Ukrayna’nın Saldırı Siber Ekibi ile çalışma deneyimim
Jeffrey Carr tarafından
22 Mart 2022
Rusya 24 Şubat’ta Ukrayna’yı işgal ettiğinde, birkaç aydır GURMO’dan (Ukrayna Savunma Bakanlığı Ana İstihbarat Müdürlüğü) iki saldırgan siber operatörle birlikte OSINT (Açık Kaynak İstihbarat) geliştirmelerini genişletmek için fon toplamalarına yardımcı olmaya çalışıyordum. ) bölgedeki Rus teröristleri tespit etmek ve takip etmek için icat ettikleri ve kullandıkları platform. Teknoloji hassas olduğu için sesli ve yazılı aramalar için Signal kullandık. Rusya’nın Ukrayna sınırlarına askeri yığılması ve Putin’in ne yapacağının belirsizliği nedeniyle Şubat ayının ilk birkaç haftasında çok fazla gerilim yaşandı.
Daha hızlı öğrenin. Daha derin kaz. Daha uzağa bakın.
Sonra 24 Şubat’ta Kiev’de sabah 6’da (23 Şubat, yaşadığım yer olan Seattle’da akşam 8’de) oldu.
SİNYAL kaydı 23 ŞUBAT 2022 20:00 (Seattle) / 24 ŞUBAT 2022 06:00 (Kiev)
Missed audio call - 8:00pm
It started 8:01PM
War?
9:36PM
Incoming audio call - 9:37PM
Call dropped.
9:41PM
Are you there?
9:42PM
GURMO arkadaşımdan 10 saat boyunca bir daha haber alamadım. Bana Signal’de ping attığında, bir sığınaktan geliyordu. Her an yeni bir füze saldırısı bekliyorlardı.
“Read thisdedi ve bana bunu gönderdi. bağlantı. “Use Google Translate.”
Ukrayna haber sitesi kaynakları tarafından elde edilen, Rusya’nın Ukrayna’ya yönelik saldırı planını açıklayan bir makaleyle bağlantılı. ZN.UA. Rus ordusunun, işi ilk 24 saat içinde paniğe neden olmak için elektrik ve iletişimi kesmek olan Ukrayna’ya yerleştirilmiş sabotaj grupları olduğunu söyledi. Bunu, kolluk kuvvetlerinin sabotajcıları kovalamaktan uzaklaştırmak amacıyla kundaklama ve yağma eylemleri takip edecekti. Ardından, büyük siber saldırılar, Başkanlık Ofisi, Genelkurmay, Kabine ve Parlamento (Verkhovna Rada) dahil olmak üzere hükümet web sitelerini çökertecekti. Rus ordusu, Kiev’e karşı harekete geçtiğinde çok az direniş bekliyordu ve başkenti birkaç gün içinde ele geçirebileceğine inanıyordu.
İstenen sonuç, devletin liderliğini ele geçirmek (kimin tam olarak kim olduğu belirtilmemiş) ve şantaj ve çok sayıda sivilin ölme olasılığı altında Rus şartlarında bir barış anlaşması imzalanmaya zorlamak.
Ülkenin liderliğinin bir kısmı tahliye edilse bile, bazı Rus yanlısı politikacılar, siyasi liderliğin Kiev’den “kaçışını” öne sürerek “sorumluluk alabilecek” ve belgeler imzalayabilecekler.
Sonuç olarak, Ukrayna iki kısma ayrılabilir: Batı ve Doğu Almanya veya Kuzey ve Güney Kore prensibine göre.
Aynı zamanda Rusya Federasyonu, Ukrayna’nın bu anlaşmaları imzalayacak ve Rusya Federasyonu’na sadık olacak meşru kısmını tanıyor. “Sermayeyi kontrol eden, devleti kontrol eder” ilkesine göre hareket eder.
Savaşın ilk önemli Rus siber saldırısının, uydu sağlayıcısı ViaSat’ı tam olarak Kiev saatiyle 06:00’da (UTC 04:00 UTC), Rusya’nın işgaline tam olarak başladığı zaman olan saldırı olduğundan şüpheleniliyor.
Nedenin ViaSat müşterilerine gönderilen ve uydu modemlerini “brick” yapan kötü amaçlı bir ürün yazılımı güncellemesi olduğuna inanılıyor. ViaSat bir savunma müteahhidi olduğundan, NSA, Fransa’nın ANSSI ve Ukrayna İstihbaratı araştırıyor. ViaSat, dijital adli tıp ve olay müdahalesi (DFIR) için Mandiant’ı işe aldı.
“Is Ukraine planning to retaliate?“, Diye sordum.
