Metnin Aslı: https://www.washingtonpost.com/national-security/2023/03/30/russian-cyberwarfare-documents-vulkan-files/
Moskova merkezli bir siber yükleniciden gelen 5.000 sayfadan fazla belge, kötü şöhretli bilgisayar korsanlığı grubu Sandworm da dahil olmak üzere Rusya güvenlik hizmetleri için planlama ve eğitim faaliyetlerine alışılmadık bir bakış sunuyor.
Rus istihbarat teşkilatları, binlerce sayfalık gizli şirket belgelerine göre, siber saldırılar başlatma, dezenformasyon ekme ve internetin bölümlerini gözetleme yeteneklerini güçlendirmek için Moskova merkezli bir savunma yüklenicisiyle birlikte çalışıyor.
Belgelere göre Moskova merkezli firma, Rus istihbarat kurumlarının ve bilgisayar korsanlarının güvenlik açıklarını daha iyi bulmasına, saldırıları koordine etmesine ve online etkinliği kontrol etmesine olanak tanıyacak bir dizi bilgisayar programını ve veritabanını detaylıca onlara aktarıyor.
Belgeler, firmanın hem sosyal medya dezenformasyonu hem de deniz, hava ve demiryolu kontrol sistemleri gibi reel dünya hedeflerini uzaktan bozmak için eğitim de dahil olmak üzere bir dizi programda danışmanlık veriyor.
İsmini vermek istemeyen bir şahıs, elimize ulaşan NTC Vulkan’ın belgelerini, Rusya’nın Ukrayna’ya saldırısı hakkındaki öfkesini dile getirdikten sonra bir Alman muhabire verdi. Rusya’nın gizli askeri sanayi kompleksi için alışılmadık bir olay olan bu sızıntı, Devlet Başkanı Putin’in ülkesini savaşa sokma kararının istenmeyen bir başka sonucu olarak gösteriliyor.
Beş Batılı istihbarat ajansından ve birkaç bağımsız siber güvenlik şirketinden yetkililer, Washington Post ve birkaç ortak haber kuruluşunun talebi üzerine sızıntıları inceledikten sonra belgelerin gerçek olduğuna inandıklarını söyledi.
Yetkililer ve uzmanlar, sistemlerin Rusya tarafından konuşlandırıldığına veya belirli siber saldırılarda kullanıldığına dair kesin kanıt bulamadılar, ancak belgeler Vulkan tarafından Rus güvenlik hizmetleri ve birkaç ilgili araştırma enstitüsünde yapılan çalışmalarda yapılan test ve ödemeleri anlatıyor. Şirketin hem hükümet hem de sivil müşterileri var.
Sızıntı, kötü şöhretli hükümet hackleme grubu Sandworm için çalışmak da dahil olmak üzere Rusya’nın askeri ve sivil ajanlarının gizli kurumsal ilişkilerine istisnai bir pencere sunuyor.
ABD’li yetkililer, Sandworm’u Ukrayna’da iki kez elektrik kesintisine neden olmak, 2018 Kış Olimpiyatları’nın Açılış Törenlerini bozmak ve tarihteki ekonomik açıdan yıkıcı kötü amaçlı yazılım olan NotPetya’yı piyasaya sürmekle suçladılar.
Sızdırılan belgelerden biri, Sandworm’un askeri istihbarat birimi 74455’in sayısal tanımından bahsediyor ve Vulkan’ın elit bilgisayar korsanlığı ekibi tarafından kullanılmak üzere yazılım hazırladığını gösteriyor. 2019 tarihli imzasız, 11 sayfalık belge, platformlardan biri için veri aktarım protokolünü onaylayan bir Sandworm yetkilisini gösterdi.
Ukrayna’nın işgalinden kısa bir süre sonra Alman muhabire belgeleri sağlayan kişi, “Şirket kötü şeyler yapıyor ve Rus hükümeti korkak” dedi. Muhabir daha sonra bunları Washington Post’u da içeren ve her ikisi de Almanya’da bulunan Paper Trail Media ve Der Spiegel tarafından yönetilen bir haber kuruluşları konsorsiyumuyla paylaştı.
