Geliştirdikleri yazılımlarla ülkelerin milli güvenliğini tehdit eden verileri ele geçiren bilgisayar korsanları, bu kez Türkiye’nin milli projelerini hedef aldı. Çin menşeli NS FOCUS siber güvenlik şirketi, MurenShark isimli hacker grubunun, Türkiye’nin milli projelerine yönelik saldırı yaptığını iddia etti. Şirketin hazırladığı raporda, hacker grubunun milli denizaltı yönetim sistemi MÜREN ve TÜBİTAK’ı hedef aldığı iddia edildi.
KİMLİKLERİ TESPİT EDİLEMEDİ
Raporla ilgili bilgi veren ADEO Siber Güvenlik Uzmanı Ersin Çahmutoğlu, “Operasyonlarını yürütebilmek için Kıbrıs'taki bir üniversiteyi kullanmışlar. Üniversitenin web sitesini ihlal edip, tam 1 yıldır burayı komuta kontrol ve veri transfer sunucusu olarak kullanmışlar. Operasyon süreçlerinde ifşa olmamak için izlerini kaybettirmeye çabalamışlar. Bu yüzden kimlikleri ve lokasyonları tespit edilemedi ”diye konuştu.
HEDEF TÜRKİYE
MurenShark'ın kullandığı araçların spesifik yönetimleri olabileceğini belirten Çahmutoğlu,” Sadece Türkiye’ye yönelik casusluk operasyonu gerçekleştirildiği tespit edildi. Yayınlanan kaynakta, hedef tamamen Türkiye'dir. Türkiye'nin MÜREN projesi ve TÜBİTAK'tır. Bu yapılan saldırı kesinlikle bir devlet tarafından yapılmış saldırıdır. Milli projelerimiz hedeftedir. Bu tarz siber saldırılarda sürekli teyakkuz halinde olmak gerekiyor. Bu alanda üst düzey eğitimler verilmelidir. Personel bazda farkındalık çok önemli. ” ifadelerini kullandı.
ARKASINDA BİR DEVLET VAR!
Dünyada bu tarz siber casusluk saldırılarında Rusya Çin ve Iran gibi ülkelerin çok etkin olduğunu vurgulayan Çahmutoğlu, “Özellikle ülkemizi Iran daha çok hedef alır. Dünyada ise Rusya çok aktif. ABD ve Avrupa'yı felç edecek siber saldırıları oldu çok kez. Onun dışında Rusya ve Çin, NATO ülkelerini de hedef alıyor. Bu tarz saldırılarla, NATO ülkelerinin hangi projeleri ürettiğini, neler yaptığını öğrenmeye çalışıyor. Burada da, doğrudan Türkiye'nin ürettiği projelerden bilgi almak isteyen bir devlet olabilir. Sadece Rusya ve Çin değil, bizim bilmediğimiz bir devlet de olabilir. Bilemiyoruz, sonuçta bu bir operasyon. Türk savunma sanayisinin önem verdiği özel projeler var. Bu projeleri görmek, içerisindeki hassas bilgileri ele geçirmek birçok kötü düşünceli devletin isteyeceği bir şeydir” şeklinde konuştu.
VİRÜSLÜ DOSYA TAKTİĞİ
Saldırının nasıl gerçekleştirildiği ile ilgili bilgiler de veren Çahmutoğlu, şunları kaydetti: "Önceden ele geçirdikleri dokümanları amiyane tabirle virüslü dosya yapmışlar ve bu dokümanları sanki TÜBİTAK ve Deniz Kuvvetleri Komutanlığı’ndan gelmiş gibi her iki kurumdaki personele e-posta üzerinden göndermişler. E-posta başlıkları ve içeriklerinden görüyoruz ki oltalama dediğimiz yöntemle hedeflere saldırı girişimleri olmuş. Hedef olan kişiler bu e-postadaki dokümanları gerçek diye tıkladığında bilgisayarlarına Truva Atı (zararlı yazılım) bulaşıyor. Bu girişimler başarılı mi değil mi bunu bilmiyoruz."
NİSAN 2021’DE PLANLANMIŞ
Çinli şirket tarafından hazırlanan raporda saldırının Nisan 2021 yılında planlanmaya başladığına ilişkin izler olduğunu vurgulayan Çahmutoğlu, şu bilgileri verdi: “O tarihlerde oluşturulan domainler ve bazı dokümanlar var. Yani operasyonun başlangıcı geçen yıla uzanıyor. İlgili raporda da bu ifade ediliyor zaten. O dönemki Türkiye'nin dış ilişkileri siber operasyonu yürüten aktörün hangi devlet olduğunu belirlemede bize ışık tutabilir. Ayrıca saldırının ve saldırının kaynağının tespit edilmesini önlemek için siber tehdit aktörü titizlikle davranmış ve sadece bu operasyon için geliştirilmiş araçlar kullanmış. Özellikle hedef alınan kurumlar başta olmak üzere ilgili diğer devlet kurumlarının ve MÜREN projesi paydaşlarının 2021-2022 yılları süresince bu bahse konu zararlı dosyalara ve network aktivitelerine dair inceleme yapmaları gerekebilir. Kurumlarımız bu saldırılara karşı koyacak yetkinliğe sahip olduğu incelemeleri yaptığını, yapacağını düşünüyoruz. Bu tarz saldırılar geçmişte de oluyordu ve bundan sonra da olmaya devam edecektir.”