Trace Id is missing

Rus tehdit aktörleri, savaş yorgunluğundan faydalanmaya hazırlanıyor

 Siber etki operasyonları
Giriş
Rus siber operatörler ve etki operatörleri, Ukrayna'ya karşı yürütülen savaş boyunca savaş alanında avantaj elde etmek ve Kiev'in iç ve dış destek kaynaklarını kurutmak için yeni yollar deneyerek uyum sağlama kabiliyetlerini sergilemiştir. Bu rapor, Microsoft'un Mart ve Ekim 2023 tarihleri arasında gözlemlediği siber tehdit ve kötü niyetli etki faaliyetlerini detaylandıracaktır. Bu süre zarfında hedef tahtasında yine Ukrayna’nın askeri ve sivil nüfusu olsa da izinsiz giriş ve manipülasyon riski, dünya genelinde Ukrayna’ya yardım eden ve Rus güçlerini savaş suçlarından sorumlu tutmaya çalışan kuruluşlara da sıçramıştır.

Ukrayna - Rusya savaşının Ocak 2022 - Haziran 2023 arası evreleri

Ukrayna - Rusya savaşının aşamalarını gösteren grafik
Tam raporun 3.sayfasında bu görüntü ile ilgili daha fazla bilgi edinebilirsiniz

Microsoft'un Mart-Ekim döneminde gözlemlediği tehdit eylemleri, Ukrayna halkının moralini bozmaya yönelik birleşik operasyonlar yapıldığını ve odak noktasının giderek siber casusluğa kaydığını gösterdi. Rusya’nın askeri aktörleri, siber aktörleri ve propaganda aktörleri, küresel tahıl krizinin ortasında sivil bir altyapı hedefi olan Ukrayna tarım sektörüne karşı ortak saldırılar düzenledi. Rus askeri istihbaratına (GRU) bağlı siber tehdit aktörleri, Ukrayna ordusuna ve onun yabancı tedarik hatlarına karşı siber casusluk operasyonlarına yöneldi. Uluslararası toplum, savaş suçlarını cezalandırmak isterken Rusya'nın Dış İstihbarat (SVR) ve Federal Güvenlik (FSB) servisleriyle bağlantılı gruplar da Ukrayna içinde ve dışında savaş suçlarını soruşturanları hedef aldı.

Etki cephesinde ise Wagner Group'un ve kötü şöhretli İnternet Araştırma Merkezi isimli trol çiftliğinin sahibi Yevgeny Prigozhin'in Haziran 2023’teki kısa süreli isyanı ve ardından ölümü, Rusya'nın etki kabiliyetlerinin geleceği hakkında soru işaretleri yarattı. Bu yaz boyunca Microsoft, Prigozhin ile bağlantısı olmayan kuruluşların yaygın şekilde operasyonlar yaptığını, dolayısıyla Rusya'nın onsuz da kötü niyetli etki kampanyaları yürütebileceğini gözlemledi.

Microsoft Tehdit Analizi ve Olay Yanıtı ekipleri, bu raporda açıklanan tehdit faaliyetlerini azaltmak için etkilenen müşterileri ve hükümet ortaklarını bilgilendirmiş ve onlarla birlikte çalışmıştır.

Rus güçleri, Ukrayna'da zarar vermek için daha çok konvansiyonel silahlara yöneliyor olsa da siber operasyonlar ve etki operasyonları da Ukrayna'nın bölgedeki, NATO'daki ve dünya çapındaki müttefiklerinin sivil yaşamı ve bilgisayar ağlarının güvenliği için acil bir tehdit olmaya devam ediyor. Dünya çapındaki müşterilerimizi proaktif bir şekilde savunmak için güvenlik ürünlerimizi güncellemenin yanı sıra küresel bilgi alanının bütünlüğüne yönelik tehditlere karşı sürekli tetikte olmayı teşvik etmek için bu bilgileri de paylaşıyoruz.

Rusya’nın kinetik, siber ve propaganda güçleri bu yaz Ukrayna'nın tarım sektörüne karşı birleşti. Askeri saldırılarda 1 milyondan fazla insanı bir yıl boyunca besleyebilecek miktarda tahıl imha olurken, Rusya yanlısı medyada insanlık dramına rağmen bu saldırıyı meşru gösteren söylemler öne çıktı.1

Microsoft Tehdit Analizi, Haziran-Eylül arasında, Ukrayna tarım endüstrisi ve tahıl lojistik altyapısıyla bağlantılı kurumlara karşı ağa sızma, veri sızdırma, hatta yıkıcı kötü amaçlı yazılımların kullanıldığını gözlemledi. Haziran ve temmuz aylarında, Aqua Blizzard (eski adıyla ACTINIUM), mahsul veriminin izlenmesine yardımcı olan bir firmadan veri çaldı. Seashell Blizzard (eski adıyla IRIDIUM), Microsoft'un WalnutWipe/SharpWipe olarak tespit ettiği, ilkel, yıkıcı, kötü amaçlı yazılım türevlerini gıda/tarım sektörü ağlarına karşı kullandı.2

