Ukrayna’yı Savunmak: Siber Savaştan Çıkarılan İlk Dersler

Rusya, şaşırtıcı olmayan bir şekilde, erken dönem seyir füzesi saldırılarından birinde Ukrayna’nın hükumet veri merkezini hedef aldı. Ait oldukları yerlerde tutulan diğer sunucular da benzer şekilde, konvansiyonel silahların saldırılarına açıktı. Rusya ayrıca şirket içi bilgisayar ağlarını da yıkıcı “silme” saldırılarıyla hedef aldı. Ancak Ukrayna hükumeti, hızlı hareket edip dijital altyapısını Avrupa'daki veri merkezlerinde barındırılan genel buluta aktararak sivil ve askeri operasyonlarını sürdürebilmeyi başardı.

Bu süreçte Microsoft da dahil olmak üzere teknoloji sektörünün attığı acil ve olağanüstü adımların da katkıları oldu. Teknoloji sektörünün yaptığı çalışmalar kritik öneme sahip olsa da bu çabalardan çıkarılacak daha uzun süreli dersleri de düşünmek gerekir.

Siber etkinlikler çıplak gözle görülemediği için gazetecilerin hatta birçok askeri analistin bile bunları izlemesi zordur. Microsoft, Rus askeri güçlerinin, 48 farklı Ukrayna kurum ve kuruluşuna, çok sayıda yıkıcı siber saldırı dalgası başlattığını gördü. Bu saldırıların amacı, başlangıçta yüzlerce bilgisayarı ele geçirerek ağ alanlarına nüfuz etmek ve ardından da binlerce başka bilgisayardaki yazılım ve verileri yok etmek için kötü amaçlı yazılımlar yaymaktı.

Rusya’nın bu savaşta kullandığı siber taktikler, 2017 yılında Ukrayna'ya karşı gerçekleştirilen NotPetya saldırısında kullanılanlardan farklıdır. O saldırıda, bir bilgisayar alanından diğerine atlayabilen ve dolayısıyla sınırları aşarak diğer ülkelere geçebilen "solucanlaştırılabilir" yıkıcı kötü amaçlı yazılımlar kullanılmıştı. 2022 yılında ise Rusya, yıkıcı "silme yazılımlarını" Ukrayna'nın kendi içindeki belirli ağ alanlarıyla sınırlandırmaya özen gösterdi. Ancak yakın zamanda gerçekleşen ve devam etmekte olan yıkıcı saldırılar, pek çok raporun iddia ettiğinden daha sofistike ve daha yaygın. Ve Rus ordusu, siber saldırıları konvansiyonel silahların kullanımıyla birleştirmek gibi yöntemlerle bu yıkıcı saldırıları, değişen savaş ihtiyaçlarına uyarlamaya devam ediyor.

Şu ana dek bu yıkıcı saldırıların belirleyici bir yönü de siber savunmaların gücü ve göreceli başarısı oldu. Mükemmel olmasalar ve bazı yıkıcı saldırılar başarılı olsa bile bu siber savunmaların, saldırı için kullanılan siber yeteneklerden daha güçlü olduğu kanıtlandı. Bu da iki önemli ve yeni eğilime işaret ediyor. Bir, yapay zeka kullanımı da dahil olmak üzere tehdit analizinde yaşanan gelişmeler, bu saldırıların daha etkili şekilde algılanabilmesini sağlamıştır. İki, internet bağlantılı uç nokta koruma sayesinde koruyucu yazılım kodu hızlıca hem bulut hizmetlerine hem de diğer bağlı programlama cihazlarına dağıtılabilmiş ve kötü amaçlı yazılımların tespit edilip devre dışı bırakılması mümkün olmuştur. Ukrayna hükumeti ile sürdürülen, savaş zamanı yenilikleri ve önlemleri de bu korumayı daha da güçlendiriyor. Ancak bu savunma avantajını sürdürmek için sürekli tetikte olmak ve yenilik yapmak gerekmesi de muhtemel.

Microsoft olarak Rusya’nın, Ukrayna dışındaki 42 ülkede 128 kuruluşun ağına, izinsiz girmeye çalıştığını tespit ettik. Rusya'nın bir numaralı hedefi Amerika Birleşik Devletleri olsa da bu faaliyetlerde, askeri ve insani yardımın lojistik dağıtımının büyük ölçüde koordine edildiği Polonya'ya da öncelik verdikleri görüldü. Bunun yanı sıra Baltık ülkelerini de hedef aldılar ve son iki ay içinde Danimarka, Norveç, Finlandiya, İsveç ve Türkiye'deki bilgisayar ağlarını hedef alan benzer faaliyetlerde bir artış yaşandı. Yine diğer NATO ülkelerinin dışişleri bakanlıklarını hedef alan benzer faaliyetlerde de bir artış gözlemledik.

