anlayışı, batı ile daimi bir ihtilaf hali ki bu noktada bilgi hep mühim bir mevzu olmuştur. Propaganda ve fitnecilik ve aktif tedbirler (active measures) adını verdikleri konu veya kirli oyunlar, savaş ilanına varmayacak her şeyin kullanılması mubahtır bu anlayışa göre," diyor.
KREMLİN'İN İRTİBATLARI
Sansasyonel hack'ler hakkındaki teknik bir analize göre APT 28 en azından on yıldır faal. Ve on yıldır batıdaki en hassas askeri ve diplomatik kuruluşları hedef alıyor. Siber güvenlik uzmanlarına göre evvelki hedefler arasında önceleri Blackwater ismiyle bilinen özel askeri şirket Academi; Amerikan savunma ve istihbarat taşeron şirketi SAIC; Fransız ve Macar savunma bakanlıkları; NATO ateşe militerleri; Avrupa Güvenli ve İşbirliği Teşkilatı; ve ABD Dışişleri Bakanlığı bulunuyor.
Bir İngiliz güvenlik yetkilisinin ifadesine göre grubun kodlamaları ve teknik kapasitesi "üst seviye." Ancak daha orijinal olansa grubun gerçekçi ama virüslü ekli dosyaları içinde barındıran gelişmiş sahte e-maillerle yaptığı yemleme faaliyetleri. Financial Times, grubun kullandığı bazı tuzakları gördü. 2010 senesinde mesela NATO'nun Ankara'daki askeri ateşelerine mesai arkadaşlarından geldiği süsü verilmiş e-mailler gönderildi. Bu e-maillere de NATO'daki meslektaşlarının irtibat bilgilerinin yer aldığı Excel dosyaları iliştirilmişti. Bu numara işe yaradı ve iki sene sonra tekrarlandı: Bu sefer APT 28 üst rütbeli İngiliz askerlerin irtibat bilgilerinin ve inandırıcı olması adına eşlerinin adları ile onların da irtibat bilgilerinin yer aldığı güncellenmiş bir e-maili Londra'daki büyükelçiliklere gönderdi.
Dosyalara tıklayan alıcılar farkında olmadan APT 28'in yazdığı virüsü bilgisayarlarına yüklediler. Bu küçük köprü başı mevkiler vasıtasıyla grup gözetleme mekanizmalarını hedef ağlarda yayarak gizli materyallere erişti ve muazzam ölçüde zarar verme fırsatı elde etti.
Moskova merkezli siber güvenlik firması Kaspersky Labs'ın global araştırmalar müdürü Costin Raiu, APT 28'in kaynak yönüyle diğer bilgisayar korsanı gruplardan ayrıldığını söylüyor. Grubu ayrı kılan, diyor Raiu, gerçekleştirdiği "sıfır gün" saldırılarının (zero day attacks) — üreticilerin, yazılımlarında kendilerinin haberdar olmadığı açıklardan faydalanan operasyonlar — sayısı ki her bir operasyon gruba 100,000 dolara mal oluyor. APT 28, 2015'te kayıtlara giren altı sıfır gün saldırısı icra etti.
Yazdıkları virüsteki kodlar analiz edilerek grubun faaliyetlerinin izi 2007 yılına kadar sürülebilse de ancak 2014'e gelindiğinde artık gizlenmeleri zorlaşmaya başladı. "2014'te bu grubun işlettiği alt yapıya ilk kez temas edebildik," diyor siber güvenlik firması FireEye'ın global istihbarat direktörü Laura Galante.
Korsanların ürettiği virüslerden numuneler, bilhassa dijital parmak izlerini, toplamak suretiyle FireEye grubun faaliyetlerinin tarihçesini çıkardı. 2014 tarihli bir raporunda bu grubu ilk kez APT 28 olarak isimlendiren de (advanced persistent threat) FireEye oldu. Diğer siber güvenlik ve teknoloji firmaları daha bile havalı isimler uydurdular: Sofacy, Stronsiyum (Strontium) ve Süslü Ayı (Fancy Bear) bunlardan bazıları.