Ukrayna tarımına yönelik Rus dijital propaganda faaliyetlerinin dökümü

Ukrayna tarımına yönelik Rus dijital propaganda faaliyetlerinin gösterilmesi
Tam raporun 4.sayfasında bu görüntü ile ilgili daha fazla bilgi edinebilirsiniz

Temmuz ayında Moskova, küresel gıda krizinin önlenmesine yardımcı olan ve ilk yılında Afganistan, Etiyopya, Kenya, Somali ve Yemen'deki insanlara 725.000 tondan fazla buğday taşınmasını sağlayan insani bir çaba olan Karadeniz Tahıl Girişimi'nden çekildi.3 Moskova'nın bu adımının ardından Rusya yanlısı medya kuruluşları ve Telegram kanalları tahıl girişimini kötülemek ve Moskova'nın kararını haklı göstermek için harekete geçti. Propaganda kuruluşları, bu girişimin insani açıdan önemini yok saymak için tahıl koridorunu, uyuşturucu kaçakçılığı ya da gizlice silah transferi yapmak için kullanılan bir araç gibi gösterdi.

Çeşitli 2023 raporlarında, GRU ile bağlantıları olduğundan şüphelenilen gerçek veya sahte hacktivist grupların, Moskova'nın düşmanlara karşı hoşnutsuzluğunu artırmak ve Rusya yanlısı siber güçlerin sayısını yüksek göstermek için nasıl çalıştığını vurgulamıştık.4 5 6 Bu yaz ise Telegram'daki hacktivist kişiliklerin Ukrayna'daki sivil altyapıya yönelik askeri saldırıları haklı çıkarmaya çalışan mesajlar yaydığını ve Ukrayna'nın yurtdışındaki müttefiklerine karşı, dağıtılmış hizmet engelleme saldırıları (DDoS) yapmaya odaklandığını gözlemledik. Microsoft, hacktivist grupların ulus devlet aktörleriyle olan kesişimlerini sürekli izleyerek her iki grubun operasyonel temposu ve faaliyetlerinin nasıl birbirlerinin hedeflerine hizmet ettiğine dair ek içgörüler elde ediyor.

Bugüne kadar Seashell Blizzard ile etkileşim halinde olan üç grup olduğunu tespit ettik: Solntsepek, InfoCentr ve Cyber Army of Russia. Hacktivistlerin siber kabiliyetlerindeki geçici artışların, Seashell Blizzard saldırılarıyla aynı zamana denk gelmesine bakılırsa Seashell Blizzard'ın hacktivist gruplarla ilişkisi, onları kontrol etmekten ziyade, kısa vadeli bir kullanım ilişkisi olabilir. Dönem dönem, Seashell Blizzard yıkıcı bir saldırı başlatır ve Telegram hacktivist grupları, bunları alenen üstlenir. Hacktivistler daha sonra DDoS saldırıları veya Ukrayna'ya ait kişisel bilgilerin sızdırılması gibi, genellikle gerçekleştirdikleri düşük karmaşıklıktaki eylemlere geri dönerler. Ağ, APT'nin faaliyetlerini desteklemek için kullanabileceği çevik bir altyapıya sahiptir.

Rusya yanlısı Hacktivizm’in kadranı

Rusya yanlısı Hacktivizm’in gösterge grafiği
Tam raporun 5.sayfasında bu görüntü ile ilgili daha fazla bilgi edinebilirsiniz

Rus kuvvetleri, uluslararası hukuku ihlal edebilecek eylemlerde bulunmakla kalmıyor, aleyhlerinde dava oluşturan ceza soruşturmacıları ve savcıları da hedef alıyor.

Microsoft telemetrisi, bu yılın ilkbahar ve yaz aylarında, Rusya'nın askeri ve dış istihbarat teşkilatlarına bağlı aktörlerin, Ukrayna'nın hukuki ve soruşturma ağlarını ve savaş suçları soruşturmaları yürüten uluslararası kuruluşların ağlarını hedef aldığını ve ihlal ettiğini ortaya koyuyor.

Bu siber operasyonlar, Moskova ile Uluslararası Ceza Mahkemesi (UCM) gibi gruplar arasındaki gerilimlerin arttığı bir dönemde gerçekleşti. UCM, mart ayında Rusya Devlet Başkanı Putin hakkında savaş suçlarından dolayı tutuklama emri çıkarmıştı.7

Nisan ayında, GRU'ya bağlı Seashell Blizzard, savaş suçları davalarına odaklanan bir hukuk firmasının ağına sızdı. FSB'ye atfedilen Aqua Blizzard, temmuz ayında Ukrayna'daki büyük bir soruşturma organının iç ağını ihlal etti ve burada ele geçirilen hesapları, eylül ayında birkaç Ukraynalı telekom şirketine sahte e-postalar göndermek için kullandı.