Rusya, öncelikli olarak hükumetleri, özellikle de NATO üyesi olanları hedef almıştır. Ancak listede düşünce kuruluşları, insani yardım kuruluşları, bilişim şirketleri, enerji ve diğer kritik altyapı tedarikçileri de yer alıyor. Savaşın başlangıcından bugüne Rusya, tespit ettiğimiz saldırıların yüzde 29’unda başarılı oldu. Bu başarılı izinsiz girişlerin dörtte birinin de, hedef alınan kurumların verilerinin sızdırılmasıyla sonuçlandığını biliyoruz ancak raporda açıklandığı üzere Rusya’nın gerçek başarısı, muhtemelen bundan daha yüksek.

Bizi en çok endişelendiren, bulut yerine kurum içinde çalışan kamu bilgisayarları. Bu da saldırgan siber casusluk ve savunmacı siber korumanın mevcut ve küresel durumunu yansıtıyor. 18 ay önce SolarWinds olayının gösterdiği gibi, Rusya'nın istihbarat teşkilatları kod yerleştirme ve bir ağdan hassas bilgileri sürekli olarak elde edebilen ve sızdırabilen Gelişmiş Sürekli Tehdit (GST) olarak faaliyet gösterme konusunda son derece sofistike yeteneklere sahip. O zamandan bu yana savunmaya yönelik korumada önemli ilerlemeler kaydedilmiş olsa da Avrupa hükumetleri, henüz bu ilerlemeleri ABD kadar iyi uygulayabilmiş değil. Dolayısıyla da önemli kolektif savunma zayıflıkları devam ediyor.

Bu operasyonlar, KGB’nin onlarca yıl içinde geliştirdiği taktikleri yeni dijital teknolojiler ve internetle birleştirerek yabancı etki operasyonlarının daha geniş bir coğrafyaya erişmesine, daha büyük bir hacme sahip olmasına, daha hassas hedefler belirlemesine ve daha hızlı ve çevik olmasına yardımcı olur. Ne yazık ki bu siber etki operasyonları, yeterince sofistike ve iyi planlanmış olduklarında demokratik toplumların uzun süredir devam eden açıklığından ve günümüzün karakteristik özelliklerinden biri olan toplumsal kutuplaşmadan rahatlıkla istifade edebilir.

Ukrayna’daki savaş ilerledikçe Rus kurumlar da siber etki operasyonları için dört farklı kitleye odaklanmaya başladı. Savaş çabalarına desteklerinin sürmesi için Rus nüfusunu hedef alıyorlar. Ülkenin Rus saldırılarına karşı durma isteği ve gücündeki öz güveni azaltabilmek için Ukrayna nüfusunu hedef alıyorlar. Batı’daki birliğe zarar vermek ve Rus ordusunun savaş suçu işlediğine dair eleştirileri ortadan kaldırmak için Amerika ve Avrupa nüfusunu hedef alıyorlar. Ve son olarak da muhtemelen Birleşmiş Milletler’de ve diğer ortamlarda desteklerinin sürmesi için tarafsız ülkelerdeki nüfusu hedef alıyorlar.

Rus siber etki operasyonları, diğer siber aktiviteler için geliştirilen taktiklere bağlıdır ve bunlar üzerine inşa edilir. Rus istihbarat servisleri içinde çalışan GST ekipleri gibi, Rus devlet kurumlarıyla bağlantılı Gelişmiş Sürekli Manipülatör (GSM) ekipleri de sosyal medya ve dijital platformlar aracılığıyla hareket ediyor. Tıpkı kötü amaçlı yazılım ve diğer yazılım kodlarını önceden konumlandırdıkları gibi sahte anlatıları da konumlandırıyorlar. Ardından, hükumetin yönettiği ve etkilediği web sitelerinde eş zamanlı olarak “haber yapıp” bu anlatıları geniş bir kitleye yaymaya başlıyor ve sosyal medya hizmetlerini suistimal etmek için tasarlanmış teknoloji araçları aracılığıyla anlatılarını güçlendiriyorlar. Bunun en yeni örnekleri arasında Ukrayna'daki biyoloji laboratuvarlarıyla ilgili anlatıları ve Ukraynalı sivil hedeflere yönelik askeri saldırıları gizlemeye yönelik çabaları gösterebiliriz.

Microsoft'taki yeni bir girişimin parçası olarak bu siber tehdidi izlemek ve öngörebilmek için yapay zeka, yeni analitik araçlar, daha geniş veri setleri ve büyüyen bir uzman kadrosundan faydalanıyoruz. Bu yeni yetenekleri kullanarak elde ettiğimiz verilere göre Rus siber etki operasyonlarının, savaşın başlangıcından bugüne, Rus propagandasının yayılmasını Ukrayna'da yüzde 216 ve ABD'de yüzde 82 oranında artırmayı başardığını tahmin ediyoruz.

