GÖRÜŞ - Gelişen bir siber aktör olarak İran’ın stratejik operasyonları

GÖRÜŞ - Gelişen bir siber aktör olarak İran’ın stratejik operasyonları
İran’ın Kovid-19 döneminde küresel siber etkinliğini artırdığı görülüyor. Bu dönemde ABD, İsrail gibi devletlerin yanı sıra Dünya Sağlık Örgütü gibi uluslararası kuruluşlar da İran kaynaklı siber saldırıların hedefi oldu.
İstanbul

Yeni tip koronavirüs (Kovid-19) salgını süresince küresel anlamda yükseliş eğiliminde olan siber saldırılar, başta devlet destekli organizasyonlar olmak üzere “hacktivistler” ve siber suçlular için kullanışlı bir yönteme dönüştü. Çoğunlukla ekonomik, askerî ve siyasi motivasyonlarla gerçekleştirilen bu saldırılar günümüzde devletler tarafından siber casusluk amaçlı da kullanılıyor.

Devlet destekli siber operasyonlar denince akla ilk gelen ülkelerden biri olan İran’ın da Kovid-19 döneminde küresel siber etkinliğini artırdığı görülüyor. Özellikle Devrim Muhafızları Ordusu (DMO) Komutanı Kasım Süleymani’nin Ocak ayında ABD’nin hava saldırısıyla öldürülmesinin akabinde İran’ın siber saldırılara daha çok önem verdiğini söylemek mümkün. İran’ın bu tutumu, Kovid-19 salgını döneminde şiddetini artırdı ve ABD, İsrail gibi devletlerin yanı sıra Dünya Sağlık Örgütü (DSÖ) gibi uluslararası kuruluşlar da İran kaynaklı siber saldırıların hedefi oldu. Bu tarz siber saldırılara ilaveten Facebook, Twitter, Instagram gibi sosyal medya platformları üzerinden yürütülen bilgi operasyonları da İran’ın sıklıkla başvurduğu saldırı yöntemlerinden biri olmaya devam ediyor.

İran-İsrail cephesinde siber savaş sesleri

Siber uzayda savunmadan ziyade saldırgan tutum sergileyen İran, “Stuxnet” adı verilen zararlı yazılımın saldırılarını yaşadığı günlerden beri, ABD ve İsrail gibi devletleri neredeyse temel hedef haline getirdi. ABD ve İsrail kaynaklı olduğu bilinen Stuxnet Operasyonu’nun da etkisiyle İran, uzun zamandır siyasi anlamda zaten mevcut olan ABD-İsrail karşıtlığını artık siber uzayda da sürdürüyor. Siyasi çatışmanın siber uzaydaki yansıması da siber saldırılar olarak karşımıza çıkıyor. Bu kapsamda yürütülen siber saldırıların sonuncusunun geçtiğimiz günlerde yaşandığı haberlere yansımıştı.

Devletleri hedef alan İran kaynaklı siber saldırıların yanı sıra, küresel Kovid-19 pandemisini fırsat bilen siber tehdit aktörlerinin yaptığı gibi, veri elde etme (siber casusluk) amaçlı siber saldırılar da gerçekleşiyor. Birçok siber tehdit aktörü küresel panik ortamından faydalanarak çoğunlukla e-posta ilintili saldırı yöntemleri kullanıyor. Dünyada birçok devletin yanı sıra devlet dışı uluslararası aktörün de bu saldırı kampanyalarından zarar gördüğü biliniyor.

Fox News televizyonunun 7 Mayıs tarihli haberine göre, İran ABD sunucularını kullanarak İsrail’in kritik altyapılarından biri olan, belirli bölgelere su taşıyan ve arıtan tesislerine siber saldırılar gerçekleştirdi. [1] Siber saldırıları doğrulayan İsrailli üst düzey yetkililer, bunun başarısız bir operasyon olduğunu, ancak beklenmedik bir şekilde gerçekleştiğini ve bundan dolayı gelecek saldırılar konusunda endişe duyduklarını belirtti. [2]