SVR aktörü Midnight Blizzard (eski adıyla NOBELIUM) ise haziran ve temmuz aylarında küresel sorumlulukları olan bir hukuk kuruluşunun güvenliğini ihlal ederek belgelerine erişti ancak daha sonra Microsoft Olay Yanıtlama ekibi müdahalesiyle bu sorun düzeltildi. Bu faaliyet, bu aktörün dünya çapında diplomatik, savunma, kamu politikası ve bilişim sektörü kuruluşlarını ihlal etmek için yürüttüğü daha agresif bir girişimin bir parçasıydı.

Mart ayından bu yana etkilenen müşterilere gönderilen Microsoft güvenlik bildirimleri incelendiğinde, Midnight Blizzard'ın ağırlıklı olarak ABD, Kanada ve diğer Avrupa ülkelerinde olmak üzere 240'tan fazla kuruluşa erişim sağlamaya çalıştığı ve çeşitli derecelerde başarı elde ettiği görüldü.8

Hedefteki kuruluşların yaklaşık yüzde 40'ı  hükümet, hükümetler arası veya politika odaklı düşünce kuruluşlarıydı.

Rus tehdit aktörleri, erişim sağlamak ve hedeflenen ağlarda kalıcı olmak için çeşitli teknikler kullanmıştır. Midnight Blizzard, her yolu denemek gibi bir yaklaşım benimsemiş ve bulut ortamlarına sızmak için parola spreyi, üçüncü taraflardan edinilen kimlik bilgileri, Teams üzerinden yürütülen inandırıcı sosyal mühendislik kampanyaları ve bulut hizmetlerinin kötüye kullanımı gibi farklı çözümlerden yararlanmıştır.9 Aqua Blizzard ise anti-virüs imzaları ve e-posta güvenlik kontrolleri tarafından tespit edilme olasılığını azaltmak için ilk erişim kimlik avı girişimlerine, HTML kaçakçılığını başarıyla entegre etmiştir.

Seashell Blizzard, bir yandan Exchange ve Tomcat gibi çevre sunucu sistemlerinden istifade ederken bir yandan da ilk erişimi elde etmek için, DarkCrystalRAT arka kapısını barındıran korsan Microsoft Office yazılımından yararlanmıştır. Bu arka kapı, aktörün Shadowlink adını verdiğimiz, Microsoft Defender gibi görünen ve bir cihaza TOR hizmetini yükleyerek tehdit aktörüne TOR ağı üzerinden gizli erişim sağlayan bir yazılım paketi olan, ikinci aşama bir yükü yüklemesine olanak sağlamıştır.10

Shadowlink'in TOR hizmetini, bir yazılım cihazına nasıl yüklediğini gösteren diyagram
Tam raporun  6.sayfasında bu görüntü ile ilgili daha fazla bilgi edinebilirsiniz

Rus güçlerinin 2023 baharında başlattığı saldırıdan bu yana GRU ve FSB'ye bağlı siber aktörler çabalarını Ukrayna iletişiminden ve savaş bölgelerindeki askeri altyapıdan istihbarat toplamaya yoğunlaştırdı.

Mart ayı itibariyle Microsoft Tehdit Analizi, Seashell Blizzard'ı, Ukrayna askeri iletişim altyapısının önemli bir bileşenini hedef almak üzere tasarlanmış gibi görünen potansiyel kimlik avı yemleri ve paketleriyle ilişkilendirdi. Ancak bunun arkasından gelen eylemleri takip etme imkanımız yoktu. Ukrayna Güvenlik Servisi'ne (SBU) göre, Seashell Blizzard'ın Ukrayna askeri ağlarına erişmeye yönelik diğer girişimleri arasında, bağlı Starlink uydu terminallerinin konfigürasyonları hakkında bilgi toplamalarına ve Ukrayna askeri birliklerinin konumlarını öğrenmelerine olanak tanıyan kötü amaçlı yazılımlar vardı.11 12 13

Secret Blizzard (eski adıyla KRYPTON) da Ukrayna'nın savunmayla ilgili ağlarından istihbarat toplama fırsatlarını güvence altına almak için harekete geçti. Ukrayna Devlet Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) ile ortaklaşa çalışan Microsoft Tehdit Analizi, Ukrayna savunma güçlerinin sistemlerinde Secret Blizzard'ın, DeliveryCheck ve Kazuar isimli kötü amaçlı arka kapı yazılımlarının varlığını tespit etmiştir.14 Kazuar, çeşitli uygulamalardan kimlik bilgilerini, kimlik doğrulama verilerini, proxy'leri ve çerezleri çalmak ve işletim sistemi günlüklerinden veri almak da dahil olmak üzere 40'tan fazla işleve izin vermektedir.15 Secret Blizzard, özellikle Signal Desktop mesajlaşma uygulamasından mesaj içeren dosyaları çalarak özel Signal sohbetlerini okuyabilecek olmalarıyla ilgileniyordu.16

