ABD, 15 Nisan günü önce Beyaz Saray, ardından Hazine Bakanlığı aracılığıyla Rusya’yı siber casusluk operasyonlarından dolayı açıkça suçlayan bir bildiri yayınladı ve yaptırımlar açıkladı. Ayrıca ülkede bulunan 10 Rus diplomatı da Rusya Dış İstihbarat Servisi (SVR) ile bağlantılı oldukları gerekçesiyle sınır dışı etme kararı aldı. SVR, Rusya Askeri İstihbarat Servisi (GRU) gibi Rus istihbarat servislerinin ABD’ye yönelik son aylarda yaşanan siber saldırılarda başat role sahip oldukları ifade edilen açıklamalara İngiltere, Kanada, Avustralya, Yeni Zelanda, NATO ve Avrupa Birliği (AB) de destek verdi ve ABD ile dayanışma içinde olduklarını belirterek Rusya’yı küresel siber casusluk operasyonlarından sorumlu tuttular.
ABD’nin söz konusu suçlamalarına ve yaptırım açıklamasına Kremlin’den tepki de gecikmedi. Öncelikle ABD’nin bu suçlamalarının asılsız olduğu ve yaptırımların ABD-Rusya ikili ilişkilerini tehlikeye attığı belirtildi. Ardından suçlamalarda sıklıkla anılan Rus dış istihbarat servisi SVR tarafından yayınlanan yazılı açıklamada, bu ifadelerin “saçma” olduğu ve SVR’nin bu tip eylemlerde rolünün olmadığını belirtildi. Bu açıklamaların akabinde Kremlin, aralarında ABD Ulusal İstihbarat Direktörü (DNI), Federal Soruşturma Bürosu (FBI) ve eski Merkezi İstihbarat Teşkilatı (CIA) yöneticilerinin de olduğu 9 kişiye Rus topraklarına giriş yasağı getirdiklerini açıkladı.
Rusya’nın, GRU ve SVR üzerinden kontrol edilen APT (gelişmiş sürekli tehdit) grupları aracılığıyla geniş ölçekli küresel siber casusluk operasyonlarına ilaveten geçtiğimiz Aralık ayında tespit edilen SolarWinds operasyonu bazında da suçlandığı biliniyor. SolarWinds operasyonu, ABD ve Avrupa’ya ciddi oranda zarar veren ve bugüne kadar uygulanış bakımından örneği olmayan bir siber operasyon olarak nitelendiriliyor.
Daha önceleri ABD ve İngiltere farklı zamanlarda ya da ortak yapılan açıklamalarla Rusya’yı siber saldırılardan dolayı doğrudan suçlamışlardı. Ancak bu kez ilk defa ABD, İngiltere, Kanada, Avustralya, Yeni Zelanda, NATO ve AB’nin peş peşe gelen açıklamaları ve bir tür ortak görüş bildirir gibi doğrudan Kremlin’i adeta “siber suçlu” gibi tanımlamaları son derece manidar.
SolarWinds operasyonunda esas hedef ABD’ydi
Uluslararası alanda “SolarWinds saldırısı” olarak bilinen ve başta ABD olmak üzere dünya genelinde onlarca ülkede geniş ölçekli siber casusluk (cyber espionage) faaliyetleri yürüttüğü tespit edilen küresel operasyonda Rusya doğrudan suçlanmıştı. Dünya çapında hizmet veren SolarWinds şirketinin Orion adlı platformundaki bir zafiyet üzerinden yürütüldüğü değerlendirilen siber operasyonun gelişmiş teknik istihbarat kapasitesine sahip SVR ve GRU tarafından gerçekleştirildiği düşünülüyor.
ABD istihbarat servislerinin yanı sıra FireEye ve Microsoft gibi şirketler tarafından tespit edilip raporlanan SolarWinds operasyonunun, dünyada en çok zararı ABD kamu kurumlarına verdiği belirtilmişti. ABD’li yetkililer bu operasyonda açıkça Rus istihbarat servisleri SVR ve GRU’yu suçlamış ve bu servislere bağlı APT28 ve APT29 gruplarının kritik kurumlara sızıp yaklaşık 9 ay boyunca fark edilmeden istihbarî veriler elde ettiğini açıklamıştı.
SolarWinds operasyonunun tespit edilmesinin ardından ABD istihbarat raporları ve küresel siber güvenlik şirketlerinin değerlendirmesine göre Kremlin destekli bu eylemin spesifik olarak doğrudan ABD’yi hedef aldığı görüldü. Anlaşılan, ABD’nin kritik kamu kurumlarına hizmet verdiği bilinen SolarWinds, bu konuda Ruslar için “en uygun hedef” olarak belirlenmişti. Bu stratejik hedef üzerinden Rusların kritik ABD kurumlarından istihbarat toplamak için uzun vadeli bir operasyon planladığı çıkarımı yapılabilir.