Saldırıdan sonra gelen tepkilere geçmeden önce, Fox News’ün haberindeki bir noktaya dikkat çekmekte fayda var. Fox News saldırının ABD sunucularının kullanılarak gerçekleştiğini belirtiyor. Teknik bir konu olmasından dolayı burada çok fazla detaya girmek gerekmeyebilir, ancak belirtilmelidir ki günümüzde birçok siber saldırı, hatta kullanılan internet hizmetleri, büyük oranda ABD sunucuları üzerinden gerçekleştiriliyor. Dünyada siber saldırıların çoğu, örneğin DDoS saldırıları da bu tarz sunucuları kullanıyor. VPN gibi araçlarla da saldırının kaynağı/konumu maskelenebiliyor. Fox News’ün “ABD sunucuları” vurgusunun üstünde durmak önemsiz görünebilir, fakat bunun epey hatalı bir ifade olduğunu belirtmek gerekiyor.

Saldırıya İsrail’in tepkisine gelince, öncelikle çok sert bir tepki vermediği söylenebilir. İsrail güvenlik kabinesi söz konusu saldırının ardından bir toplantı düzenledi. Buna göre, yetkililer siber saldırının çok kritik bir eylem olduğunu ve kırmızı çizgiyi aşan bu eylemin sivil bir hedefe yönelik olmasının endişelere yol açtığını, bunun savaş zamanında bile yapılmayan, savaşın kodlarına aykırı bir eylem olduğunu bildirdi. [3]

İran kaynaklı olduğu iddia edilen bu saldırı hakkında İran resmi makamlarından herhangi bir açıklama gelmedi. Zaten bugüne kadar bu tür siber saldırılardan sonra, suçlanan devletlerden kabule ya da redde yorulabilecek neredeyse hiçbir açıklama gelmiyor. İsrail bir süredir İran’ı siber saldırılar konusunda zaten suçluyor ve temel hedeflerden birinin İran olduğunu belirtiyordu. İran’ın yaptığı iddia edilen bu eylemden sonra İsrail’in nasıl bir karşılık vereceği de şimdilik belirsiz. Karşı bir misilleme olup olmayacağı halen tartışılıyor. Hatta 10 Mayıs akşamı İran’da meydana gelen tatbikat kazasını, bir ihtimal misilleme kapsamında değerlendirenler de mevcut.

Teknik olarak böyle bir saldırı elbette mümkün. Nitekim geçtiğimiz yıl İran’ın füze ve radarlarının kontrol edildiği sistemlere ABD tarafından siber saldırı yapıldığına dair bilgiler haberlere yansımıştı. [4] Söz konusu tatbikata gelince; Cemaran firkateyni, Konarek lojistik destek gemisini yanlışlıkla Nur gemi-savar füzesiyle vurmuştu. Füze sistemi uluslararası internet ağına bağlı olmayıp sadece yerel ağla iletişimde olsa da yerel ağlara sızmanın günümüzde mümkün olduğunu da belirtmek gerekiyor. Siyasi karar alıcılar ve birtakım çevreler için bu imkânsız gibi görünebilir, fakat siber uzayda “imkânsız” kelimesi çok iddialı kabul edilir. Hackerlar ya da siber tehdit aktörleri siber uzayda çoğu kez imkânsız denileni gerçekleştirmiştir.

Nisan ayının sonlarında su altyapı sistemlerine saldıranın İran olduğunu tespit ettikten yaklaşık 10 gün sonra, İsrail’in İran’a bir siber misilleme yapmış olabileceği konusu tartışmaya açık. Fakat birkaç gün önce çıkan haberler, böyle bir ihtimalin zor da olsa gerçekleşmesinin mümkün olabileceğine işaret ediyor. İran Limanlar ve Denizcilik Teşkilatı Genel Müdürü Muhammed Rastad, Hürmüz boğazındaki İran liman ve deniz işletmelerine ait sistemlere siber saldırılar yapıldığını açıkladı. [5] Kaynağı bilinmeyen bu saldırının başarısızlıkla sonuçlandığı, ciddi sorunlara neden olmadığı, yalnızca bazı özel işletim sistemlerine sızma ve zarar verme şeklinde bir operasyonun söz konusu olduğu belirtiliyor. Bu noktada, siber saldırının gerçekleştiği sistemlerin bulunduğu yer ile tatbikat kazasının gerçekleştiği yerin aynı olması, yani Hürmüz boğazı olması dikkat çekiyor.