Şifreli bir sohbet uygulaması aracılığıyla muhabirle konuşan isimsiz kişi, iletişimi sonlandırmadan önce kendilerini tanımlamayı reddetti ve güvenlik nedenleriyle “hayalet gibi” ortadan kaybolması gerektiğini açıkladı.
Belgeleri veren şahıs, “Ukrayna’nın işgali ve orada meydana gelen korkunç şeyler için kızgınım. Umarım bu bilgileri kapalı kapılar ardında neler olup bittiğini göstermek için kullanabilirsiniz” dedi.
Vulkan gönderdiğimiz yorum taleplerine cevap vermedi. Telefona merkez ofisinde cevap veren şirketin bir çalışanı, soruları içeren bir e-postanın alındığını doğruladı ve “eğer ilgilerini çekiyorsa” şirket yetkilileri tarafından cevaplandırılacağını söyledi.
Hiçbir yanıt gelmedi. Kremlin yetkilileri de yorum taleplerine cevap vermedi.
2016 ve 2021 yılları arasında yayınlanan 5.000 sayfadan fazla belgenin önbelleği, Vulkan’ın Rus ordusu ve istihbarat kuruluşu için tasarladığı yazılımlar için kılavuzlar, teknik özellik sayfaları ve diğer ayrıntıları içeriyor.
Ayrıca belgelerde, hem Rusya’nın siber operasyonlarının hırsını hem de Moskova’nın dış kaynak kullandığı işin genişliğini gösteren şirket içi e-postalar, finansal kayıtlar ve sözleşmeler bulunuyor.
Daha ilginç olanı sızıntılarda, gelecekteki olası hedefleme için dünya çapındaki bilgisayar sistemlerindeki güvenlik açıklarının listelerini tanımlayabilen ve stoklayabilen sahte sosyal medya hesapları ve yazılımları oluşturma programı Amezit’in açıklanıyor olması.
Amezit olarak bilinen bir proje için bir kullanıcı arayüzünün birkaç maketi, İsviçre’deki Dışişleri Bakanlığı ve bu ülkedeki bir nükleer santral de dahil olmak üzere olası hack hedeflerinin örneklerini gösteriyor. Başka bir belgede, internet sunucularının kümelerini temsil ediyor gibi görünen dairelerle ABD’nin bir haritası gösterilmekte.
Skan adlı bir Vulkan platformu için bir örnek, bir saldırıda kullanılmak üzere ağ güvenlik açıklarını bulmak için bir yer olarak “Fairfield” etiketli bir ABD konumuna atıfta bulunuyor. Başka bir belge, bilgisayar korsanlığı ekiplerinin, muhtemelen bir siber saldırıda potansiyel kullanım için Kuzey Kore’deki güvensiz yönlendiricileri tanımlayacağı bir “kullanıcı senaryosunu” açıklanmakta.
Belgeler, doğrulanmış hedef listelerini, kötü amaçlı yazılım kodunu veya projeleri bilinen siber saldırılarla ilişkilendiren kanıtları içermiyor ancak ABD de dahil olmak üzere diğer büyük güçler gibi, siber saldırıları daha hızlı, ölçekli ve verimli bir şekilde gerçekleştirme yeteneğini büyütmeye ve sistematize etmeye istekli olan bir Rus devletinin amaçlarına dair içgörü sunuyor.
Belgeleri okuyan siber güvenlik firması Mandiant’ın istihbarat analizinden sorumlu başkan yardımcısı John Hultquist “Bu belgeler, Rusya’nın sivil kritik altyapıya yönelik saldırıları ve sosyal medya manipülasyonunu tek ve aynı misyon olarak gördüğünü gösteriyor, bu da esasen düşmanın savaşma isteğine yönelik bir saldırı” yorumunda bulundu.
