Hackerlar çağındayız biliyorsunuz. Hemen her gün bir yeni önemli hacking olayı duyuyoruz (hatta bazılarını hiç duymuyoruz). En fazla duyduğumuz hackerlar ise Çin ve/veya Rusya ve bağlantılı ülkelerden çıkanlar. FBI’ın bu konuda bir listesi var. Hani eski kovboy filmlerinde gördüğümüz “Wanted” listesi [1]. Bakıldığında ağırlıklı Ruslar yer alıyor.
Ama ortamda birdenbire İranlı hackerlar daha fazla konuşulmaya başlandı. Japon güvenlik firması Trend Micro ve İsrailli güvenlik şirketi ClearSky'ın bu salı birlikte yayınladıkları bir rapora göre [2], CopyKittens olarak adlandırılan hacker grubunun İran ile bağlantısı var. Kendisini CopyKittens olarak adlandıran grubun varlığı, ilk kez Kasım 2015'te Clear Sky ve Minerva Labs tarafından kamuoyuna açıklandı. O zamandan beri, çeşitli hedeflere yönelik siber saldırıların analizleri, grubun en az 2013'ün başından bu yana aktif olduğunu gösterdi. CopyKittens'ın bu süre zarfında, Ürdün, Suudi Arabistan, Türkiye, İsrail, Amerika Birleşik Devletleri ve Almanya için çalışan kurum ve kişileri ve Birleşmiş Milletler için çalışan belirli büro ve yetkilileri hedeflediği raporlandı. CopyKittens’ın hareketleri analiz edildiğinde, genellikle hükümetlere ve politik hedeflere yöneldikleri görülüyor. Çalışma yöntemlerinin ise diğer hacker gruplarından farklı olduğu belirtiliyor. Trend Micro ve ClearSky'ın birlikte oluşturduğu rapora bakıldığında ise, İran hükümetinin altyapısını kullandığı anlaşılıyor.
Raporun kendisi grubu İran'a bağlamıyor. Bunu Trend Micro'nun "siyasi analiz yapmama" şeklindeki şirket politikası ile açıklıyorlar. Bununla birlikte, Clear Sky araştırmacıları, CopyKittens'in "İran hükümet altyapısı" olduğunu ve sırasıyla "panda" ya da "ayı" gibi Çin ve Ruslara atıf yapılan sembollere benzer şekilde "kedi yavrusu" kullanımının İran korsanlarına işaret ettiğini belirtiyorlar. Trend Micro / ClearSky raporuna göre, CopyKittens çok basit hacking teknikleri kullanıyor. Örneğin; sahte sosyal medya profilleri yaratarak, web sitelerine saldırılar yapıyorlar. Ya da kötücül kodları, emailler ile bulaştırırak hackleme yapıyorlar. Araştırmacılar, yaptıkları açıklamada, "CopyKittens, teknolojik anlamda sofistike saldırı yapamamasına ve operasyonel disiplinine sahip olmamasına rağmen, çok ısrarlı. Bu nedenle amaçlarını eninde sonunda gerçekleştiriyorlar. Ancak bu özellikler, nispeten fazla iz bıraktığından, izlerini çabucak bulma, izleme ve uygulama kolaylığı sağlıyor" dedi. İranlı yetkililerin konuyla ilgili yorumda bulunmadığı açıklandı.
2010 yılında, İran'ın Uranyum zenginleştirme tesisine, ABD ya da İsrail kaynaklı olduğu tahmin edilen Stuxnet [3] saldırı olduğundan bu yana, İran'ın siber ordusu gündemde. Ancak bu haberde geçen CopyKittens iranlı bir grup olsa bile, bu ordu ile aynı olup olmadığı bilinmiyor. Türk kamuoyunda ise, ABD'nin, geçtiğimiz 25-30 yılda, Irak, Suriye ile ilgili gelişmelerden sonra İran'ı hedeflediği ve aynen Irak'taki "kitlesel silahlar" ya da Suriye'deki "kimyasal silahlar" nedenini ileri sürmesi gibi, şimdi İran için "siber saldırı" kartının öne sürüldüğü kaydediliyor. Geçtiğimiz günlerde muhalif bir İranlı gazeteci, Türkiye'de 31 mart 2015'de meydana gelen elektrik kesintisini İranlı hackerların yaptığını açıkladı [4].
