Siber ortamın askeri maksatlı kullanımına dair somut bir örnek: Ukrayna topçu bataryalarının berteraf edilmesinde zararlı yazılımların rolü

CrowdStrike tarafından hazırlanmış ve benim NETSEC-TR e-posta listesi aracılığı ile haberdar olduğum 22 Aralık 2016 tarihli ve "Use of Fancy Bear Android Malware in Tracking Of Ukrainian Field Artillery Units" başlıklı inceleme raporunda güvenliği sağlanmamış/kişisel mobil cihazların askeri maksatlarla neden kullanılmaması gerektiğine dair ders niteliğinde önemli tespitler yer alıyor.

Raporun önemli gördüğüm kısımları ve kısa özeti:

  • Ukrayna ordusundan "Yaroslav Sherstuk" adlı bir topçu subayı, D-30 model obüs topları ile hedefin yerine dair hesaplama süresini dakikalar mertebesinden 15 saniyenin altına düşüren bir Android uygulaması geliştirmiş ve 9000'e yakın ordu mensubu bu uygulamayı kullanmaya başlamıştır.
  • Rusya-Ukrayna arasındaki gerginlik dönemine denk gelen 2014-2016 yılları arasında, bu uygulamaya X-Agent zararlı yazılımı Fancy Bear grubu tarafından (muhtemelen askeri personelin kullandığı forum vb. kanallar aracılığı ile) enjekte edilmiştir.
  • Bu zararlı yazılım ile hesaplama maksatlı kullanılan android cihazların kontrolü ele geçirilmesi sonrasında; askeri personele ait istihbari bilgilerin elde edilmesine ilave olarak, hesaplama işlemleri için kullanılan cihazların ve dolayısıyla D-30 obüs toplarının yaklaşık mevkileri kolayca tespit edilebilmiş, dolayısıyla bu toplara askeri açıdan çok daha kolay bir şekilde angaje olunabilir hale gelinmiştir.
  • Mücadele süreci boyunca Ukrayna'ya ait obüslerin %80'i (büyük olasılıkla bu zararlı yazılım aracılığı ile elde edilen bilgilerden de faydalanılarak) Rusya tarafından zayi edilmiştir.

D-30 Artilery

Olaydan/rapordan çıkardığım sonuçlar:

  • Kritik işlerde kullanılan bilgi sistemlerinde (kullanılıyor ise akıllı telefon, mobil cihaz vb. dahil) siber güvenlik esasları mutlaka uygulanmalı, kullanıcıların kesinlikle doğrudan (İnternet vb. kontrol edilemeyen kaynaklardan) herhangi bir yazılım kurmasına/güncellemesine imkan verilmemeli. (Pek çok mobil cihazın kullanıcının işletim sistemini kendi başına yeniden kurabilecek şekilde üretiliyor olması bu konuda çok ciddi bir sorun oluşturuyor.)
  • Kritik işlerde kullanılan tüm sistemler için kurumsal olarak yönetilen merkezi bir uygulama deposu olmalı. (Bu depo yönetilirken siber güvenlik esasları uygulanmalı.)
  • Bu tarz olayların kolayca farkına varılması ve hızlıca önlem alınabilmesi için kurumsal cihazların ağ trafiği (tercihen merkezi bir erişim güvenliği sunucusu üzerinden) de izlenmeli ve yönetilmeli.
  • Snort gibi açık kaynak kodlu güvenlik çözümleri (yeteneklerine hakim olunduğunda) pek çok farklı alandaki ihtiyaçların karşılanmasında etkin bir rol üstlenebilirler. (Zararlı yazılımın ağ trafiğine ilişkin Snort imzası)