İran ile İsrail arasındaki siber çatışmanın şimdilik son perdesini ise Perşembe günü İsrail’in binlerce web sitesine yapılan siber saldırılar teşkil etti. [6] Kendilerine “Hackers of Savior” adı veren grup, saldırdığı web sitelerinin içeriğini değiştirerek İsrail’i hedef alan bir video yayınladı. Söz konusu videoda yer alan mesajlarda ise Filistin’de öldürülen ve yerlerinden edilen insanlara karşı işlenen suçların sorumlusu olan İsrail’in yakında yok edileceği ifade ediliyor. Yaklaşan Kudüs Günü etkinlikleri üzerine böyle bir saldırının planlanması akıllara her ne kadar İran devletini getirse de aslında bunun bir hacktivist saldırısı, yani küresel organize hacker gruplarının girişimi olduğunu söyleyebiliriz.

Facebook’un açıklamasına göre, İran İslam Cumhuriyeti Yayın Kurumu (IRIB) ile bağlantılı olduğu tespit edilen bu operasyonların sonucunda, yüzlerce Facebook ve Instagram hesabı, sayfalar ve gruplar silindi. [10] Operasyonun küresel alana yayıldığı, ABD ve İngiltere gibi ülkelerin yanı sıra pek çok Afrika ülkesinin de hedef alındığı belirtiliyor. Bu bağlamda, 2012 yılında ABD’li Cumhuriyetçileri hedef alan paylaşımlardan İsrail ve Suudi Arabistan’ı hedef alan karikatür paylaşımlarına, İskoçya bağımsızlık referandumu hakkındaki paylaşımlardan İran devlet propagandası yapan paylaşımlara kadar, geniş çerçevede bir bilgi operasyonundan söz ediliyor.

İran’ın Kovid-19 temalı siber operasyonları

Devletleri hedef alan İran kaynaklı siber saldırıların yanı sıra, küresel Kovid-19 pandemisini fırsat bilen siber tehdit aktörlerinin yaptığı gibi, veri elde etme (siber casusluk) amaçlı siber saldırılar da gerçekleşiyor. Birçok siber tehdit aktörü küresel panik ortamından faydalanarak çoğunlukla e-posta ilintili saldırı yöntemleri kullanıyor. Dünyada birçok devletin yanı sıra devlet dışı uluslararası aktörün de bu saldırı kampanyalarından zarar gördüğü biliniyor.

Bu kapsamda basına yansıyan haberlerden biri de ilaç şirketlerinin İran kaynaklı siber saldırılarla hedef alınmasıydı. İranlı hackerların, Kovid-19 için aşı geliştirdiği söylenen Amerikan ilaç ar-ge şirketi Gilead’a siber saldırı gerçekleştirdiği tespit edildi. [7] Şirketin üst seviye yöneticilerine gazetecileri taklit eden e-mailler göndermek suretiyle saldıran hackerların ne tür bir zayiata neden olduğu bilinmiyor. Geçmişte İran’a atfedilen siber saldırılarla kıyaslandığında, bu saldırıyla benzer bir altyapıyı kullanan Charming Kitten APT grubunun şüpheli aktör olarak göze çarptığı da ayrıca ifade ediliyor. İsmi “sevimli yavru kedi” anlamına gelen Charming Kitten yaklaşık yedi yıldan bu yana aktif olarak çalışan APT (advanced persistent threat [gelişmiş kalıcı tehdit]) gruplarından biri. Söz konusu grup İranlı muhalifleri, akademisyenleri, gazetecileri ve insan hakları aktivistlerini hedef alıyor. Birçok siber güvenlik şirketinin teknik raporlarında, Charming Kitten APT grubunun İran istihbarat servisleriyle bağlantılı olduğu ve ABD, İngiltere ve Suudi Arabistan gibi ülkelerde çoğunlukla medyayı, akademiyi ve düşünce kuruluşlarını hedef aldığı da söyleniyor.

