Dünyayı Sarsan RAT Operasyonları: Tarihin En Sansasyonel Uzaktan Erişim Truva Atı Vakaları

Bir Casusluk Aracının Gölgesinde Başlayan Skandallar

NetBus Sızması ve Hukuk Profesörü Skandalı (1998-1999)

Olayın Gerçekleştiği Dönem

İnternetin emekleme evresinde olduğu, evlerde çevirmeli ağ (dial-up) bağlantılarının yeni yeni yaygınlaştığı ve işletim sistemlerinin yerleşik güvenlik mekanizmalarından neredeyse tamamen yoksun olduğu 1998 ve 1999 yılları, siber suç tarihinin ilk büyük şok dalgasına sahne oldu1.

Hedef Alınan Kişi, Kurum veya Ülke

Doğrudan hedef alınan isim, İsveç’teki Lund Üniversitesi’nde görev yapan Hukuk Profesörü Magnus Eriksson oldu2. Olay, akademik çevrelerden başlayarak tüm İsveç hukuk sistemini ve bireysel internet kullanıcılarını sarsan geniş çaplı bir siber komplo davasına dönüştü2.

Olayın Nasıl Ortaya Çıktığı

İsveçli yazılımcı Carl-Fredrik Neikter tarafından "NetPrank" (İnternet Şakası) kelimesinden türetilerek geliştirilen NetBus yazılımı, internet forumlarında hızla yayıldı2. 1999 yılında, kimliği belirsiz bir siber saldırgan, NetBus aracını kullanarak Profesör Magnus Eriksson’un kişisel bilgisayarına sızdı2. Saldırgan, profesörün sistemine uzaktan erişerek 12.000 adet pornografik görsel yerleştirdi2. Bu görsellerden 3.500’ünün çocuk pornografisi içermesi üzerine polisin başlattığı baskın ve adli süreç, bilgisayar sistemlerinin uzaktan nasıl manipüle edilebileceğini ilk kez kamusal alanda tartışmaya açtı2.

Güvenlik Araştırmacılarının Bulguları

Güvenlik uzmanları ve adli bilişim analistleri, kurbanın bilgisayarında arka planda çalışan ve dışarıdan gelen komutları dinleyen bir NetBus sunucu bileşeni tespit ettiler2. Yazılımın, saldırgana dosya yükleme, dosya silme, ekran görüntüleri alma ve CD-ROM sürücüsünü uzaktan açıp kapatma gibi tam yetkili kontrol imkanları sunduğu saptandı1. Saldırganın bu yetkileri kullanarak yasadışı dosyaları profesörün haberi olmadan sistem dizinlerine kopyaladığı ve adli izleri gizlemeye çalıştığı belirlendi2.

Medyaya Yansıyan Detaylar

İsveç basını olayı "Bilgisayardaki Hayalet Komplosu" ve "Hukuk Profesörüne Siber Tuzak" başlıklarıyla manşetlerine taşıdı2. Akademik kariyeri ve saygınlığı bir gecede yok olma tehlikesiyle karşı karşıya kalan bir bilim insanının dramı, ana akım televizyon kanallarında tartışma programlarının ana konusu haline geldi2.

Kamuoyundaki Etkisi

Kamuoyunda, bilgisayarda bulunan dosyaların her zaman o bilgisayarın sahibine ait olmayabileceği gerçeği büyük bir hukuki şok yarattı2. İsveç halkı, evlerindeki bilgisayarların kontrolünün kendilerinde olmayabileceği düşüncesiyle büyük bir güvensizlik sarmalına sürüklendi1.

Olayın Neden Sansasyon Yarattığı

Olayın sansasyonel boyutu, basit bir "şaka" veya yönetim aracı olarak sunulan bir yazılımın, bir insanın hayatını karartabilecek, onu ağır ceza mahkemelerinde sanık sandalyesine oturtabilecek yıkıcı bir iftira ve sabotaj silahına dönüştürülebileceğini kanıtlamış olmasından kaynaklanıyordu2.