Forest Blizzard (eski adıyla STRONTIUM), yeniden geleneksel casusluk hedefleri olan, Birleşik Devletler, Kanada ve Avrupa’daki, askeri destek ve eğitimleriyle Ukrayna güçlerinin savaşa devam edebilmesini sağlayan savunma ile ilgili kuruluşlara odaklandı.

Mart ayından bu yana Forest Blizzard, yeni ve kaçamak teknikler içeren kimlik avı mesajlarıyla savunma kuruluşlarına ilk erişim elde etmeye çalışıyor. Örneğin ağustos ayında Forest Blizzard, Avrupa’daki bir savunma kuruluşunun hesap sahiplerine, CVE-2023-38831 için bir açık içeren bir kimlik avı e-postası gönderdi. CVE-2023-38831, WinRAR yazılımında, bir kullanıcı bir ZIP arşivi içindeki iyi huylu bir dosyayı görüntülemeye çalıştığında saldırganların rastgele kod çalıştırmasına izin veren bir güvenlik açığıdır.

Aktör ayrıca komuta ve kontrol için Mockbin ve Mocky gibi meşru geliştirici araçlarından da yararlanıyor. Eylül sonunda aynı aktör, GitHub ve Mockbin hizmetlerini kötüye kullanan bir kimlik avı kampanyası yürüttü. CERT-UA ve diğer siber güvenlik firmaları, eylül ayında bu faaliyeti duyurmuş ve aktörün yetişkinlere yönelik eğlence sayfalarını kullanarak kurbanları bir bağlantıya tıklamaya ya da kötü niyetli Mockbin altyapısına yönlendirecek bir dosyayı açmaya ikna ettiğini belirtmiştir.17 18Microsoft ise eylül ayı sonlarında teknoloji temalı bir sayfanın kullanılmaya başlandığını gözlemlemiştir. Her iki durumda da aktörler, kurbanı bir Mockbin URL'sine yönlendirecek ve Windows güncellemesi gibi görünen kötü niyetli bir LNK (kısayol) dosyasıyla birlikte bir zip dosyasını indirecek, kötü niyetli bir bağlantı içeren bir kimlik avı e-postası göndermiştir. LNK dosyası bunun ardından kalıcılık sağlamak ve veri hırsızlığı gibi sonraki eylemleri gerçekleştirmek için başka bir PowerShell betiği indirip çalıştırır.

Savunma kuruluşlarının Forest Blizzard kimlik avı ile ilişkili PDF yeminin örnek ekran görüntüsü.

Tehdit aktörü Avrupa Parlamentosu personeli kılığında
E-posta ekleri: Avrupa Parlamentosu toplantıları için 'Gündem 28 Ağustos - 03 Eylül 2023'. Basın Servisi iletişimi. 160 KB bulletin.rar
Şekil 5: Savunma kuruluşlarının Forest Blizzard kimlik avı ile ilişkili PDF yeminin ekran görüntüsü örneği.  Tam raporun 8.sayfasında bu görüntü ile ilgili daha fazla bilgi edinebilirsiniz

MTAC, 2023 yılı boyunca, 2022 baharından bu yana Ukrayna'nın uluslararası destekçilerini hedef alan sofistike bir Rusya yanlısı etki operasyonundan sorumlu, Rusya bağlantılı bir etki aktörü olan Storm-1099'u gözlemlemeye devam etti.

Belki de en çok, araştırma grubu EU DisinfoLab19 tarafından "Doppelganger" olarak adlandırılan, kitlesel ölçekli web sitesi sahteciliği operasyonuyla tanınan Storm-1099'un faaliyetleri arasında Reliable Recent News (RRN) gibi benzersiz markalı yayınlar, Ukrayna karşıtı çizgi dizi "Ukraine Inc." gibi multimedya projeleri ve dijital ve fiziksel dünyalar arasında köprü kuran saha gösterileri de yer almaktadır. Bu konuda yeterli bir atıf bulunmasa da iyi finanse edilen Rus siyasi teknoloji uzmanları, propagandacılar ve Rus devletiyle kanıtlanabilir bağları olan halkla ilişkiler uzmanları birçok Storm-1099 saldırısını yürütmüş ve desteklemiştir.20