‘Kritik bir sütun’
Siber yüklenicilerin Rus siber savaşındaki rolü, özellikle de yaygın olarak GRU olarak adlandırılan Rus askeri istihbarat ajansı için “çok önemli”, Batılı bir istihbarat analisti, hassas bulguları paylaşmak için anonimlik koşuluyla konuştu. “Bunlar, GRU saldırgan siber araştırma ve geliştirmenin kritik bir ayağıdır. GRU’nun belirli bir konuda eksik olabileceği uzmanlığı sağlarlar. Casus servisleri onlarsız siber operasyonlar yapabilir, ancak muhtemelen değil. “
İntikam korkusuyla anonimlik koşuluyla konuşan üç eski Vulkan çalışanı, şirketle ilgili bazı ayrıntıları doğruladı. Vulkan’ın haber kuruluşları tarafından ayrı ayrı elde edilen mali kayıtları, belgelerdeki referanslarla birkaç kez eşleşerek, bilinen Rus ordusu veya istihbarat kuruluşları ile şirket arasındaki milyonlarca dolarlık işlemleri detaylandırıyor.
İstihbarat ve siber güvenlik uzmanları, belgelerdeki ayrıntıların Rusya’nın bilgisayar korsanlığı programları hakkında toplanan bilgilerle de eşleştiğini söyledi.
Belgelerde hackerlar siber operasyonları etkinleştirmek için yeni araçları açıklıyor gibi görünüyor. Vulkan’ın eski çalışanları, şirketin Rus güvenlik servislerine özel siber yetenekler sağladığı bilinen düzinelerce özel firmadan biri olduğunu söylediler.
Uzmanlar, belgelerde GRU’ya bağlı birimler de dahil olmak üzere Rus ordusu tarafından kaç tane programın geliştirildiğini ve piyasaya sürüldüğünü bulamadı.
Bununla birlikte, belgeler, devlet tarafından zorunlu kılınan testlere, müşteriler tarafından istenen değişikliklere ve bitmiş projelere atıfta bulunarak, bazı programların en azından deneme sürümlerinin etkinleştirildiğini güçlü bir şekilde ima ediyor.
“Bunun gibi ağ diyagramlarını ve tasarım belgelerini çok sık bulamıyorsunuz. Gerçekten çok karmaşık şeyler. Bunun hiçbir zaman kamuoyu önünde görülmesi amaçlanmamıştı” diyen Batılı istihbarat yetkililerinden biri “Ama dikkat etmek mantıklı. Çünkü GRU’nun ne yapmaya çalıştığını daha iyi anlıyorsunuz.” ifadesini kullandı.
Teknoloji şirketinin önde gelen siber tehdit avcısı Google’daki Tehdit Analizi Grubu, 2012 yılında Vulkan’ın Rusya’nın dış istihbarat servisi SVR tarafından kullanıldığına dair kanıtlar buldu. Araştırmacılar, bir Gmail hesabından, açıkça bir şirket çalışanı olan aynı kişi tarafından kurulmuş bir Vulkan e-posta hesabına gönderilen şüpheli bir test kimlik avı e-postasını gözlemledi.
Google yaptığı açıklamada, “Test mesajlarının kullanımı, kimlik avı e-postalarını kullanımlarından önce test etmek için yaygın bir uygulamadır” dedi. Bu test e-postasından sonra, Google analistleri aynı Gmail adresinin SVR tarafından diğer hedeflere karşı kullanıldığı bilinen kötü amaçlı yazılımları göndermek için kullanıldığını buldu
Google analisti, gönderilen av e-postalarının akıllıca olmadığını sadece yemleme olduğunu söyledi.
Şirkete yapılan referanslar, güvenlik araştırmacıları için bir kaynak olan kötü amaçlı yazılım veritabanına sahip Google’a ait bir hizmet olan VirusTotal’da da bulunabilir.
“Gizli Parti NTC Vulkan” etiketli bir dosya, normalde kullanıcının bilgisayarının kontrolünü ele geçiren bir kötü amaçlı yazılım parçasına gizlenmiş bir tatil davetiyesidir. Görünüşe göre zararsız olan davetiye, bir şampanya şişesi ve iki kadehin yanında büyük bir ayının resmini otomatik olarak indirir.
Görüntü, Batılı siber güvenlik yetkililerinin Rus hack gruplarını ursine kod adlarıyla etiketlemesine atıfta bulunan “APT Magma Bear” olarak etiketlendi. APT, genellikle Rusya gibi ulus devletler tarafından yönetilen en ciddi bilgisayar korsanlığı grupları için bir siber güvenlik terimi olan “Gelişmiş Kalıcı Tehdit” anlamına gelir.