Uzun Vadeli Sonuçları

Magnus Eriksson davası, dünya genelinde adli bilişim standartlarının yeniden yazılmasına yol açtı2. Mahkemeler, dijital delillerin doğruluğunu kabul etmeden önce sistemde uzaktan erişim truva atlarının bulunup bulunmadığının titizlikle incelenmesini zorunlu kılan emsal kararlar aldı2. Yazılımın geliştiricisi Neikter ise her ne kadar meşru bir araç tasarladığını iddia etse de, bu olay siber suç dünyasında zararlı yazılım geliştiriciliğinin yasal sorumluluklarını tartışmaya açtı2.

Sub7 (SubSeven) ve IRC Tabanlı İlk Botnet Dalgaları (1999-2003)

Olayın Gerçekleştiği Dönem

1999 yılının Şubat ayında "mobman" takma adlı yazılımcı tarafından piyasaya sürülen ve 2003 yılına kadar internet alt kültürünü domine eden Sub7, siber suç dünyasında kitlesel kontrol çağını başlattı1.

Hedef Alınan Kişi, Kurum veya Ülke

Amerika Birleşik Devletleri ve Avrupa başta olmak üzere, internete bağlı milyonlarca Windows 95, 98 ve ME kullanıcısı hedef alındı1. Hiçbir hedef gözetmeksizin yapılan kitlesel taramalar, bireysel bilgisayarları birer zombiye dönüştürdü5.

Olayın Nasıl Ortaya Çıktığı

Kullanıcıların bilgisayarlarında kendi kendine açılan müzik dosyaları, aniden değişen masaüstü renkleri, kontrolsüz şekilde açılıp kapanan CD-ROM sürücüleri ve çalınan ICQ şifreleri üzerine güvenlik şirketleri kitlesel bir salgınla karşı karşıya olunduğunu fark etti1. Saldırganların internet forumlarında ve sohbet odalarında kurbanların web kameralarından gizlice çektikleri fotoğrafları paylaşmaları, durumu küresel bir kriz haline getirdi1.

Güvenlik Araştırmacılarının Bulguları

Güvenlik araştırmacısı Steve Gibson ve ekibi, Sub7'ın mimarisini incelediklerinde sarsıcı bulgulara ulaştılar1. Delphi diliyle yazılan yazılımın, kurban bilgisayara kurulduktan sonra arka planda gizlendiği ve komuta kontrol (C2) için internet sohbet ağlarını (IRC) kullandığı saptandı1. Saldırganlar oluşturdukları özel IRC kanallarına bağlanan binlerce "köleleştirilmiş" bilgisayara aynı anda komut göndererek ilk organize botnet ağlarını hayata geçirmişlerdi1. Sub7; tuş vuruşu kaydetme (keylogging), ses kaydı alma, web kamerasından canlı görüntü çekme ve sabit diskleri tamamen formatlama gibi dönemine göre dehşet verici yeteneklere sahipti1.

Medyaya Yansıyan Detaylar

Medya, Sub7'ı "Yatak Odanızdaki Casus" ve "Kameranızdan Sizi İzleyen Görünmez El" başlıklarıyla manşet yaptı1. Haberlerde, bilgisayar güvenliğinin sadece şifre korumasından ibaret olmadığı, internete bağlı her bilgisayarın bir casus gözetleme kulesine dönüşebileceği uyarısı yapıldı1.

Kamuoyundaki Etkisi

İnternet kullanıcıları arasında kitlesel bir gözetlenme paranoyası başladı2. Web kameralarının üzerine fiziksel engeller koyma alışkanlığı ilk kez bu dönemde bireysel bir refleks olarak ortaya çıktı1. Kişisel güvenlik duvarı (personal firewall) yazılımlarının satışı küresel ölçekte patlama yaptı2.

Olayın Neden Sansasyon Yarattığı

Sub7, hiçbir programlama veya hack deneyimi olmayan sıradan internet kullanıcılarının bile sadece $40 bütçe ile bir bilgisayarı tamamen ele geçirip kurban üzerinde mutlak hakimiyet kurmasını sağlayacak kadar basit ve kullanıcı dostu bir arayüze sahipti5. Siber zorbalık, şantaj ve kitlesel kimlik hırsızlığı bu araçla ilk kez endüstriyel bir boyuta ulaştı1.

