Rusya, 24 Şubat 2022’de Ukrayna’yı işgal ettiğinde, savaşın nasıl hem siber hem de kinetik olacağı konusunda pek çok tartışma yaşandı. Bir yıl sonra, çok fazla siber saldırı faaliyeti olmasına rağmen, bunun birçok kişinin korktuğu kadar yıkıcı olmadığı konusunda fikir birliği var gibi görünüyor. Bu kısmen, çeşitli hükümetlerin ve güvenlik şirketlerinin saldırıları belirlemeye ve engellemeye yardımcı olmasından kaynaklanıyordu.
Cloudflare, Şubat 2022 ile Şubat 2023 arasında Ukrayna’ya yönelik tüm çevrimiçi trafiğin ortalama %10’unun potansiyel saldırıların hafifletilmesi olduğunu söyledi. Rus işgalinin Ukrayna İnterneti üzerindeki etkisinin analizi. Cloudflare, dağıtılmış hizmet reddi (DDoS) saldırıları da dahil olmak üzere kötü niyetli saldırıları engellemek için HTTP trafiğini filtreleyerek ve izleyerek Ukrayna Web uygulamalarını korudu.
29 Ekim’de DDoS saldırı trafiği, Cloudflare’in Ukraynalı müşterilerine yönelik toplam trafiğin %39’unu oluşturuyordu.
Şirket, Cloudflare’nin Web uygulaması güvenlik duvarını (WAF) kullanarak olası saldırıları hafiflettiği Ukrayna’ya yönelik uygulama katmanı trafiğinin günlük yüzdesini gösteren bir grafik paylaştı. Mart ayı başlarında, tüm trafiğin %30’u hafifletildi. Oldukça sakin geçen bir yazın ardından, Ukrayna’nın doğu ve güney Ukrayna’daki karşı saldırısı sırasında Eylül ayı başlarında saldırı faaliyetleri yeniden hızlandı.
Daha spesifik olarak, son 12 ayda Ukrayna’dan gelen toplam trafiğin %14’ü potansiyel saldırılar olarak hafifletilirken, Ukrayna’ya giden toplam trafiğin %10’u potansiyel saldırılar olarak hafifletildi.
Cloudflare’nin WAF tarafından engellenen hafifletilmiş uygulama katmanı tehditleri, işgalden dört gün sonra 28 Şubat 2022 Pazartesi günü, 21 Şubat 2022 Pazartesi gününe kıyasla %105 daha yüksekti. 8 Mart itibarıyla bu rakam %1.300’dü.
“Shields Up”tan Ne Çıktı?
ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), Ukrayna hedeflerine ve Ukrayna ile müttefik ülkelerdeki kuruluşlara yönelik Rus siber saldırıları beklentisiyle, kuruluşları tehditleri hafifletmeye yardımcı olabilecek bilgileri paylaşmaya çağırdı. CISA, “Büyük ve küçük her kuruluş, yıkıcı siber olaylara yanıt vermeye hazırlıklı olmalı” dedi.
Tehdit istihbaratını paylaşmak şüphesiz yardımcı olurken, saldırıların doğası da korkulandan daha az karmaşık veya yıkıcıydı.
Cisco Talos araştırmacıları tehditleri belirlemek ve saldırıları düzeltmek için kritik altyapı müşterilerini izliyor. Cisco Talos’un erişim başkanı Nick Biasini, yıkıcı kötü amaçlı yazılımlarla ilgili pek çok endişe olmasına rağmen, Talos’un gördüğü ve engellediği şeyin çoğunun kimlik bilgilerinin toplanması olduğunu söylüyor. Saldırganlar son derece gelişmiş taktiklere başvurmuyor, bunun yerine vardır ağlara ve hesaplara erişmeye çalışmak için sıradan ve tanınabilir yöntemler kullandığını söylüyor.
Kritik Altyapı Üzerindeki Etki
Cloudflare’nin Ukrayna’nın İnternet trafiğine ilişkin analizi, askeri faaliyetlere karşılık gelen kullanımda zirveler ve düşüşler gösteriyor. Örneğin, Cloudflare, örneğin, Chernihiv şehrinin trafiğinde savaşın ilk haftasında önemli bir düşüş olduğunu ve Mart ortasına kadar trafiğin kaldığını ve Rusya’nın Nisan ayı başlarında geri çekilmesinin ardından trafiğin toparlandığını belirtti. Sonbaharda, Rus askeri birlikleri Ukrayna’nın kritik altyapısını hedef alarak yaygın elektrik kesintilerine ve internet kesintilerine neden oldu. Cloudflare’nin analizine göre, bu grevlerden bazıları İnternet trafiğinde %50’ye varan bir düşüşe neden oldu. Cloudflare, kesintilerin genellikle yalnızca bir veya iki gün sürdüğünü ve “çatışmanın Ukrayna’nın altyapısı üzerinde devam eden etkisini daha da vurguladığını” belirtti.
Cloudflare ayrıca, “Yılın geri kalanında ve 2023’e kadar Ukrayna, aralıklı İnternet kesintileriyle karşılaşmaya devam etti.”
Dünya Çapında Dalgalanma Etkileri
Doğu Asya’daki güvenlik liderleri, Rusya ile Ukrayna arasındaki savaşın nasıl geliştiğini dikkatle izliyor, çünkü pek çok jeopolitik gerilim ve söylem, Çin ile Tayvan arasında uzun süredir kaynayan duruma benziyor. NTT’nin baş siber güvenlik stratejisti Mihoko Matsubara, kuruluşların “ne tür yıkıcı saldırıların bekleneceğini” ve Ukrayna’daki savaşın Tayvan’ın durumunu nasıl etkileyebileceğini merak ettiğini söylüyor. Matsubara, yıkımdan ziyade “siber baş belası” türünden olmasına rağmen halihazırda bazı faaliyetler olduğunu söylüyor. Doğu Asya şirketleri zaten DDoS saldırıları, tahrifatlar ve dezenformasyon kampanyaları görüyor, diyor.
Matsubara dikkatliydi ile Kuruluşlar için hala yıkıcı oldukları için saldırıların ciddiyetini küçümsemeyin. NTT ayrıca insani yardım çabalarını aksatmak için kullanılan ve gelecekteki faaliyetlerin habercisi olabilecek bazı silme saldırılarına da tanık oldu.
Kötü Oyuncular Politikleşiyor
Siber suçlular, savaş hakkında kendi fikirlerini ve siyasi bağlılıklarını ifade ediyorlar. Örneğin, Koalisyonun en son “Siber Tehdit Endeksi” raporu İnternete maruz kalan veritabanlarına yönelik saldırılara girdi. Koalisyon, 2022’de MongoDB bulut sunucularını çalıştıran toplam 264.408 IP adresi gözlemledi ve bunların 68.423’ü (veya %26’sı) ele geçirildi. Koalisyon, saldırganların veritabanlarını SLAVA_UKRAINI veya “Ukrayna’ya şükürler olsun!” olarak yeniden adlandırdığı, güvenliği ihlal edilmiş bir avuç MongoDB sunucusu buldu.
Kroll’un Siber Risk uygulamasından bir ekip, “Tehdit aktörü faaliyetleri genellikle ekonomik koşullardaki dalgalanmalarla şekilleniyor” dedi. “Tehdit Görünümü” raporu. “Dünya çapında devam eden piyasa oynaklığı ve Ukrayna’ya karşı devam eden savaş nedeniyle, saldırganların geliştiği istikrarsız koşulların 2023’te devam etmesi muhtemel.”