Biz 2 yıl önce, kesinti olduğunda bunun bir saldırı olabileceğini yazmıştık. Çünkü enterkonnekte sistemin çökmesi için ekstra bir şeyler olmalıydı ve bu şeyin ne olduğu da, ne o gün, ne de bugüne kadar açıklanmadı. Bu nedenle hala bunun bir siber saldırı olmuş olabileceğini düşünüyoruz.
Ancak muhalif gazetecinin 2 yıl durup, tam da bugünlerde açıklama yapması, sonrasında da İsrail menşeli bir güvenlik şirketinin İran’ı bu kadar işaret etmesi çok ilginç.
Sosyal medyada yapılan yorumlara bakıldığında "Sünni-Şii kavgası çıkarmaya çalışanların yeni oyunu" şeklinde ifadeler görülüyor. Siyasi bir analiz olarak değil ama bu bakış açısını da atlamadan, gözönüne almak lazım.
Siber saldırıların en kötü yönü; varlılığının ve/veya nasıl yapıldığını ve/veya kimlerce yapıldığını ortaya zor çıkması ya da çıkmaması. Çünkü siber güvenlik olayından anlamak yetmiyor, elinizde yeterli araç-gereç ve trafik olması lazım. Bazen neler olduğunu anlamak bir kaç yılı bulabiliyor.
Fiziksel dünyada Irak'ın kitlesel silahları, Suriye'nin kimyasal silahlarının olmadığı ispat edilebiliyor ama siber saldırıların olup olmadığı ya da oldu ise, kimin tarafından ve nasıl yapıldığı karanlık bir olay kalabiliyor. Hatta İran'ın altyapısı hacklenmiş ve saldırı için kullanılmış ise, bu da ayrıca tespit edilmesi zor bir durum. Dolayısıyla, yukarıda da belirttiğimiz üzere, 2 yıl önceki elektrik kesintisinin bir siber saldırı olabileceğini hala düşünüyoruz. Çünkü bu boyutta bir elektrik kesintisinin olması hem normal şartlar altında zor, hem bugüne kadar nedeni açıklanmadı. Ama bu siber saldırı kim tarafından yapıldı? İran mıydı? Ya da başka birilerince “hassas bir durumu takip edip” yapılmış ve sonra İran üzerine atılmışsa, onu bilemiyoruz. Trend Micro / ClearSky raporu bir yandan İran bağlantısına işaret ederken, bir yandan hackerları (saldırıları sofistike değil" şeklinde küçümseyen bir ifade taşıyor. Bu da ayrıca ilginç bir nokta. İran'lıların bu saldırıların ne kadar içinde olduğu ya da olmadığı ayrı bir konu ama Copy Kittens grubunun bir İsrailli güvenlik şirketi tarafından ortaya çıkarılması, Bu firmanın son raporda yanına tarafsız olabilecek bir ülkenin güvenlik şirketini alması, o firmanın siyasi analiz yapmak istememesine karşın ısrarla, İran altyapısının kullanıldığının belirtilmesi ve hatta hackerlarca İran kedisine bağlayacak şekilde “Kittens” adının kullanılması, güvenlik firmasınca saldırıların küçümsenmesi (sofistike olmadığının ama ısrarla yapıldığı için başarıya ulaştığının belirtilmesi) diğer ilginç noktalar.
Bütün bunların üzerinde düşünmeye değer. Çünkü yakında karşımıza, Irak’taki “Kitlesel silah”, Suriye’deki “Kimyasal Silah” gibi İran’da “Siber silah” var çıkabilir.
[2] Operation Wilted Tulip – Exposing a Cyber Espionage Apparatus
[3] Stuxnet Solucanı İran'ı Hedef Alıyor [4] T24 okuyucuları 2 yıl önce okumuştu.. İranlı gazeteci açıkladı; elektrik kesintisi siber saldırıymış