APT 28'in parmağının olduğu yüzlerce vakadan toplanan deliller Rusya'yı işaret ediyor. Galante, grubun klasik casusluk sanatının tüm vasıflarını taşıdığı belirterek ekliyor: "Bu işin arkasında on yıllık, en az iki farklı strateji takımının yürüttüğü profesyonel bir çalışma var. Aygıt geliştirmeyle meşgul bir takım ve hedefin neye benzediğini araştırıp operasyonları organize eden diğer bir takım."
DİJİTAL ÇAĞDA CASUSLUK SANATI
TV5Monde hadisesini soruşturan Fransız istihbarat teşkilatları grupla Kremlin arasında bir irtibat bulmakta bir yol kat edemedi.
ANSSI'nın TV5Monde saldırısının kayda değer bir tecrübenin ürünü olduğu yönünde vardığı neticeye rağmen... Ocak 2015'ten başlayarak, karikatür dergisi Charlie Hebdo'nun Paris bürosuna yapılan terör saldırısından yalnızca günler sonra, APT 28 TV5Monde serverlarının belkemiğini oluşturan birbiriyle bağlı bilgisayar ağları ve yayın ekipmanlarının bir haritasını çıkardı. Bu ise telekomünikasyon mühendisleri, becerikli bilgisayar programcılarını ve operasyonun planlanıp tatbik edilmesi için taktik elemanları gerektiren bir mesaiydi. ANSSI en az yedi farklı "vektör" girişi tespit etti. Öyle ki APT 28 TV5Monde'ye ekipman tedarik eden üçüncü parti firmalara bile sızıp kanalın istasyon stüdyolarında kullanılan otomatik kameraların için virüs yerleştirmiş.
Saldırı yalnız şans yardımıyla savuşturuldu. Rutin olarak iki bilişim uzmanı bulunduran TV5Monde'nin hadisenin yaşandığı gün bünyesindeki yeni bir kanalın kuruluşu nedeniyle on bilişim uzmanı vardı. İşte APT 28'in saldırıyı gerçekleştirmek üzere kullandığı dahili serverı fark eden o ilave bilişimcilerden birisi oldu. Bodruma inip kabloları soketlerinden çıkardı. "O arkadaş buradaki kahramanımız," diyor
BİGOT
Kritik soru ise APT 28'in yıllardır gizlice sürdürdüğü istihbarat toplama işinden daha riskli saldırı, sabotaj ve manipülasyon operasyonlarına neden geçiş yaptığı... TV5Monde saldırısı, diyor Bigot, "bir demo kaset gibiydi."
Kremlinologlar ve batı istihbarat topluluğu Rusya'nın batı ile olan ilişkilerindeki istikamet değişikliğinin başlangıcı hususunda hala birlik değil: Bazıları 2014'de vuku bulan Kiev Meydan Devrimi ve Doğu Ukrayna'nın müteakip işgaline kadar götürüyor. Bazıları ise ABD'nin yıllardır süregelen pervasız dış politikasıyla şiddetlenen Moskova'nın paranoyaklığı neticesinde Rusya'nın yavaşça bir iflasa sürüklendiğini; hatta bir rejim değişikliği arzusu olduğunu belirtiyor: Daha küçük bir grup ise Rusya'nın Sovyet, hatta Çarlık devri jeopolitik rotasını yeniden izlediği her zamankinden daha geniş bir kavis gördüklerini belirtiyor.
Rus ordusu, batı orduları gibi, sıkı yasaklamalar sebebiyle siber savaş konusunda konuşmaya pek mütemayil değil. Bunun yerine, amacın dijital çağı yakalamak olduğu daha geniş bir konsept olan bilgi savaşını (information warfare) — Sovyet devrinden de öncesine giden bir konsept — konuşmayı tercih ediyorlar.
Çarşamba günü [22 şubat olmalı] Rus savunma bakanı Sergey Şoygu senelerdir rivayetleri dolaşan ama resmi makamların inkar ettiği "istihbarat askerlerinin" (information troops) varlığını doğruladı. Parlamentonun alt kanadına hitaben şunu dedi Şoygu: "Propaganda akıllıca ve etkili şekilde yapılmalı." İş dünyasına dönük yayın yapan Rus gazetesi Kommersant'a göre Rusya, 1,000 personelden mürekkep "siber ordusu" için yıllık 300 milyon dolar harcıyor.