Rusya'nın devam eden bu operasyonları, kısa süre önce birçok Batı ülkesinde COVID-19 hakkında yanlış söylemler yaymaya yönelik olarak gerçekleştirdikleri sofistike çabalara dayanıyor. Bunlar arasında, 2021 yılında internette yayımladıkları İngilizce raporlar aracılığıyla aşı kullanımını caydırmayı amaçlarken Rusça siteler aracılığıyla da aşı kullanımını teşvik etmek gibi devlet destekli siber etki operasyonları da yer alıyor. Geçtiğimiz altı ay içinde de benzer Rus siber etki operasyonları Yeni Zelanda ve Kanada'da COVID-19 politikalarına karşı kamuoyu muhalefetini alevlendirmeye çalışmıştı.

Önümüzdeki haftalarda ve aylarda Microsoft'un bu alandaki çalışmalarını genişletmeye devam edeceğiz. Bu, hem şirket içi büyümeyi hem de yabancı siber etki operasyonlarının tespiti ve bunlara müdahale konusunda uzmanlaşmış, lider bir siber tehdit analizi ve araştırma şirketi olan Miburo Solutions'ı satın almak için geçen hafta duyurduğumuz anlaşmayı kapsıyor.

Şu anda Rusya'nın yürüttüğü birçok siber etki operasyonunun doğru düzgün tespit veya analiz edilmeden ya da kamuoyuna bildirilmeden aylarca sürdüğünden endişe ediyoruz. Bu durum da hem kamu hem de özel sektördeki çok çeşitli önemli kurumları giderek daha fazla etkiliyor. Ve Ukrayna’daki savaş sürdükçe bu operasyonlar da Ukrayna için muhtemelen daha önemli hale gelecek. Çünkü daha uzun bir savaş, kaçınılmaz olarak yaşayacakları yorgunluğa rağmen halkın desteğine daha uzun süre ihtiyaç duyacak olmak demek. Bu nedenle Batı'nın, bu tür yabancı siber etki saldırılarına karşı savunmasını güçlendirmeye acilen daha çok önem vermesi gerekiyor.

Ukrayna'daki savaşın gösterdiği gibi, bu tehditler arasında farklılıklar olsa da Rus hükumeti bunları ayrı çabalar olarak görmüyor. Dolayısıyla biz de bunları analiz ederken birbirinden ayrı değerlendirmemeliyiz. Ayrıca savunma stratejileri belirlenirken bu siber operasyonların, Ukrayna'da görüldüğü gibi, kinetik askeri operasyonlarla koordineli olabileceği de göz önünde bulundurulmalıdır.

Bu siber tehditleri engellemek için yeni ilerlemelere ihtiyacımız var ve bunları dört ortak ilkeye ve en azından yüksek düzeyde, ortak bir stratejiye dayandıracağız. İlk savunma ilkesi, Rus siber tehditlerinin, Rus hükumeti içinde ve dışında yer alan ortak bir aktörler grubu tarafından geliştirildiğini ve benzer dijital taktiklere dayandığını kabul etmelidir. Dolayısıyla bunlara karşı koymak için dijital teknoloji, yapay zeka ve veri alanında ilerleme kaydetmemiz gerekir. İkinci ilke, geçmişteki geleneksel tehditlerden farklı olarak siber müdahalelerde daha fazla kamu ve özel sektör işbirliğine ihtiyaç olduğunu kabul etmelidir. Üçüncü bir ilke, açık ve demokratik toplumları korumak için hükumetler arasında yakın ve ortak, çok taraflı işbirliği ihtiyacını benimsemelidir. Dördüncü ve son savunma ilkesi ise siber etki operasyonlarını da içeren siber tehditlerin tamamını ele almak için yeni adımlar atılması gerekse bile, demokratik toplumlarda ifade özgürlüğünün desteklenmesi ve sansürden kaçınılmasıdır.

Etkili bir müdahalenin, dört stratejik temel direk kullanılarak bu ilkeler üzerine inşa edilmesi gerekir. Bu temel direkler, kolektif becerileri; yabancı siber tehditleri (1) daha iyi tespit edecek, (2) bunlara karşı savunma yapacak, (3) bunları engelleyecek ve (4) caydıracak şekilde artırmalıdır. Bu yaklaşım, yıkıcı siber saldırıları ve siber tabanlı casusluğu ele almaya yönelik birçok kolektif çabada zaten kullanılmaktadır. Aynı zamanda fidye yazılım saldırılarını ele almak için gereken kritik ve devam eden çalışmalarda da bu yaklaşım geçerlidir. Şimdi ise Rusya'nın siber etki operasyonlarıyla mücadele etmek için yeni kabiliyetler ve savunmalar içeren benzer ve kapsamlı bir yaklaşıma ihtiyacımız var.

Bu raporda tartışıldığı üzere, Ukrayna'daki savaş sadece ders vermekle kalmıyor, aynı zamanda demokrasinin geleceğinin korunmasında hayati önem taşıyan etkili önlemler için bir eylem çağrısı da sunuyor. Şirket olarak biz, hükumetleri, şirketleri, STK'ları ve üniversiteleri destekleyecek teknoloji, veri ve ortaklıklara yönelik, devam eden ve yeni yapılacak yatırımlar da dahil olmak üzere bu çabaları desteklemeye kararlıyız.

Daha fazla bilgi almak için raporun tamamını okuyun.