Operasyonun Mart ve Aralık ayları arasında 9 ay boyunca devam ettiği bilgisinden hareketle, siber casusluk faaliyetinin sonunda Ruslar tarafından kayda değer “hassas veriler” elde edildiği ileri sürülebilir. Özellikle SolarWinds’i hedef olan Orion platformunun Pentagon, Beyaz Saray, Ulusal Güvenlik Ajansı (NSA) gibi stratejik kurumlar tarafından kullanıldığı bilgisi de göz önüne alınırsa Kremlin’in bu operasyonda hedeflenen başarıya ulaştığı söylenebilir.
APT grupları temelinde küresel siber casusluk faaliyetlerini yürüten aktörlerin sadece Çin, Rusya veya İran olmadığını da ifade etmek gerek. En az onlar kadar ABD ve İngiltere’nin de NSA ve GCHQ teşkilatları üzerinden siber casusluk faaliyetleri yürüttüğü biliniyor. Hatta her iki ülkenin APT gruplarının varlığı da bir süre önce tespit edilmişti.
Rus istihbarat servislerinin en kritik aygıtı: APT grupları
Dünya çapında başta Çin ve Rusya olmak üzere İran ve Kuzey Kore istihbarat servislerinin kontrolünde olduğu değerlendirilen 60’a yakın APT grubunun var olduğu biliniyor. Bu noktada, küresel siber alanda faaliyet gösterdiği bilinen APT gruplarının çoğunun Çin menşeli olduğunu da belirtmek gerekir. Çin’in ardından gelen Rusya’nın da en aktif ve gelişmiş iki siber aktörü APT28 (Fancy Bear) ve APT29 (Cozy Bear) gruplarıdır.
Tamamen devlet desteğiyle/kontrolüyle hareket ettiği bilinen bu tip APT gruplarının amacı, ilgili hedeflere yönelik kapsamlı siber casusluk operasyonları yürütmek. Bu operasyonlar genellikle belirli bir plan ve program dâhilinde, kritik zafiyetler üzerinden aylarca, hatta yıllarca sürebilmekte. Dolayısıyla APT grupları, devletlerin istihbarat servisleri için siber casusluk konusunda en önemli aygıtlardan.
APT gruplarının GRU, SVR gibi Rus istihbarat servisleri için önemi de oldukça büyük. 15 Nisan’da ABD tarafının açıklamasında da söz konusu Rus APT gruplarına dikkat çekilmişti. Buna göre, ABD’deki kritik kamu kurumlarını ve özel şirketleri hedef alan Rus siber operasyonlarının arkasındaki SVR ve GRU teşkilatlarının, doğrudan bünyelerinde yer aldığı düşünülen APT28 ve APT29 grupları aracılığıyla saldırıları gerçekleştirdikleri ifade ediliyor.
ABD resmî istihbarat raporları ve teknik dokümanlar doğrudan adı geçen grupları ve istihbarat teşkilatlarını adres gösterirken ardından açıklama yayınlayan İngiltere ve Kanada da aynı isimleri verdi. İngiltere ve Kanada’nın bu açıklamaları, APT28’in GRU’ya, APT29’un ise SVR’ye bağlı olduğu bilgisini de doğrulamış oldu.
Bunların ötesinde ABD ile ortak görüş belirten açıklamalar yapan devletler ve NATO, AB gibi uluslararası aktörler de aynı değerlendirmede bulundular. Söz konusu açıklamalar, Rusya’ya karşı ciddi bir “siber ittifak”ın oluştuğunu ve Rusların siber casusluk operasyonlarına yönelik ortak mücadele stratejileri geliştirileceğini gösteriyor.
Uluslararası alanda “SolarWinds saldırısı” olarak bilinen ve başta ABD olmak üzere dünya genelinde onlarca ülkede geniş ölçekli siber casusluk (cyber espionage) faaliyetleri yürüttüğü tespit edilen küresel operasyonda Rusya doğrudan suçlanmıştı. Dünya çapında hizmet veren SolarWinds şirketinin Orion adlı platformundaki bir zafiyet üzerinden yürütüldüğü değerlendirilen siber operasyonun gelişmiş teknik istihbarat kapasitesine sahip SVR ve GRU tarafından gerçekleştirildiği düşünülüyor.
Rusya’ya karşı siber cephe
İlk olarak 1946 yılında ABD ve İngiltere arasında imzalanan, daha sonra Kanada, Avustralya ve Yeni Zelanda’nın katılımıyla genişletilen ve UKUSA şeklinde bilinen “elektronik istihbarat” ittifakı, Beş Gözler (Five Eyes) olarak ifade edilmekte. Bu anlaşma günümüzde daha çok ABD-Birleşik Krallık ittifakı olarak tanımlanıyor. Zira Kanada, Avustralya ve Yeni Zelanda İngiliz Milletler Topluluğu üyesi olduğundan uzmanlara göre bu durum “ABD-Birleşik Krallık ortak istihbarat havuzu”na da işaret ediyor.