The Red Web kitabının yazarlarından Andrey Soldatov'a göre Kremlin uzun zamandır siber güvenliği bilgi savaşının bir parçası olarak görüyor. "Bir nevi kuşatma altında olduklarına ve Birinci Çeçen Savaşı'nı gazeteciler yüzünden kaybettiklerine inanıyorlar. Dolayısıyla bir kriz halinde olduklarında ilk yaptıkları şey bilgi akışını kontrol etmek," diye ekliyor Soldatov.
Rusya uzmanlarına göre APT 28'in artan faaliyetlerinde strüktürel bir dinamik var. Putin 2013'te Rusya'nın yurt dışındaki operasyonlarının kontrolünde bir modernizasyona gidilmesini emretti. Propaganda, iktisadi nüfuz ve istihbarattan konvansiyonel askeri operasyonlara kadar her şeyi koordine etmek üzere Ulusal Savunma Güvenlik Merkezi (National Defence Control Centre) kuruldu.
Chris Donnely şöyle diyor: "Tüm bu çatışma ve rekabet tiplerini baktıklarında artık tutarlı, yekpare bir bakışla ne yapmaları gerekiyorsa öyle yapıyorlar. Askeri bir anlayışla hareket etmenin tarifi diyebiliriz buna."
Şimdiki halde GRU, Rusya'nın düşmanlarıyla olan mücadelesinde merkezi bir rol üstlenmiş oldu. Chatham House'dan James Sherr, "GRU'nun ehemmiyeti arttı. Şayet bu kadar mühimseniz Rus sisteminde büyürsünüz," diyor.
Vaziyet gergin. Rusya ve NATO arasındaki gerginlik Baltık ve Karadeniz'de daha da yüksek bir irtifada seyrediyor. Yeni emekli olmuş kıdemli bir İngiliz generalin meseleyle ilgili esprisi şöyle: "Siber alem yeni Balkanlar'dır."
"TV5Monde'de dönüş yok: Kanal dijital detoksa geçiş yaptı"
APT 28'in TV5Monde'ye saldırmasından sonraki ilk altı ayda kanal dijital çağ öncesine geri döndü.
Her katta yalnızca bir tane güvenli bilgisayar vardı. Personel sadece e-maillerine bakmak için en az 20 dakika sıra beklemek zorunda kaldı. Skype gibi mesajlaşma servisleri yasaklandı. Personel harici flaş diskleri kullanamadı. Upload edilmiş dosyalara titizlikle tarandıktan sonra erişilebildi.
Kanalın müdürü Yves Bigot siber güvenliğin ateşli bir destekçisi oldu. Kanalın niye hedef alındığı hala belli değil. Bigot, bunun hangi sektörde olursa olsun her şirket için bir uyarı mahiyetinde olması gerektiğini söylüyor.
Şu sözlerle kendini teselli ediyor: "Dijital dünyanın eğlenceli, basit, sakin ve tabii olması gerekiyor. Ama vaziyet tam tersi."
Kanalın ağ personeli her yurt dışına çıktığında, sisteme girdiklerinde her seferde şifreleri değişiyor. Telefonların şarj edilmesi için bilgisayarlara bağlanması yasak. "Artık öyle bir hale gelecek ki bir daha normal dönemeyeceğiz," diyor Bigot.
Bigot TV5Monde'nin şanslı olduğunu söylüyor. Kanal dersini aldı ve yeni vaziyete adapte oldu. Diğer kuruluşlar da aynı şeyi yapmaya mecbur kalacak. Ama çoğu hala ayak diriyor.
"Konuştuğum diğer şirketler bir şeyler yapmak zorunda olduklarını kabul ediyor. Fakat mesele araba sürmek gibi. Kaza asla sizin başınıza gelmeyecektir zira siz dikkatli, iyi bir şoförsünüzdür ve alkollü de değilsinizdir. Böyle düşünerek ciddiye almıyorsunuz, ta ki sizin de başınıza gelinceye kadar..." diyor Bigot.
Kaynak: Financal Times
Dünya Bülteni için çeviren: Mustafa Doğan