ABD’li ilaç şirketinin dışında, geçtiğimiz Nisan ayında DSÖ’ye de İran devlet destekli hackerlar tarafından saldırılar yapıldığı ortaya çıktı. [8] Gazeteci, düşünce kuruluşu çalışanı gibi kimlikleri taklit eden hackerlar, Kovid-19’la ilgili gibi görünen sahte eklentili e-postalarla DSÖ çalışanlarını hedef aldı. Teknik incelemeler, bu aktörün de Charming Kitten olabileceğini söylüyor. DSÖ yetkilileri saldırının kaynağı konusunda net bilgi vermediler ancak devlet destekli bir organizasyon olduğuna inandıklarını belirttiler.

Kovid-19 temalı olmayan, ancak kayda değer öneme sahip son APT saldırısından da bahsetmek gerekiyor: Geçtiğimiz günlerde İran devlet destekli APT39 (diğer adıyla Chafer) grubunun Kuveyt ve Suudi Arabistan’a siber casusluk operasyonları düzenlediği tespit edildi [9]. Yaklaşık altı yıldan bu yana aktif olduğu bilinen bu tehdit aktörü, siber alanda istihbarat aktivitelerine ağırlık veriyor. Daha çok hava taşımacılığını ve bazı hükümet kurumlarını hedef alan bu son saldırının da siber casusluk kapsamında keşif ve veri sızdırma amacıyla yapıldığı düşünülüyor.

Dijital ortamın, diğer deyişle siber uzayın, klasik siber saldırı yöntemlerinin yanı sıra İran tarafından adeta savaş/harekât alanı olarak kabul eden bir anlayışla kullanılması dikkat çekici. Gelecek dönemlerde siber uzayda meydana gelebilecek İran kaynaklı her türlü eylem de bu konsept çerçevesinde olacaktır. Kovid-19 sürecini fırsat bilen ve bundan yararlanmak isteyen birçok devlet gibi İran da faaliyetlerini sürdürecektir. Buradan elde edeceği birikim ve yetenek de gelecek projeksiyonuna katkı sağlayacaktır.

İran’ın bilgi operasyonları

İran kaynaklı siber saldırı operasyonlarının yanı sıra, bilgi savaşları kapsamındaki operasyonlar da söz konusu. İran devlet merkezli bilgi operasyonları (sosyal medya araçları ve bazı web siteleri dâhil olmak üzere) çeşitli dijital ortamlar üzerinden yapılıyor. Bunlara örnek olarak, İran’ın 2011 yılından bu yana Twitter ve Facebook gibi platformlarda devam eden bilgi operasyonları, sosyal ağları analiz eden Graphika şirketi tarafından tespit edilmişti.

Facebook’un açıklamasına göre, İran İslam Cumhuriyeti Yayın Kurumu (IRIB) ile bağlantılı olduğu tespit edilen bu operasyonların sonucunda, yüzlerce Facebook ve Instagram hesabı, sayfalar ve gruplar silindi. [10] Operasyonun küresel alana yayıldığı, ABD ve İngiltere gibi ülkelerin yanı sıra pek çok Afrika ülkesinin de hedef alındığı belirtiliyor. Bu bağlamda, 2012 yılında ABD’li Cumhuriyetçileri hedef alan paylaşımlardan İsrail ve Suudi Arabistan’ı hedef alan karikatür paylaşımlarına, İskoçya bağımsızlık referandumu hakkındaki paylaşımlardan İran devlet propagandası yapan paylaşımlara kadar, geniş çerçevede bir bilgi operasyonundan söz ediliyor.

İran’ın buna benzer operasyonlarından biri de geçtiğimiz Şubat ayında tespit edilmişti: Kasım Süleymani’nin öldürülmesinin ardından Instagram üzerinden yürütülen kampanyada Süleymani’yi öven yoğun paylaşımlar yapılmıştı. Geçtiğimiz Nisan ayına kadar devam ettiği görülen ve ilerleyen dönemlerde de devam edecek olan bu bilgi operasyonları yeni nesil savaşa, yani hibrit savaşa örnek teşkil ediyor.

Diğer taraftan, Twitter’ın geçtiğimiz Mart ayında Devrim Rehberi Ali Hameney’in 4 farklı dildeki resmi hesaplarını bir süreliğine kapattığını da belirtmek gerekiyor. Twitter yetkilileri neden böyle bir eylemde bulunduklarını açıklamadılar. Fakat o günlerde, İran yönetimine muhalif olduğu düşünülen birtakım Twitter hesaplarının, Hameney’i ve İran devletini hedef alan paylaşımlarla birlikte şikâyette bulunmaları, muhtemel neden olabilir.