Storm-1099'un Doppelganger operasyonu, teknoloji şirketlerinin ve araştırma kuruluşlarının raporlama ve erişimini azaltma girişimlerine rağmen, bu raporun hazırlandığı tarih itibarıyla tüm gücüyle devam etmektedir.21 Bu aktör, tarihsel olarak Batı Avrupa'yı, ağırlıklı olarak da Almanya'yı hedef almış olsa da Fransa, İtalya ve Ukrayna da hedefler arasında yer almaktadır. Son aylarda Storm-1099 yerel odağını Amerika Birleşik Devletleri ve İsrail'e doğru kaydırmıştır. Ocak 2023'te, İsrail'de önerilen yargı revizyonuna karşı yapılan geniş çaplı protestolar sırasında başlayan bu geçiş, ekim ayı başlarında İsrail-Hamas savaşının başlamasından sonra yoğunlaştı. Yeni oluşturulan markalı yayın organları, ABD siyasetine ve yaklaşan 2024 ABD başkanlık seçimlerine giderek daha çok öncelik verirken mevcut Storm-1099 varlıkları da Hamas'ın 7 Ekim'de İsrail'de gerçekleştirdiği saldırılar için karaborsadan Ukrayna silahları satın aldığı yönündeki yanlış iddiayı güçlü bir şekilde gündeme getirmiştir.

Son olarak Ekim ayı sonlarında MTAC, Microsoft'un Storm-1099 varlıkları olarak değerlendirdiği hesapların, sosyal medyada sahte makale ve web sitelerine ek olarak yeni bir tür sahteciliği teşvik ettiğini gözlemledi. Bunlar hem Ukrayna hem de İsrail'e verilen desteği zayıflatmak için Rusya yanlısı propaganda yayan, görünüşte saygın kuruluşlar tarafından oluşturulmuş bir dizi kısa, sahte haber klipleriydi. Bu taktik, yani propaganda amaçlı sahte videolar kullanma yöntemi, son aylarda genel olarak Rusya yanlısı aktörler tarafından gözlemlenen bir taktiktir. Storm-1099'un bu tür video içeriklerini teşvik etmesi ise aktörün çeşitli etki tekniklerini ve mesaj verme hedefini daha da vurgulamaktadır.

Sahte Doppelganger sitelerinde yayımlanan makaleler

Rus siber etki tehdit aktörü Storm 1099 tarafından yürütülen saldırı, Microsoft tarafından gözlemlendi ve takip edildi.
Microsoft tarafından 31 Ekim 2023 tarihinde gözlemlenmiş ve izlenmiştir. Rus siber etki tehdit aktörü Storm 1099 tarafından yürütülen bir girişim olan sahte Doppelganger sitelerinde yayımlanan makaleler.
Tam raporun 9.sayfasında bu görüntü ile ilgili daha fazla bilgi edinebilirsiniz

Hamas'ın 7 Ekim'de İsrail'de gerçekleştirdiği saldırılardan bu yana Rus devlet medyası ve devlete bağlı etki aktörleri, İsrail-Hamas savaşını, Ukrayna karşıtı söylemleri ve ABD karşıtı duyguları desteklemek ve tüm taraflar arasındaki gerilimi tırmandırmak için kullanmaya çalıştı. Bu faaliyet, savaşa tepki olarak doğsa ve genel olarak sınırlı kapsamda olsa da, hem devlet destekli açık medya hem de birden fazla sosyal medya platformuna yayılan, Rusya'ya bağlı gizli sosyal medya ağları buna destek verdi.

 

Rus propagandacılar ve Rusya yanlısı sosyal medya ağları tarafından desteklenen bu söylemler; saygın medya kuruluşlarını taklit etmek ve manipüle edilmiş videolar kullanmak suretiyle Ukrayna'nın Hamas militanlarını silahlandırdığını iddia ederek, İsrail ile Ukrayna'yı karşı karşıya getirmeyi ve Batı'nın Kiev'e desteğini azaltmayı amaçlamaktadır. Örneğin aralarında Amerikalıların da bulunduğu yabancı askerlerin, Gazze Şeridi'ndeki İsrail Savunma Kuvvetleri (IDF) operasyonlarına katılmak üzere Ukrayna'dan transfer edildiğini iddia eden ve sosyal medya platformlarında yüz binlerce kez izlenen gerçek dışı bir video bu tür içeriklerden sadece biri. Bu strateji hem Ukrayna karşıtı söylemleri geniş bir kitleye ulaştırıyor hem de yanlış söylemleri, gelişen önemli haberlerle uyumlu olacak biçimde şekillendirerek etkileşimi artırıyor.

