Hacktivizm yeni bir şey değil ancak geleneksel hacktivizm ile devlet destekli operasyonlar arasındaki çizgilerin giderek belirsizleşmesi onu daha güçlü bir tehdit haline getiriyor
Hacktivizm, Rusya’nın Şubat 2022’de Ukrayna’yı işgal etmesiyle ana akım bilince geri döndü. İki yıldan kısa bir süre sonra, siyasi motivasyonlu gruplar ve bireyler, bu kez görünüşte İsrail-Hamas çatışmasının ortasında meramlarını anlatmak için tekrar güçlerini ortaya koydular. Endişe verici bir şekilde, hacktivistlerin gündemlerini kamuoyunun dikkatine sunmak için giderek daha sofistike ve agresif taktikler kullandıkları görüldü.
Belki de daha da endişe verici olan, birçok grubun aslında ulus-devlet aktörleri tarafından desteklenmesi ve hatta onlardan oluşması olasılığıdır. Gerçekten de devlet destekli siber operasyonlar ile geleneksel hacktivizm arasındaki sınırlar belirsizleşmiştir. Jeopolitik istikrarsızlığın giderek arttığı ve eski kurallara dayalı düzenin erozyona uğradığı bir dünyada, özellikle kritik altyapı alanında faaliyet gösteren kuruluşlar, hacktivist tehdidi risk modellemelerine dahil etmeyi düşünmelidir.
Hacktivizm nedir?
En basit tanımıyla hacktivizm, siyasi ya da sosyal nedenlerle siber saldırılar düzenleme eylemidir. Kızıl Haç geçen yıl hacktivistlerin hastaneler, eczaneler ve bankalar gibi askeri olmayan hedeflere giderek daha fazla zarar verdiğine dikkat çekerken savaş zamanında faaliyet gösteren “sivil hackerlar” için sekiz kural yayımladı.
İLGİLİ MAKALE: ESET APT Faaliyet Raporu Q4 2023-Q1 2024
Tahmin edilebileceği gibi, hacktivistlerin Kızıl Haç tarafından yayımlanan yönergelere uyduklarına dair çok az işaret var. Aslına bakılırsa çevrimiçi ortamda kimlik tespiti hala zor olduğundan hacktivist faaliyetlerde bulunmanın artıları eksilerinden daha ağır basıyor, özellikle de saldırılar ulus devletler tarafından gizlice destekleniyorsa.
Eski ve yeni
Mevcut İsrail-Hamas çatışması, daha önce görülmemiş sayıda aktivisti dünyanın dört bir yanındaki sokaklara çekti. Ve bu durum online faaliyetlerde de bir artışa yol açtı. Bunların çoğu daha önceki hacktivist kampanyalarda gördüğümüz taktiklere benziyor:
- DDoS saldırıları: Bazı kaynaklara göre hacktivist kaynaklı DDoS faaliyetleri geçen yıl Ekim ayında “İsrail ve Hamas arasındaki çatışmanın ardından rekor seviyelere” ulaştı. Bu durum İsrail’i hacktivistlerin en çok hedef aldığı ülke haline getirdi; 2023 yılında kaydedilen 1.480 DDoS saldırısı arasında bazı büyük kuruluşlar da vardı.
- Web tahrifatı: Cambridge Üniversitesi araştırmacılarına göre, 7 Ekim baskınlarını takip eden hafta 100’den fazla hacktivist İsrail web sitelerine 500’den fazla web tahrifat saldırısı düzenledi. Benzer düşük seviyeli web tahrifatları günümüzde de devam etmektedir.
- Çalınan veriler: Bazı gruplar İsrail ve müttefik kuruluşlardan veri çaldıklarını ve yayımladıklarını iddia etmiştir. Başka bir deyişle hacktivistler kurumsal sistemlere sızarak hassas bilgileri çalabilir ve bunları hedeflerini utandırmak ya da onlara zarar vermek amacıyla kamuya açık bir şekilde yayımlayabilirler.
Ancak hacktivizmin daha hedefli ve sofistike hale geldiğine dair işaretler de var:
- Bir rapor, hacktivist grup AnonGhost’un İsrail vatandaşları için gerçek zamanlı füze uyarıları sağlayan “Red Alert” uygulamasındaki bir API açığından yararlandığını öne sürdü. Grubun “istekleri başarıyla ele geçirdiği, savunmasız sunucuları ve API’leri açığa çıkardığı ve uygulamanın bazı kullanıcılarına spam mesajlar göndermek için Python komut dosyaları kullandığı” belirtildi. Grup sivillere nükleer bombayla ilgili sahte mesajlar göndermeyi bile başardı.
- Diğer raporlar, hacktivistlerin İsrail su sistemlerinin SCADA cihazlarına erişimleri olduğunu gösteren ekran görüntüleri yayımladıklarını belirtti. Araştırmacılar bu iddiaları doğrulayamadılar ancak hacktivistlerin sektörü hedef alan keşif operasyonları yürütüyor olabileceklerini öne sürdüler.