Davetiyede “APT Magma Bear, size ve ailenize harika bir tatil sezonu ve sağlıklı ve huzurlu bir Yeni Yıl diliyorum!” yazıyor ve arka planda Sovyet askeri müziği çalıyor.
Batılı şirketlerle nasıl ilişki ağı kuruldu?
Vulkan 2010 yılında kuruldu ve Rus iş bilgileri web sitelerine göre yaklaşık 135 çalışanı var. Şirket web sitesi, ana merkezinin kuzeydoğu Moskova’da olduğunu söylüyor.
Şirket web sitesindeki bir tanıtım videosunda, Vulkan’ı “kurumsal sorunları çözen” ve “rahat bir çalışma ortamına” sahip olan titiz bir teknoloji girişimi olarak tasvir ediyor. Video Vulkan’ın amacının “dünyayı daha iyi bir yer haline getirmek” olduğunu ilan ederek sona eriyor.
Tanıtım videosunda askeri veya istihbarat müteahhitlik çalışmalarından bahsedilmiyor.
Eski bir Vulkan çalışanı şirketin diğer teknoloji kuruluşlarına göre daha iyi para verdiğini söyleyerek, “İş ilk başta eğlenceliydi. En son teknolojileri kullandık. Çalışanlar gerçekten zekiydi” yorumunda bulundu.
Bazı eski Vulkan çalışanları daha sonra Amazon ve Siemens de dahil olmak üzere büyük Batılı şirketler için çalıştı. Her iki şirket de eski Vulkan çalışanlarının kendileri için çalıştığına itiraz etmeyen açıklamalar yayınladı, ancak şirket içi kontrollerin hassas verilere yetkisiz erişime karşı koruduğunu söylediler.
Belgeler ayrıca Vulkan’ın Rus güvenlik servisleri için sistemler kurarken bir dizi ABD donanımı kullanmayı amaçladığını gösteriyor. Tasarım belgeleri, Rus askeri ve istihbarat birimleri için “donanım-yazılım” sistemlerini yapılandırmak için kullanılması gereken Intel işlemciler ve Cisco yönlendiricileri de dahil olmak üzere Amerikan ürünlerine tekrar tekrar atıfta bulunuyor.
ABD şirketleriyle başka bağlantılar da var. IBM, Boeing ve Dell de dahil olmak üzere bu şirketlerden bazıları, istihbarat ve bilgisayar korsanlığı operasyonlarıyla belirgin bir bağı olmayan ticari yazılım geliştirme çalışmalarını tanımlayan web sitesine göre, bir zamanlar Vulkan ile birlikte çalıştı. IBM, Boeing ve Dell temsilcileri, bu kuruluşların daha önce Vulkan ile çalıştığına itiraz etmedi, ancak şu anda şirketle herhangi bir iş ilişkisinin olmadığını söyledi.
Otomatik dezenformasyon ağı
Belgeler hazinesi başlangıçta Alman gazetesi Süddeutsche Zeitung’un bir muhabiriyle paylaşıldı. Belgeleri inceleyen konsorsiyumun sekiz ülkeden The Post, Guardian, Le Monde, Der Spiegel, iStories, Paper Trail Media ve Süddeutsche Zeitung dahil olmak üzere 11 üyesi bulunuyor.
Sızan binlerce sayfalık Vulkan belgeleri arasında, Rus bilgisayar korsanlığı birimleri arasındaki operasyonları otomatikleştirmek ve etkinleştirmek için tasarlanmış projeler var.
Örneğin Amezit, dezenformasyon kampanyaları için çok sayıda sahte sosyal medya hesabının oluşturulmasını otomatikleştirmek için taktikleri detaylandırıyor. Sızdırılan önbellekteki bir belge, Facebook, Twitter ve diğer sosyal ağlardaki yeni hesapların doğrulama kontrollerini yenmek için cep telefonu SIM kartlarının bankalarının nasıl kullanılacağını açıklıyor.