 

Rusya, dijital etki faaliyetlerini, gerçek dünyadaki etkinliklerin tanıtımlarıyla da destekliyor. Rus yayın kuruluşları, Rus devlet haber ajanslarının sahadaki muhabirlerinden de destek alarak, Orta Doğu ve Avrupa'da İsrail-Hamas savaşıyla ilgili protestoları güçlendiren kışkırtıcı içerikleri agresif bir şekilde destekledi. Ekim 2023'ün sonlarında Fransız yetkililer, dört Moldova vatandaşının Paris'teki kamusal alanlara yapılan Davut Yıldızı grafitileriyle bağlantılı olabileceğini iddia etti. Moldovalılardan ikisinin Rusça konuşan biri tarafından yönlendirildiklerini iddia etmeleri, duvar yazılarından Rusya'nın sorumlu olabileceğine işaret ediyor. Grafiti görüntüleri daha sonra Storm-1099 kaynakları tarafından daha da yayıldı.22

 

Rusya, devam eden İsrail-Hamas çatışmasının Batı'nın dikkatini Ukrayna'daki savaştan uzaklaştırdığına inandığından, bu çatışmanın jeopolitik bir avantaj taşıdığını düşünüyor olabilir. Rusya'nın mevcut etki oyun kitabında sıkça kullanılan taktikleri izleyen MTAC, bu tür aktörlerin çevrimiçi propagandayı beslemeye ve diğer önemli uluslararası olayları kullanarak gerilimi kışkırtmaya ve Batı'nın, Rusya'nın Ukrayna'yı işgaline karşı koyma kabiliyetini engellemeye çalışmaya devam edeceğini düşünüyor.

Ukrayna karşıtı propaganda, 2022'deki tam ölçekli işgalin öncesinden başlayarak Rus etki faaliyetlerine geniş ölçüde nüfuz etmişti. Ancak son aylarda Rusya yanlısı ve Rusya ile bağlantılı etki ağları, bu mesajları yaymak için daha dinamik bir araç olarak video kullanmaya ve inandırıcılıklarını artırmak için güvenilir medya kuruluşlarını taklit etmeye odaklanmaya başladılar. MTAC; bilinmeyen, Rusya yanlısı aktörler tarafından yürütülen ve manipüle edilmiş video içeriklerini yayımlamak için, ana akım haber ve eğlence medyası markalarını taklit eden iki saldırı girişiminin hala sürdüğünü gözlemledi. Daha önceki Rus propaganda kampanyalarında olduğu gibi bu faaliyet de Ukrayna Devlet Başkanı Volodymyr Zelensky'yi yozlaşmış bir uyuşturucu bağımlısı, Batı'nın Kiev'e verdiği desteği de o ülkelerin iç halklarına zarar veren bir unsur olarak göstermeye odaklanıyor. Her iki kampanyadaki içerik de sürekli olarak Ukrayna'ya olan desteği azaltmaya çalışıyor ancak daha geniş kitlelere ulaşmak için söylemleri, Haziran 2023 Titan denizaltı patlaması veya İsrail-Hamas savaşı gibi yeni haber olaylarıyla uyumlu hale getiriyor.

Sahte haber kliplerine genel bakışı gösteren diyagram

sahte haber kliplerine genel bakış
Tam raporun 11.sayfasında bu görüntü ile ilgili daha fazla bilgi edinebilirsiniz

Bu video merkezli kampanyalardan biri, ana akım medya kuruluşlarından kısa haber bülteni kisvesi altında sahte, Ukrayna karşıtı, Kremlin'den gelen tema ve söylemleri yayan bir dizi uydurma videoyu içeriyor. MTAC bu faaliyeti ilk olarak Nisan 2022'de Rusya yanlısı Telegram kanallarının, onlarca sivilin ölümüne yol açan bir füze saldırısından Ukrayna ordusunun sorumlu olduğunu iddia eden sahte bir BBC News videosu yayımlamasıyla gözlemledi. BBC'nin logosu, renk düzeni ve estetiğinin kullanıldığı videoda, Slav dillerinden İngilizceye çeviri yapılırken sıkça yapılan hataları içeren İngilizce altyazılar da yer alıyor.

Bu kampanya 2022 yılı boyunca devam etti ve 2023 yazında hız kazandı. Bu raporun derlendiği sırada MTAC, kampanyada bir düzineden fazla taklit medya videosu gözlemlemiş ve en sık taklit edilen yayın organlarının BBC News, Al Jazeera ve EuroNews olduğunu görmüştür. Videolar ana akım sosyal medya platformlarına yayılmadan önce ilk olarak Rusça Telegram kanalları tarafından yayıldı

BBC news (solda) ve EuroNews (sağda) logo ve estetiğini taklit eden videoların ekran görüntüleri

Rusya yanlısı dezenformasyon içeren uydurma haber klipleri
Microsoft Tehdit Analizi: Ukrayna’nın askeri başarısızlığı, HAMAS saldırısı, İsrail sorumluluğu hakkında sahte haber bağlantıları
Rusya yanlısı dezenformasyon içeren sahte haber klipleri. BBC haberlerinin (solda) ve EuroNews'in (sağda) logo ve estetiğini taklit eden videoların ekran görüntüleri. Tam raporun 12.sayfasında bu görüntü ile ilgili daha fazla bilgi edinebilirsiniz