Ulus devletler işin içine girdiğinde hacktivizm
Son saldırıların arkasında daha gelişmiş teknik bilgiye ve/veya siber suç yeraltı dünyasındaki araçlara ve bilgiye erişimi olan hackerlar olabilir. Ancak ulus devlet desteği de göz ardı edilemez. Birçok ülkenin hacktivizm kamuflajı altında diğer ülkelere ve müttefiklerine saldırmak için jeopolitik ve ideolojik nedenleri vardır.
İLGİLİ MAKALE: Devlet destekli veya maddi hedefli: aralarında bir fark kaldı mı?
Aslında Rusya bağlantılı olduğundan şüphelenilen grupların, Batı’da pek çok hedefi vuran Anonymous Sudan takma adı da dahil olmak üzere, bunu yapma konusunda uzun bir geçmişi var gibi görünüyor. Grup, The Jerusalem Post’a ve İsrail Küresel Navigasyon Uydu Sistemleri, Bina Otomasyon ve Kontrol Ağları ve Modbus ICS dahil olmak üzere endüstriyel kontrol sistemlerini (ICS) hedef alan diğer bazı saldırıları üstlendi. Rusya yanlısı bir başka grup olan Killnet ise İsrail hükümetine ait bir web sitesini ve güvenlik teşkilatı Shin Bet’in web sitesini çökerttiğini iddia etti.
Bu saldırılar özellikle yüksek profilli olsa da hacktivizm olarak maskelenen daha sinsi devlet destekli çabaların ipuçları var. Dezenformasyon çabaları arasında füze saldırılarını, harabeye dönmüş mahallelerden geçen tankları ya da hayatta kalanlar için enkazı tarayan aileleri gösterdiğini iddia eden yapay zekâ tarafından üretilen görüntülerin kullanımı yer alıyor.
Burada odak noktası, geçen yılın sonlarında viral olan bomba enkazının ortasında ağlayan bir bebek gibi güçlü bir duygusal tepki yaratan görüntüler üretmektir. Sahte sosyal medya ve Telegram hesapları dezenformasyonu güçlendirriyor. Bir vakada, X’in sahibi Elon Musk sahte bir hesaptan 11 milyon kez görüntülenen bir gönderiyi silmeden önce desteklemişti.
Güvenlik araştırmacıları Hamas saldırısının ardından, muhtemelen devlet müdahalesine işaret eden, şüpheli bir şekilde koordine edilmiş faaliyetler gözlemlediler. Bir araştırmaya göre en az 30 hacktivist grup 48 saat içinde faaliyetlerini çatışmaya yöneltti.
Kurumlar hacktivizm risklerini nasıl yönetebilir?
Hacktivist tehdit ister gerçek gruplardan ister devlet çıkarlarıyla uyumlu gruplardan isterse de gizli ulus devlet ajanlarından gelsin, tehdit birçok açıdan aynıdır. Bu tür gruplar, siyasi açıdan hassas konularda konuşma cüretini gösteren özel sektör kuruluşlarını giderek daha fazla hedef almaktadır. Bazı durumlarda, bunu sadece kuruluşun şu ya da bu tarafa bağlı olduğu algısı varsa yapabilirler. Ya da daha karanlık ulus devlet hedefleri için bir sis perdesi olarak.
Gerekçe ne olursa olsun kuruluşlar hacktivist riskini azaltmak için bu temel üst düzey adımları izleyebilirler:
- Doğru soruları sorun: Biz bir hedef miyiz? Hangi varlıklar risk altında? Saldırı yüzeyimizin kapsamı nedir? Mevcut önlemler hacktivist riskini azaltmak için yeterli mi? Dışa dönük altyapının kapsamlı bir siber risk değerlendirmesi bu noktada yardımcı olabilir.
- Güvenlik açıkları veya yanlış yapılandırmalar da dahil olmak üzere böyle bir değerlendirmenin ortaya çıkardığı boşlukları doldurun. İdeal olarak bu sürekli ve otomatik bir şekilde yapılmalıdır.
- Varlıkların e-posta, uç nokta, ağ ve hibrit bulut katmanındaki tehditlere karşı korunmasını sağlayın ve XDR/MDR araçlarıyla tehditleri sürekli izleyin.
- Mevcut ve ortaya çıkan tehditler hakkında bilgi toplamak, analiz etmek ve bunlara göre hareket etmek için tehdit istihbaratını kullanın.
- Hassas verilerin yetkisiz taraflarca okunmasını veya değiştirilmesini önlemek için hem beklemede hem de aktarım sırasında güçlü şifreleme uygulayın.
- Sıfır güven mimarisi ve çok faktörlü kimlik doğrulama (MFA) ile kimlik ve erişim yönetimini geliştirin ve şüpheli veri erişim modellerine dikkat edin.
- Sürekli çalışan eğitimi ve farkındalık eğitim programları düzenleyin.
- DDoS saldırılarını azaltma için güvenilir bir üçüncü tarafla iş ortaklığı yapın.
- Kapsamlı bir olay müdahale planı oluşturun ve test edin.
Hacktivizm yeni bir şey değil ancak ideolojik/politik motivasyonlu gruplar ile hükümet çıkarları arasındaki çizgilerin giderek bulanıklaşması, bu tehdidi daha güçlü bir hale getiriyor. Risk yönetimi planlamanızı yeniden düşünmenin zamanı gelmiş olabilir.