İran’ın dijital kalesi ne kadar etkili?

“Örtülü kamu diplomasisi” olarak nitelendirilen bu bilgi operasyonları, İran’ın siber uzayın imkanlarını ne şekilde kullandığını gösteriyor. Dijital ortamın, diğer deyişle siber uzayın, klasik siber saldırı yöntemlerinin yanı sıra İran tarafından adeta savaş/harekât alanı olarak kabul eden bir anlayışla kullanılması dikkat çekici. Gelecek dönemlerde siber uzayda meydana gelebilecek İran kaynaklı her türlü eylem de bu konsept çerçevesinde olacaktır. Kovid-19 sürecini fırsat bilen ve bundan yararlanmak isteyen birçok devlet gibi İran da faaliyetlerini sürdürecektir. Buradan elde edeceği birikim ve yetenek de gelecek projeksiyonuna katkı sağlayacaktır.

Son olarak, İran’ın siber savunmaya dair önemli bir çalışmasından bahsetmekte fayda var: 2019 yılının Mayıs ayında İran Dijital Kale (Dejfa) adında bir ulusal siber güvenlik duvarı inşa etti. Bu “sanal duvar” ile İran kritik altyapılarına ve kamu kurumlarına yönelik saldırıları tespit edip bunlara karşı koruyucu kalkan oluşturmayı amaçlıyor. Bu güvenlik duvarının inşası, İran’ın ulusal bilgi ağının siber güvenliğini sağlamak adına önemli bir stratejik çalışma. Ulusal bilgi ağı, İran’ı uluslararası internet alanından bağımsız hale getiren yerel bir ağ. Bu tür faaliyetlerle, tıpkı Çin’in yaptığı (“Büyük Güvenlik Duvarı” olarak da bilinen) “Altın Kalkan” ya da Rusya’nın yaptığı RuNet gibi ulusal dijital kalkan oluşturan İran’ın, özellikle ABD ve İsrail kaynaklı siber tehditlerle başa çıkıp çıkamayacağı merak ediliyor.

[Siber güvenlik alanında istihbarat ve devlet destekli siber aktiviteler konularında çalışmalar yapan Ersin Çahmutoğlu İran Araştırmaları Merkezi (İRAM) Güvenlik Araştırmaları masasında görev yapmaktadır]

GÖRÜŞ başlığıyla yayımlanan makalelerdeki fikirler yazarına aittir ve Anadolu Ajansı’nın editöryel politikasını yansıtmayabilir

[1] https://twitter.com/TreyYingst/status/1258344029617557504

[2] https://www.washingtonpost.com/national-security/intelligence-officials-say-attempted-cyberattack-on-israeli-water-utilities-linked-to-iran/2020/05/08/f9ab0d78-9157-11ea-9e23-6914ee410a5f_story.html

[3] https://www.axios.com/israeli-security-iranian-cyberattack-c9218bc3-9819-4de4-8097-9d19a9437d8a.html

[4] https://www.nytimes.com/2019/06/22/us/politics/us-iran-cyber-attacks.html

[5] https://www.ilna.news/Section-politics-3/912249-iran-official-explained-the-details-of-the-recent-cyber-attack

[6] https://www.jpost.com/israel-news/cyberattack-replaces-multiple-israeli-websites-with-anti-israel-message-628787

[7] https://www.reuters.com/article/us-healthcare-coronavirus-gilead-iran-ex/exclusive-iran-linked-hackers-recently-targeted-coronavirus-drugmaker-gilead-sources-idUSKBN22K2EV

[8] https://www.bloomberg.com/news/articles/2020-05-07/hackers-target-who-by-posing-as-think-tank-broadcaster

[9] https://www.bitdefender.com/files/News/CaseStudies/study/332/Bitdefender-Whitepaper-Chafer-creat4491-en-EN-interactive.pdf

[10] https://about.fb.com/news/2020/05/april-cib-report/

Kaynak:

HABERE YORUM KAT
UYARI: Küfür, hakaret, rencide edici cümleler veya imalar, inançlara saldırı içeren, imla kuralları ile yazılmamış,
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.