Bu içerik çok büyük bir kitleye erişemedi ancak yapay zekanın gücüyle rafine edilir veya geliştirilirse ya da daha güvenilir bir haberci tarafından yayılırsa gelecekteki hedefler için inandırıcı bir tehdit oluşturabilir. Sahte haber kliplerinden sorumlu Rusya yanlısı aktör, güncel dünya olaylarına karşı duyarlı ve çevik. Örneğin, sahte bir BBC News videosu; araştırmacı gazetecilik örgütü Bellingcat'in, Hamas militanları tarafından kullanılan silahların, Ukraynalı askeri yetkililer tarafından karaborsa yoluyla örgüte satıldığını ortaya çıkardığını iddia etmiştir. Eski Rusya Devlet Başkanı Dimitri Medvedev'in, videonun yayımlanmasından sadece bir gün önce kamuoyuna yaptığı açıklamalara fazlasıyla benzeyen video içeriği, kampanyanın Rus hükümetinin açık mesajlarıyla güçlü bir uyum içinde olduğunu göstermektedir.23

Temmuz 2023'ten itibaren Rusya yanlısı sosyal medya kanalları, Ukrayna karşıtı propaganda yapmak için ünlülerin aldatıcı bir şekilde düzenlenmiş videolarını dolaşıma sokmaya başladı. Rusya'ya yakınlığıyla bilinen bir aktörün eseri olan videolar, ünlülerin ve diğer tanınmış kişilerin video kaydederek, ücret ödeyen kullanıcılara kişiselleştirilmiş video mesajlar gönderebildiği popüler bir web sitesi olan Cameo'dan yararlanılarak oluşturulmuş gibi görünüyor. Genellikle ünlülerin, “Vladimir” adında birine, madde bağımlılığı konusunda yardım almasını söylediği kısa video mesajları, bilinmeyen aktör tarafından emojiler ve bağlantılar içerecek şekilde düzenleniyor. Videolar Rusya yanlısı sosyal medya topluluklarında dolaşıyor ve Rus devletine bağlı ve devlet tarafından işletilen medya kuruluşları tarafından yanıltıcı bir şekilde, Ukrayna Devlet Başkanı Volodymyr Zelensky'ye gönderilmiş mesajlar olarak gösteriliyor. Bazı durumlarda aktör, medya kuruluşlarının logolarını ve ünlülerin sosyal medya adreslerini ekleyerek videonun, ünlülerin Zelensky'ye yönelik sözde kamuoyu çağrılarına ilişkin haberlerden veya ünlülerin kendi sosyal medya paylaşımlarından alınmış haber klipleri gibi görünmesini sağlamıştır. Kremlin yetkilileri ve Rus devlet destekli propaganda, Başkan Zelenskiy'nin madde bağımlılığıyla mücadele ettiği yönündeki yanlış iddiayı uzun süredir destekliyordu ancak bu kampanya, Rusya yanlısı aktörlerin, bu söylemi çevrimiçi bilgi alanında da yaymak istediği yeni bir yaklaşıma işaret ediyor.

Kampanyanın, temmuz sonunda yayımlanan ilk videosunda Ukrayna bayrağı emojileri, Amerikan medya kuruluşu TMZ filigranları ve hem bir madde bağımlılığı tedavi merkezine hem de Başkan Zelensky'nin resmi sosyal medya sayfalarından birine ait bağlantılar yer alıyordu. Ekim 2023 sonu itibarıyla, Rusya yanlısı sosyal medya kanalları altı video daha yayımladı. Bunlardan en dikkat çekeni, 17 Ağustos'ta Rus devlet haber kuruluşu RIA Novosti’nin yayımladığı, Amerikalı aktör John McGinley'yi gerçekten Zelensky'ye çağrı yapar gibi gösteren bir videodan söz eden makaleydi.24 McGinley'nin yanı sıra, kampanyada içeriği görünen ünlüler arasında aktörler Elijah Wood, Dean Norris, Kate Flannery ve Priscilla Presley; müzisyen Shavo Odadjian ve boksör Mike Tyson da yer alıyor. ABD’nin yasakladığı medya kuruluşu Tsargrad’ın da aralarında bulunduğu, devlete bağlı diğer Rus medya kuruluşları da kampanya içeriğinin daha geniş kitlelere yayılmasına yardımcı oldu.25

Rusya yanlısı propaganda yaptığı anlaşılan ünlüleri gösteren videolardan görüntüler