Belgelerde listelenen Twitter hesaplarından çalışan Le Monde, Der Spiegel ve Paper Trail Media muhabirleri, bu araçların muhtemelen birkaç ülkede çok sayıda dezenformasyon kampanyası için kullanıldığına dair kanıtlar buldu.
Rus dezenformasyon ajanlarının Cumhuriyetçi başkan adayı Donald Trump’ı desteklemek ve Demokrat Hillary Clinton’ı baltalamak için çalıştığı 2016’da, Clinton’ın İtalya’da dış destek arayarak “liderliğini yeniden kazanmak” için “umutsuz bir girişim” yaptığını iddia eden bir web sitesine bağlanan tweet’leri içeriyordu.
Muhabirler ayrıca, yazılımın Rusya’nın içinde ve dışında, Suriye’deki Rus saldırılarının sivilleri öldürdüğünü inkar etmek de dahil olmak üzere resmi devlet propagandası doğrultusunda sahte sosyal medya hesapları oluşturmak için kullanıldığına dair kanıtlar buldular.
Belgeler, Amezit’in Rus yetkililerin kontrol ettikleri bölgelerde interneti filtrelemelerine ve izlemelerine izin vermek için tasarlanmış başka özelliklere de sahip olduğunu gösteriyor. Programın internet kullanıcılarının sosyal medyada ne göreceğini şekillendiren araçlar içerdiğini öne sürüyorlar.
Proje, belgelerde defalarca “yerel alanın bilgi kısıtlaması” ve “veri iletim ağının özerk bir segmentinin” oluşturulması için bir sistemler kompleksi olarak tanımlanmakta.
Amezit sistemlerinden biri için 2017 taslak el kitabı, “özel materyallerin hazırlanması, yerleştirilmesi ve tanıtımı” hakkında talimatlar sunuyor. (büyük olasılıkla sahte sosyal medya hesapları, telefon görüşmeleri, e-postalar ve kısa mesajlar kullanılarak dağıtılan propaganda)
Kritik altyapının haritalandırılması
2016 tasarım belgesindeki modellerden biri, kullanıcının imleci haritadaki bir nesnenin üzerine getirmesine ve IP adreslerini, alan adlarını ve işletim sistemlerini ve ayrıca “fiziksel nesneler” hakkındaki diğer bilgileri görüntülemesine olanak tanır.
Floresan yeşili ile vurgulanan bu tür bir fiziksel nesne, İsviçre’nin Bern kentindeki Dışişleri Bakanlığı’dır ve varsayımsal bir e-posta adresi ve “kök kullanıcı ayrıcalıkları elde etmek” için “saldırı hedefi”ni gösterir. Haritada vurgulanan diğer nesne ise 2019’da enerji üretimini durdurulan Bern’in batısındaki Muhleberg Nükleer Santrali.
Siber tehdit istihbarat firması CrowdStrike’ın kurucularından Dmitri Alperovitch, belgelerin Amezit’in demiryolları ve enerji santralleri gibi kritik tesislerin keşfedilmesini ve haritalandırılmasını sağlamayı amaçladığını, ancak yalnızca saldırganın bir tesise fiziksel erişimi olduğunda aktif hale geldiğini söyledi.
E-postalar, Amezit sistemlerinin en azından 2020 yılına kadar Rus istihbarat teşkilatları tarafından test edildiğini gösteriyor. 16 Mayıs 2019 tarihli bir şirket e-postası, müşteriden gelen geri bildirimleri ve programdaki değişiklikleri arzuladığını açıklar. Bir elektronik tablo, projenin hangi bölümlerinin tamamlandığını işaretler.
Hazinedeki bir belge ayrıca, Vulkan’ın 2018 yılında 30 kursiyer tarafından eşzamanlı operasyon sağlamak için Crystal-2 adlı bir eğitim programı oluşturmak üzere sözleştiğini öne sürüyor. Belge, “demiryolu, hava ve deniz taşımacılığı için kontrol sistemlerini devre dışı bırakmak için Amezit sisteminin” test edilmesinden bahsediyor, ancak belgelerde tasarlanan eğitim programının ilerleyip ilerlemediğini netleştirmiyor.
