Rusya Devlet Başkanı Vladimir Putin ile ABD Başkanı Joe Biden, Çarşamba günü Cenevre’deki buluşmalarında internet güvenliği konusunu ele aldı ve iki ülke arasında siber güvenlik konusunda bir düzenleme yapmak üzere anlaştı.
Biden, son zamanlarda ABD’nin önde gelen bazı şirketlerine yönelen internet saldırılarından sonra, Putin ile bu alana bir düzen getirmek üzere karşılıklı görüşmelere başlama kararı aldıklarını söyledi.
Fakat taraflar giderek büyüyen, fidye almak amacıyla bilgisayar sistemlerinin ele geçirilmesi (ransomware) sorununun kaynağı konusunda görüş ayrılığı içinde oldukları için bu görüşmelerin kolay olmayacağı söylenebilir.
Başkan Biden, kısa bir süre önce ABD’nin önemli bir petrol boru hattına yönelen saldırıyı Putin’le konuştuğunu söyledi.
Bu saldırıyı yapan Darkside adlı siber çetenin mensuplarının Rus olduğundan kuşkulanılıyor.
Biden, Putin’e gelecekteki siber saldırıların asla hedefi olamayacak 16 hayati önemdeki kurumun listesini verdiğini de söylüyor.
Ne var ki Putin, görüşmeden sonra gazetecilere ABD’nin Colonial boru hattına yönelik siber saldırının “Rus makamlarıyla hiçbir ilgisi olmadığını” söyledi.
Putin ayrıca ABD’deki kaynaklarının kendisine, bu saldırıların çoğunun ABD’den yapıldığını söylediğini ve ABD kaynaklı siber saldırılar hakkında Rusya’nın bilgi edinme çabalarının kulak arkası edildiğini de ekledi.
Fidye almaya yönelik siber saldırıların Rusya’dan geldiğine dair kanıtlar neler?
Siber uzayın gizleyici özellikleri nedeniyle genellikle saldırıların kesin olarak nereden ve kim tarafından yapıldığını bulabilmek kolay değil.
Ancak bu saldırılarda son birkaç yıldır uzmanlar tarafından reddedilemeyecek bazı özellikler gözlemlendi ve bunlar da bir yöne işaret ediyor.
Eski bir Rus internet korsanı olup şu anda siber-güvenlik uzmanı olarak çalışan Dmitry Smilyanets “İstihbarat ve araştırma kuruluşları saldırıların eski Sovyet bloku ülkelerinden, isim vermek gerekirse, Rusya, Ukrayna ve diğerlerinden geldiği kanısında. Bunu destekleyen birden fazla gösterge var” diyor.
Smilyanets ve diğer bazı uzmanlar bu tür kanıtları dört başlıkta topluyor:
Büyük grupların çoğu zararlı yazılım ürünlerinin tanıtımını sadece karanlık ağdaki (dark web) Rusça konuşulan internet korsanlığı forumlarında yapıyor.
Internet korsan grupları ağırlıkla Moskova’daki iş saatlerinde faaliyet gösteriyor ve Rus resmi tatillerinde genellikle daha hareketsiz oluyor.
Fidye amaçlı siber saldırıların çoğunda, yazılım, aynı zamanda Rus klavyesi kullanan bilgisayar sistemlerine saldırıyı otomatik olarak engelleyen talimatlar da içeriyor.
Fidye amaçlı saldırıların Rusya’da ya da eski Sovyet cumhuriyetlerinde, batı ülkelerine göre çok daha az kişi ve kurumu hedef aldığı görülüyor.
Siber savunma kuruluşu Recorded Future’da çalışan Smilyanets bunlara ek olarak “Fidye amaçlı saldırıları hedefleyen gizli ve gayri resmi internet faaliyetlerinin de” önemli bilgiler sağladığını ve araştırmacıların bulgularını desteklediğini söylüyor.
2019 yılında iki Rus vatandaşı ABD ve İngiltere makamları tarafından Evil Corp adlı fidye amaçlı yazılımla ilgili olarak, isimleri verilerek suçlandı fakat her ikisi de Rusya’da serbestçe dolaşıyor.
Putin, Rusya’nın da saldırılara hedef olduğunu söylüyor
Vladimir Putin, Çarşamba günü Biden ile görüşmesinden sonra düzenlediği basın toplantısında Rusya’nın da sürekli olarak bir takım fidye amaçlı siber saldırılara hedef olduğunu söyledi ve Rusya Sağlık Hizmetleri’ni hedef alan ve ABD’li korsanları suçladığı saldırıyı örnek verdi.
Ancak Dmitry Smilynets bu olayın bir fidye amaçlı saldırı olması ihtimalinin pek olmadığını, kamuoyunda bu tür bir saldırının yol açmış olması gereken sıkıntı ve kesintilere dair bir şey duyulmadığını söylüyor.
Rusya ve eski Sovyet cumhuriyetlerinde siber saldırıların çok nadir görülmesinin temelinde Rus internet korsanlığının en önemli kuralının bulunduğu düşünülüyor. Bu da “dost topraklarda olmadığı sürece” herkes ve her kurumun hedef alınabileceği kuralı.
Fidye yazılımları küresel bir sektöre dönüştü
Fidye yazılımlarını birçok başka ülkedeki çetelerin de kullandığına kuşku yok.
Örneğin, İngiltere’de 2017 yılında yüzlerce hastaneyi etkileyen, tarihin bilinen en ciddi fidye saldırısının Kuzey Kore’deki siber korsanlar tarafından gerçekleştirildiği biliniyor.
Cenevre’deki Putin-Biden görüşmesinin yapıldığı gün Ukrayna’da altı kişi Clop adlı fidye yazılımı grubuyla ilişkili oldukları kuşkusuyla gözaltına alındı.
Bu kişiler ABD ve Güney Kore’deki kuruluşlara saldırılar yöneltmekle suçlanıyor.
Bir başka zanlı da Ocak ayında Kanada’da Netwalker adındaki başka bir fidye yazılımı grubuyla ilişkili olmakla suçlanarak tutuklandı.
Ne var ki yakınlarda gerçekleşen bu tutuklamaların hiçbirisinin güçlü siber korsan ağlarının çekirdeğine zarar verdiği düşünülmüyor.
Batıda bu alanda çalışan uzmanların çoğu, bu yıkıcı ve kârlı suç sektörünün merkez üssünün Rusya’da ve komşusu eski Sovyet cumhuriyetlerinde olduğu görüşünde birleşiyor.