“We’re engaging in six hours. I’ll keep you informed.”
Bu son değişim, savaşın başlamasından yaklaşık 22 saat sonra gerçekleşti.
25 ŞUBAT 2022 CUMA 07:51
Bir Sinyal uyarısı aldım.
“Download ready” ve bir bağlantı.
GURMO siber ekibi, İçişleri Bakanlığı’nın bir parçası olan ve isyan kontrolü, teröristler ve Rusya’nın toprak savunmasıyla ilgilenen Rus Askeri Birimi 6762’deki muhasebe ve belge yönetim sistemine erişim elde etmişti. Pasaportlar, askeri kimlikler, kredi kartları ve ödeme kayıtları dahil tüm personel verilerini indirdiler. Daha fazla araştırma yapmam ve kanallarım aracılığıyla yayınlamam için bir örnek belge gönderildi.
Kredi kartlarının tamamı Sberbank tarafından verildi. “What are you going to do with these“, Diye sordum. Bana Signal’de bir göz kırptı ve bir sırıtış simgesi gönderdi ve şöyle dedi:
Buy weapons and ammo for our troops!
We start again at 6:30am tomorrow.
When you wake up, join us.
Will do!
Önümüzdeki birkaç gün içinde, GURMO’nun saldırgan siber ekibi, baş döndürücü bir dizi Rus hedefini hackledi ve şunlardan binlerce dosya çaldı:
- Karadeniz Filosunun iletişim sunucuları
- ROSATOM
- FSB Özel Harekat birimi 607
- Savunma Bakanlığı Baş Füze Subayı Sergey G. Buev
- Federal Hava Taşımacılığı Ajansı
Her şey Rusçaydı, bu yüzden çeviri süreci çok zaman aldı. Tüm farklı dosya türlerinde kelimenin tam anlamıyla yüzlerce belge vardı ve çeviri sürecini daha da zorlaştırmak için belgelerin çoğu bir belgenin görüntüleriydi. Bunları öylece Google Çeviri’ye yükleyemezsiniz. Google Çeviri uygulamasını cep telefonunuza indirmeniz, ardından ekranınızdaki belgeye doğrultmanız ve bu şekilde okumanız gerekir.
Yeterince okuduktan sonra Inside Cyber Warfare’ime bir yazı yazabilirim. alt yığın bu, ihlale ilişkin bilgi ve bağlam sağladı. 11 saat ileride olan GURMO ile çeviri, araştırma, yazı ve iletişim arasında (zaman değişiminden 10 saat sonra) her gece yaklaşık 4 ½ saat uyuyordum.
Medya Desteğine İhtiyacımız Var
1 MART 2022 SALI 09:46 (Seattle)
Sinyalde
We need media support from USA.
All the attacks you mentioned during these 6 days.
We have to make headlines to demoralize Russians.
I know the team at a young British PR firm.
I’ll check with them now.
Nara Communications hemen bu zorluğun üstesinden geldi. Ücretlerinden feragat etmeyi ve GURMO siber ekibinin başarıları hakkında haber hikayeleri yayınlamaya yardım etmeyi kabul ettiler. Ukraynalılar üzerlerine düşeni yaptı ve onlara dünyanın tek ticari hızlı üretici reaktörü olan Beloyarsk Nükleer Santrali’nden başlayarak bazı şaşırtıcı ihlaller verdi. Diğer ülkeler, Rusya’nın zaten ustalaştığı şeyi elde etmek için milyarlarca dolar harcıyorlardı, bu nedenle tasarım belgelerinin ve süreçlerinin ihlali büyük bir sorundu.
Sorun, gazetecilerin GURMO ile konuşmak istemesiydi ve bu, üç önemli nedenden dolayı masanın dışındaydı:
- Röportaj veremeyecek kadar savaşmakla meşgullerdi.
- Rus hükümeti onların kim olduğunu biliyordu ve isimleri ve yüzleri Kadryov’un Çeçen gerillalarına suikast için verilen iskambil kağıtlarındaydı.
- Kendilerini yüz tanıma veya ses yakalama teknolojilerine maruz bırakmak istemediler çünkü… bkz. #2.
Gazeteciler, tek kaynaklı bir haberle çalışmak istemiyorlarsa, yalnızca birkaç seçeneğe sahipti.
Benimle konuşabiliyorlardı çünkü GURMO ekibinin doğrudan konuşacağı tek kişi bendim. Artı, belgelere sahiptim ve ne olduklarını anladım.