Kursiyerler ayrıca, “nüfus merkezlerinde ve endüstriyel alanlarda yaşamı desteklemek için yerel bilgisayar ve teknolojik altyapı ve tesis ağlarına yetkisiz erişim elde etmek için test yöntemleri” olacak, potansiyel olarak belgenin Amezit’e atfettiği yetenekleri kullanacaklar.
Belgenin ilerleyen kısımlarında, şöyle yazıyor: “Üründe işlenen ve depolanan bilgilerin gizlilik düzeyi ‘Çok Gizli’dir.”
Güvenlik açıkları deposu
Belgelere göre, Rusya’nın ana projesi Skan adında bir proje. Bu projenin amacı da Rusya’ya yapılan siber saldırıları analiz ederek gelecekteki saldırılarda aynı yöntemin kullanılması halinde saldırının otomatik olarak bertaraf edilmesi.
Siber güvenlik şirketi Huntress’in tehdit istihbaratı yöneticisi Joe Slowik, Skan’ın muhtemelen diğer yazılımlarla birlikte çalışmak üzere tasarlandığını söyledi.
Slowik, Skan’ı “Bu, her şeye izin verecek arka plan sistemidir. Yetenekleri merkezi olarak yönetilebilecek şekilde organize etmek ve potansiyel olarak görevlendirmek ve hedeflemek” olarak açıkladı.
Slowik, çok sayıda yıkıcı saldırıdan sorumlu tutulan Rus askeri hack grubu Sandworm’un büyük bir güvenlik açığı veritabanı tutmak isteyeceğini söyledi.
2019’dan bir belge, Skan’ın “olası tüm saldırı senaryolarının bir listesini” görüntülemek ve ağdaki saldırılara dahil olabilecek tüm düğümleri vurgulamak için kullanılabileceğini söylüyor.
Sistem ayrıca, sızdırılan belgelere göre, Rus bilgisayar korsanlığı birimleri arasında koordinasyonu mümkün kılıyor ve “coğrafi olarak dağılmış potansiyel özel birimler arasında veri alışverişi yapma yeteneğine” izin veriyor gibi görünüyor.
“Skan bana insanların etrafta durduğu eski askeri filmleri hatırlatıyor … ve topçularını ve birliklerini haritaya yerleştirin,” diyen Mandiant’taki bir başka siber güvenlik uzmanı Gabby Roncone şöyle devam etti: “Ve sonra düşman tanklarının nerede olduğunu ve düşman hatlarını kırmak için önce nereye saldırmaları gerektiğini anlamak istiyorlar”
Skan’ın en azından bir kısmının Rus ordusuna teslim edildiğine dair kanıtlar var.
-27 Mayıs 2020 tarihli bir e-postada, Vulkan geliştiricisi Oleg Nikitin, Skan projesi için ekipman kurmak ve yapılandırmak, yazılımı yükseltmek ve yapılandırmak ve işlevselliği göstermek için “işlevsel kullanıcımızın bölgesini ziyaret etmek” üzere çalışanların bir listesini topladığını açıkladı. İşlevsel kullanıcı, Sandworm’un bulunduğu Moskova banliyösüne atıfta bulunan “Khimki” olarak tanımlanmaktadır.
“Bölge kapalı, rejim katı,” diye yazdı Nikitin, korunaklı, gizli bir hükümet tesisi için Rusça terimler kullanarak.
Nikitin yorum talebine cevap vermedi.
Paper Trail Media’dan Maria Christoph bu rapora katkıda bulunmuştur.
Craig Timberg, The Post’un işbirlikçi araştırmalardan sorumlu kıdemli editörü ve eski teknoloji muhabiri.
Ellen Nakashima, siber güvenlik ve istihbarat sorunları hakkında yazan bir Post ulusal güvenlik muhabiri.
Hannes Munzinger ve Hakan Tanrıverdi, Münih merkezli Paper Trail Media’nın kıdemli araştırmacı muharipleri.
Munzinger belge hazinesini aldı ve önceki işvereni Süddeutsche Zeitung için çalışırken kaynakla ilk konuşmaları yaptı. –
Çeviri : Ömer Faruk Madanoğlu
Yorum ekle