Dolayısıyla Beş Göz Grubu’nun esas olarak ABD ve İngiltere arasında bir elektronik istihbarat ittifakı olduğu ifade edilebilir. ABD’deki NSA ve İngiltere dijital istihbarat servisi GCHQ teknik istihbarat teşkilatlarının günümüzdeki esas yapısını bu anlaşma neticesinde kazandığı da söylenebilir.
Beş Göz Grubu’na ilaveten NATO ve AB gibi uluslararası aktörlerin de Rusya’ya yönelttiği siber casusluk suçlamaları, bugüne kadar örneği olmayan bir durumu ifade ediyor. Daha önceleri ABD ve İngiltere farklı zamanlarda ya da ortak yapılan açıklamalarla Rusya’yı siber saldırılardan dolayı doğrudan suçlamışlardı. Ancak bu kez ilk defa ABD, İngiltere, Kanada, Avustralya, Yeni Zelanda, NATO ve AB’nin peş peşe gelen açıklamaları ve bir tür ortak görüş bildirir gibi doğrudan Kremlin’i adeta “siber suçlu” gibi tanımlamaları son derece manidar. ABD’nin yanı sıra özellikle İngiltere ve Avustralya hükümet yetkilileri de Rusya’nın zararlı siber faaliyetlerinin son bir yıldır ülkelerini ciddi anlamda tehdit ettiğini açıkça söylediler.
Bu aktörler, özellikle SolarWinds saldırısı üzerinden Rusya’yı hem kendi egemenliklerine yönelik hem de uluslararası alanda zararlı siber aktivitelerin yanında komplike siber casusluk operasyonları yürütmekle suçluyor. Siber dünyada bu gelişmenin nelere yol açacağı şimdilik bilinmiyor ancak Rusya’nın, siber alandaki en önemli gücü olan APT gruplarının faaliyetlerini hiçbir şekilde durdurmayacağını hatta yoğunluğunu daha da artıracağını söylemek mümkün.
Batı’nın siber casusluk grupları yok mu?
APT grupları temelinde küresel siber casusluk faaliyetlerini yürüten aktörlerin sadece Çin, Rusya veya İran olmadığını da ifade etmek gerek. En az onlar kadar ABD ve İngiltere’nin de NSA ve GCHQ teşkilatları üzerinden siber casusluk faaliyetleri yürüttüğü biliniyor. Hatta her iki ülkenin APT gruplarının varlığı da bir süre önce tespit edilmişti.
Örneğin NSA’nın EquationGroup, CIA’in de Longhorn adı verilen APT gruplarına sahip olduğu ve bu grupların özellikle Microsoft, IBM, Apple gibi teknoloji devlerinin ürünlerini istismar edip küresel siber casusluk faaliyetleri de yürüttüğü söyleniyor. Dahası, birçok kaynakta da EquationGroup’un sadece ABD değil, Beş Göz Grubu’nun tamamına hizmet verdiği ve doğrudan NSA-GCHQ ortak kontrolü altında hareket ettiği belirtiliyor.
ABD özelinde, daha çok teknoloji şirketleri ve yazılım firmaları üzerinden yürütülen bu tarz siber istihbarat faaliyetleri kimi zaman Çin tarafından da tespit ediliyor ve raporlanıyor. Örneğin geçtiğimiz yıl, Çin istihbarat servisleri tarafından desteklendiği iddia edilen CoreSecurity adlı şirketin yaptığı bir teknik rapor değerlendirmesinde, CIA’in kontrolünde olduğu belirtilen ve APT-C-39 olarak adlandırılan siber casusluk aktörünün 11 yıl boyunca Çin devlet kurumlarını ve şirketlerini hedef aldığı ortaya çıkmıştı.
Buradan da anlaşıldığı üzere, Rusya, Çin, İran gibi devletlerin APT grupları üzerinden yaptığı operasyonları ABD, İngiltere gibi devletler teknoloji devleriyle olan ilişkilerinden dolayı başka araç veya aygıtlarla da yapabiliyor. Siber casusluk faaliyetleri dışında ABD’nin NSA, İngiltere’nin de GCHQ üzerinden küresel gözetleme (surveillance) faaliyetleri yürüttüğü de uzun zamandır biliniyor.
Dolayısıyla siber dünyada devletlerin sadece savaş zamanı değil barış zamanlarında bile siber casusluk operasyonlarını gerçekleştirdiklerini, üstelik bunların fark edilmeden sızdıkları yerde yıllarca kalarak ciddi kayıplara yol açabildiklerini vurgulamak gerek. Küresel siber casusluk operasyonları çok yönlü olarak sürekli devam ediyor ve bundan sonra da yoğun olarak devam edecektir.
[Siber güvenlik alanında istihbarat ve devlet destekli siber aktiviteler konularında çalışmalar yapan Ersin Çahmutoğlu İran Araştırmaları Merkezi (İRAM) Güvenlik Araştırmaları masasında görev yapmaktadır]