Savaş başlamadan önce ABD büyükelçiliğinin tahliye edildiği Polonya, Varşova’daki CIA Legat ile temasa geçebilirler. GURMO, müttefik ortaklarıyla yakın işbirliği içinde çalıştı ve onlara sık sık brifingler verdi ve onlar bu ihlallerden haberdar olacaklardı. Tabii ki, CIA büyük olasılıkla bir gazeteciyle konuşmaz.
Benimle konuştuktan sonra ikinci kaynakları olacak olan belgeleri incelemek için diğer uzmanlarla konuşabilirlerdi. Büyük kuruluşlardaki çoğu muhabir, bu koşullar altında bu ihlalleri bildirme zahmetine girmedi. Daha da kötüsü, bariz kurbanlar yoktu. GURMO bilgisayar korsanları bir şeyleri kırmıyorlardı, bir şeyler çalıyorlardı ve daha fazlası için geri gelmeye devam edebilmek için ağda kalıcı bir varlık tutmayı seviyorlardı. Artı, Rusya genellikle Ихтамнет (Ihtamnet) olarak bilinen ve kabaca tercümesi “hiçbir şey olmadı” anlamına gelen veya “Hangi hackler? Hack yoktu.”
Tüm bu engellere rağmen, Nara Communications, İngiltere’nin bir radyo röportajı olan SC dergisine bir makale yerleştirmeyi başardı. Kereve bir podcast ile Akşam Standardı.
Mart ayının ortasına kadar Putin, Başkan Zelensky’nin NATO üyeliğinin Ukrayna için muhtemelen masadan kalktığını ve GURMO’nun her zamankinden daha büyük hedefler ortaya çıkardığını kabul etmesinden sonra bile barış isteği belirtisi göstermedi.
Rusların Luna-Glob adlı tam otomatik bir ay üssü kurma planı ihlal edildi. Rusya’nın EXOMars projesi ihlal edildi. Angara roketi için Vostochny’de inşa edilen yeni fırlatma kompleksi ihlal edildi. Her durumda, Ukrayna hükümeti tarafından incelenmek üzere bir dosya hazinesi indirildi ve müttefikleriyle paylaşıldı. İncelemem, postalamam için her zaman küçük bir miktar oylandı. Siber Savaş İçinde Alt yığın yapın ve gazetecilerle paylaşın. Gazeteci Joe Uchill bu stratejiyi Hack and Leak olarak adlandırdı.
Hack ve Sızıntı
Ukrayna hükümeti, Rusya’nın en gurur verici başarılarından (uzay programı) ve en başarılı teknolojilerinden (nükleer araştırma programı) bazılarını hackleyerek Putin’e siber güvenlik sistemlerinizin bizi dışarıda tutamayacağı, en değerli teknolojik sırlarınızın bile olmadığı mesajını veriyor. bizden güvende ve bizi çok fazla zorlarsanız ağlarınıza istediğimizi yapabiliriz.
ViaSat’a yapılan saldırı dışında, Ukrayna altyapısına yönelik herhangi bir yıkıcı siber saldırı olduğuna dair bir kanıt bulunamadı. Bunun bir kısmı Ukrayna açısından stratejik planlamaydı (bunun hakkında söyleyebileceğim tek şey bu), bir kısmı Ukrayna’nın siber savunmasıydı ve bunun bir kısmı da GURMO’nun stratejisinin çalışıyor olması olabilir. Bununla birlikte, bu sızıntıların Rusya’nın askeri tırmanışını engellemede herhangi bir etkisi olduğuna dair bir işaret yok, çünkü muhtemelen bu, şimdiye kadarki muazzam askeri kayıpları karşısında çaresizlikten kaynaklanıyor. Bu tırmanış devam ederse, GURMO’nun savaşı Rusya’ya getirecek acil durum planları var.
Jeffrey Carr, 2006’dan beri uluslararası alanda tanınan bir siber güvenlik danışmanı, yazar ve araştırmacıdır. CIA’in Açık Kaynak Merkezi Avrasya Masası için Rusya KOBİ’si olarak çalışmıştır. Hangi fikri mülkiyetin yabancı hükümetler için değerli olduğunu belirlemede şirketlere yardımcı olmak için dünyanın ilk küresel Ar-Ge veritabanı ve arama motoru olan REDACT’ı icat etti. Ulusal güvenlik alanındaki zorlu zorlukları tartışmak için bir “çarpışma” etkinliği olan Suits & Spooks’un kurucusu ve organizatörüdür ve yazarıdır. Siber Savaşın İçinde: Siber Yeraltı Dünyasını Haritalamak (O’Reilly Media, 2009, 2011).
Kaynak : https://www.oreilly.com/radar/d-day-in-kyiv/