Rusya yanlısı propaganda yaptığı anlaşılan ünlülerin yer aldığı videolardan görüntüler
Tam raporun 12.sayfasında bu görüntü ile ilgili daha fazla bilgi edinebilirsiniz

Ukrayna'nın askeri şefine göre Rus savaşçılar yeni bir statik, siper savaşı aşamasına geçiyor, bu da çatışmanın daha da uzun süreceğinin göstergesi.26 Kiev'in direnişi sürdürebilmesi için sürekli silah tedarikine ve halk desteğine ihtiyacı olacak. Ayrıca Rus siber operatörleri ve etki operatörlerinin, Ukrayna halkını demoralize ederek Kiev'in dış askeri ve mali yardım kaynaklarını zayıflatmaya yönelik çabalarını yoğunlaştırdığını görmemiz muhtemel.

Kış yaklaşırken, Ukrayna'daki elektrik ve su hizmetlerini hedef alan askeri saldırıları ve bu şebekelere yönelik yıkıcı silme saldırılarını tekrar görebiliriz.27CERT-UA Ukrayna siber güvenlik yetkilileri, eylül ayında Ukrayna enerji ağlarının sürekli tehdit altında olduğunu açıklamış ve Microsoft Tehdit Analizi, ağustostan ekime kadar Ukrayna enerji sektörü ağlarında GRU tehdit faaliyetlerinin izlerini gözlemlemişti.28 Microsoft, ağustos ayında bir Ukrayna enerji şirketi ağına karşı Sdelete yardımcı programının en az bir yıkıcı kullanımını gözlemlemiştir.29

Ukrayna dışında, ABD başkanlık seçimleri ve 2024'teki diğer büyük siyasi yarışlar; kötü niyetli etki aktörlerinin, videolu medya ve yeni ortaya çıkan yapay zeka becerilerini kullanarak, siyasi gidişatı Ukrayna'ya destek veren seçilmiş yetkililerden uzaklaştırmasına fırsat verebilir.30

Microsoft, Ukrayna'daki ve dünya genelindeki müşterilerimizi bu çok yönlü tehditlerden korumak için birden fazla cephede çalışmaktadır. Güvenli Gelecek Girişimimiz kapsamında, sivilleri siber tehditlerden korumak için yapay zeka odaklı siber savunma ve güvenli yazılım mühendisliği alanındaki ilerlemeleri, uluslararası normları güçlendirme çabalarıyla bütünleştiriyoruz. 31 Ayrıca önümüzdeki yıl 2 milyardan fazla insan demokratik sürece katılmaya hazırlandığı için dünya genelinde seçmenleri, adayları, kampanyaları ve seçim makamlarını korumak için temel bir dizi ilkeyle birlikte bazı kaynakları da devreye sokuyoruz.32

  1. [2]

    Ukrayna'daki en son yıkıcı saldırı yöntemleri hakkında teknik bilgi için bkz. https://go.microsoft.com/fwlink/?linkid=2262377

  2. [8]

    15 Mart 2023 ve 23 Ekim 2023 tarihleri arasında yayımlanan bildirimlere dayanmaktadır. 

  3. [17]

    hxxps://cert[.gov[.]ua/article/5702579

  4. [24]

    ria[.]ru/20230817/zelenskiy-1890522044.html

  5. [25]

    tsargrad[.]tv/news/jelajdzha-vud-poprosil-zelenskogo-vylechitsja_829613; iz[.]ru/1574689/2023-09-15/aktrisa-iz-seriala-ofis-posovetovala-zelenskomu-otpravitsia-v-rekhab 

  6. [29]

İlgili makaleler

Doğu Asya'dan gelen dijital tehditlerin kapsamı ve etkinliği artıyor

Doğu Asya'nın, Çin'in yaygın siber operasyonlar ve etki operasyonları (IO) yürüttüğü, Kuzey Koreli siber tehdit aktörlerinin ise karmaşıklık seviyelerini artırdığı gelişen tehdit ortamına dalın ve ortaya çıkan eğilimleri keşfedin.

İran, daha fazla etki yaratmak için siber destekli etki operasyonlarına yöneliyor

Microsoft Tehdit Analizi, İran’ın dışında siber destekli etki operasyonlarının arttığını ortaya çıkardı. Yeni tekniklerin ayrıntılarını ve gelecekteki tehdit potansiyelinin nerede olduğunu içeren tehdit içgörüleri edinin.

Ukrayna’nın dijital savaş alanında gerçekleşen siber operasyonlar ve etki operasyonları

Microsoft tehdit analizi, Ukrayna'da bir yıldır yapılan siber operasyonları ve etki operasyonlarını inceliyor, siber tehditlerdeki yeni eğilimleri ortaya çıkarıyor ve savaş ikinci yılına girerken neler bekleyebileceğimizi gösteriyor.

Microsoft Güvenlik'i takip edin