Saldırı ların Kaynağı Suriye Elektronik Ordusu mu?

Suriye Elektronik Ordusu’nun (SEO) Cumhurbaşkanlığı başta olmak üzere diğer bazı devlet kurumlarına ait mailleri sızdırıp yayınlaması siber güvenlik konusunu gündemin ön sıralarına taşıdı.

Televizyonlar güvenlik uzmanlarını canlı yayınlara çıkardı, yorumcular savaşların artık siber alana taşındığı, Türkiye’nin siber ordusu olması gerektiği gibi meselelerin üzerinde durdular. Çoğunlukla yapılan analizler Türkiye’yi merkeze alırken, saldırgan odaklı yorumlar pek üretilmedi. Halbuki SEO geçtiğimiz 3-4 yıl içerisinde siber kabiliyetlerini geliştirerek Türkiye’ye karşı ciddi bir stratejik tehdit haline geldi.

SEO’un Ortaya Çıkışı

Tunus’ta başlayan Mısır ve Libya’dan sonra Suriye’ye sıçrayan ve kısaca ‘Arap Baharı’ olarak adlandırılan kitle hareketleri sırasında diktatör yönetimlerin internet politikası genelde ‘sınırlamacı ve reaktif’ olarak nitelendiriliyor. Sitelere erişimin engellenmesi, hesapların askıya alınması ve nihayetinde tüm ülkenin internet erişiminin kapatılması gibi yöntemler bu stratejinin taktiksel adımları olarak öne çıkıyor. Fakat Esad rejimi bu stratejiyi ‘müdahaleci-proaktif’ bir hale çevirdi. Suriye’nin de Mısır ve Tunus gibi interneti kapattığı oldu fakat Şam yönetimi siber alanı aynı zamanda bir operasyon sahası olarak da gördü. Sosyal medyada Esad yanlısı hesaplar açıldı. Şam’ı destekleyen hacktivist gruplar oluştu. 2011 Mart ayında başlayan rejime muhalif hareketlerden iki ay sonra ise siber alan SEO ile tanıştı.SEO_2

Rus Destekli Suriyeli Mühendisler

SEO’da aktif rol oynayanların bir kısmının Suriye’de olduğuna kesin gözüyle bakılsa da, ülke dışında yaşayan Suriyeli mühendislerin de yardımcı olduğuna inanılıyor. Suriye’de devlet yanlısı medyada kahraman muamelesi görüyorlar. Televizyonlara canlı yayında bağlanıyorlar. Gazetelere demeç veriyorlar. Fakat şu ana kadar gerçek kimliği tespit edilebilen yok. Twitter hesaplarından yaptıkları eylemlerin bilgilerini paylaşıyorlar. Hepsinin Suriyeli olmadığı tahmin ediliyor. Özellikle Rus hackerlardan destek aldıkları düşünülüyor.

Eylemler ve Hedefler

SEO ilk olarak Suriyeli muhalifleri takip-izleme amaçlı çalıştı. Saldırı DARKCOMET ve XTREME adlı truva yazılımları ile muhaliflerin bilgisayarlarının kamerasını kontrol etme, bazı anti-virüs programlarını devre dışı bırakma, tuş kullanımını kaydetme, şifre çalma ve ekran görüntüsü alma gibi casusluk faaliyetleri gerçekleştirdi. Bu iki yazılımın da elde ettiği bilgileri Suriye’deki bir IP adresine gönderdikleri belirlendi. BLACKSHADES isimli yazılımın da kaydettiği Skype konuşmalarını Suriye Telekomünikasyon’una gönderdiği tespit edildi.

İlk hedefleri Suriye’deki devrimi destekleyen muhalif site ve sosyal medya hesapları oldu. Daha sonra uluslararası medya organları ve küresel popülerliğe sahip kişilerin hesaplarını hackleyerek rejim yanlısı mesajlar yerleştirdiler. Al Jazeera, BBC, Reuters, Al Arabia, Sky News Arabia, CNN, CBS, New York Times, Huffington Post, Washington Post, Reuters, BBC, The Guardian, The Financial Times hacklenen medya organları arasında sayılabilir. Bunların yanı sıra, California ve Harvard gibi üniversiteler Linkedin gibi internet platformları da saldırılardan payını aldı. SEO en sansasyonel eylemini Associated Press (Nisan 2013) ajansının Twitter hesabından attığı “Beyaz Saray’da iki patlama oldu. Barack Obama yaralandı” paylaşım ile gerçekleştirdi.

Suriyeli muhaliflere destek veren Türkiye’nin dışında Katar’ın devlet kurumlarından da gizli mailleri sızdırdılar. Bu mailler arasında dönemin Dışişleri Bakanı Ahmet Davutoğlu’nun da Katarlı yetkililerle yaptığı temasların ayrıntıları bulunuyor. Ayrıca Suriye’ye uluslararası müdahalenin tartışıldığı günlerde ABD Deniz Kuvvetleri’nin sitesini hackleyerek müdahale karşıtı resimler konmuştu. SEO’nun saldırıları ile Suriye ile ilgili gelişmeler arasında ciddi bir paralelliğin varlığı dikkat çekiyor.

SEO_3

Siber Kapasiteleri Gelişme Gösteriyor

SEO’nun faaliyetleri dikkatle incelendiğinde grubun kurulduğu ilk aylarda amatör hackerların kolaylıkla gerçekleştirebileceği sosyal medya hesaplarının çalınmasından, ilerleyen zamanda daha karışık bir işlem olan kullanıcı bilgileri çalma, veri kaçağı, Tango ve Viber gibi akıllı telefon uygulamalarından bilgi sızdırma gibi DNS ayarlarının exploit edilmesi gerektiren eylemlere doğru bir kayma olduğu fark ediliyor. 2013 Ağustos ayında düzenlenen saldırı da üçüncü taraf olarak domain ismi sağlayan şirketlerin sistemlerinin kullanması, grubun daha gelişmiş hacker yöntemlerine başvurduğunun göstergesi sayılabilir.

Dış Destek Alıyorlar

Kısa zamanda siber kapasitelerini geliştirmelerinin arkasında Rusya, Çin ve İran gibi Şam yönetiminin arkasında duran devletlerin desteği olduğu düşünülüyor. SEO’nun saldırı larını önlemek için Network Solutions’ın Suriye’den alınan domainleri kapatmasının ardından syrianelectronicarmy.com ve sea.sy siteleri Rusya’dan verilen bir host üzerinden domain buldular. Grup üyesi olduğu iddia eden kişiler, internet üzerinden verdikleri röportajlarda herhangi bir dış destek almadıklarını öne sürdüler. Saldırı taktiklerinin Çinli hackerların siber espiyonaj operasyonlarına benzemesi bu ülkeyi ‘olağan şüpheli’ haline getiriyor. Ayrıca bugüne kadar SEO’nun kullandığı tespit edilen SQL injection yazılımı ‘Havij’in de İranlı hackerlar tarafından üretildiği biliniyor. SEO’ya Rus desteğini araştıranların karşısına ise esrarengiz bir isim çıkıyor. Andrey Nebilovich Taame adlı Suriye doğumlu Rus vatandaşı. Suriye’de yaşadığı tahmin ediliyor. 35 yaşındaki Taame akıcı şekilde İngilizce ve Rusça konuşabiliyor. FBI’ın en çok aranan hackerlar listesinde yer alıyordu. Rusya ve Güney Kıbrıs’a seyahat ettiği tespit edildi. Muhtemelen doğum yeri olan Suriye’ye de geçtiği düşünülüyor. Taame Rusya’nın siber alanda Suriye’ye desteğinde anahtar rol oynayabileceği iddia ediliyor.

Suriye Devleti ile İlişkileri

Şam yönetimi de SEO için çalışan hackerlar da organik bir bağın varlığını reddediyorlar. Dijital veri kayıtları 2013 Nisan ayına kadar SEO’nun altyapısının büyük bir kısmının Suriye’de devlete ait domain sağlayıcısı kurum tarafından yönetildiğini gösteriyor. SEO kurucuları grubun internet sitesinde kendilerini “Suriye’deki olaylarla ilgili saptırılmış gerçeklere karşı pasif kalmak istemeyen Suriyeli gönüllüler” olarak tanıtıyorlar. Devlet Başkanı Beşar Esad 2011 Haziran ayında Şam Üniversitesi’nde yaptığı konuşmada SEO’ya atıf yaparak, “Sanal gerçeklikte, gerçek bir ordu gibi davranan bir Elektronik Ordu bulunuyor” ifadelerini kullanmıştı. Suriye Bilgisayar Topluluğu (Syrian Computer Society) adlı devlet destekli grup 1989’da bilişim konusunda çalışmalar yapmak için kuruldu. Kurucusu dönemin Devlet Başkanı Hafız Esad’ın oğlu Basil Esad. Basil öldükten sonra kurumun başına şimdiki Devlet Başkanı Beşar Esad geçti. Makina mühendisi olan Basil’in şahsi merakı ile nispeten erken bir dönemde kurulan SBT’ye Esad’ın oğullarının yönetmesi bu konuya gösterilen önemin bir işareti. SBT şu anda Suriye’deki domain isimlerinin dağıtılmasından sorumlu.

Avşar ÖZGEN