Uzun Vadeli Sonuçları

Sub7, modern botnet mimarisinin mimarı kabul edilmektedir1. Bu yazılımın IRC tabanlı komuta kontrol modeli, sonraki yıllarda ortaya çıkan SDBot, Agobot ve SpyBot gibi milyarlarca dolarlık finansal zarara yol açan botnet ailelerinin yolunu açtı6. Ayrıca, bilgisayarların uzaktan kontrol edilmesini engelleyen antivirüs motorlarının ve proaktif ağ izleme teknolojilerinin geliştirilmesini zorunlu kıldı6.

Devlet Kurumlarını Hedef Alan RAT Operasyonları

Operation Aurora (2009-2010)

Olayın Gerçekleştiği Dönem

2009 yılının ortalarından başlayarak 2010 yılının Ocak ayında Google'ın resmi açıklamasına kadar geçen süreç, siber güvenlik tarihinde devlet destekli siber casusluğun resmi kabulü olarak kayıtlara geçti8.

Hedef Alınan Kişi, Kurum veya Ülke

Başta arama motoru devi Google olmak üzere; Adobe Systems, Juniper Networks, Rackspace, Yahoo, Northrop Grumman ve Dow Chemical gibi teknoloji, savunma, havacılık ve kimya sektörlerinde faaliyet gösteren 30'dan fazla çok uluslu ABD kuruluşu hedef alındı8. İkincil stratejik hedef ise Çinli insan hakları aktivistlerinin Gmail hesaplarıydı8.

Olayın Nasıl Ortaya Çıktığı

Google güvenlik ekiplerinin kendi kurumsal altyapılarında olağandışı bir veri sızıntısı tespit etmesi ve sızan verilerin Çin merkezli sunuculara yöneldiğini belirlemesiyle operasyon deşifre edildi8. Google, 12 Ocak 2010'da yayınladığı tarihi deklarasyonla siber saldırıyı dünyaya duyurarak Çin hükümetini doğrudan suçladı8.

Güvenlik Araştırmacılarının Bulguları

McAfee ve Symantec analistleri, saldırganların "Hydraq" (veya Aurora) adlı gelişmiş bir uzaktan erişim truva atını kullandıklarını saptadı8. Saldırganlar, kurban şirketlerin çalışanlarına mızrak ucu kimlik avı (spear-phishing) e-postaları göndererek onları Internet Explorer tarayıcısındaki bir sıfır gün (zero-day) açığını (CVE-2010-0249) tetikleyen bağlantılara yönlendirmişlerdi8. Bellek yönetimi hatasını sömüren bu açık üzerinden sisteme sızan Hydraq RAT, kendini Windows sistem servisleri arasına (rasmon.dll taklidiyle) enjekte ediyordu12. Araştırmacılar, zararlı yazılımın kod yapısında, batı dünyasında neredeyse hiç bilinmeyen ancak Çince kaynak kodlarında sıkça kullanılan benzersiz bir 16-sabitli CRC-16 (Döngüsel Artıklık Denetimi) algoritması buldular ve bu durum saldırının kaynağını Çin olarak tescilledi10.

Medyaya Yansıyan Detaylar

Medya, olayı "Soğuk Savaş'ın Yeni Dijital Cephesi" olarak manşetlerine taşıdı8. Google’ın Çin pazarından tamamen çekilmeyi göze alarak arama motoru sansürünü kaldırma kararı alması, diplomatik bir krize dönüştü8.

Kamuoyundaki Etkisi

Çin ve ABD arasındaki diplomatik ilişkiler gerildi14. Küresel iş dünyasında, hiçbir şirketin ulusal devlet destekli siber ordular karşısında güvende olmadığı algısı yerleşti ve siber güvenlik bütçeleri şirketlerin ana gündem maddesi haline geldi9.

Olayın Neden Sansasyon Yarattığı

Olayın sansasyonel boyutu, tarihte ilk kez özel sektörün en büyük devlerinin, egemen bir devletin (Çin) istihbarat servisleri tarafından sistemli bir şekilde soyulduğunu açıkça beyan etmesiydi8. Saldırganlar sadece kullanıcı verilerini değil, şirketlerin en değerli fikri mülkiyetlerini ve tescilli kaynak kodlarını çalmışlardı8.

Uzun Vadeli Sonuçları

Operation Aurora, siber güvenlik dünyasında "Gelişmiş Sürekli Tehdit" (APT) kavramının doğuşuna neden oldu9. Google, siber güvenlik mimarisini kökten değiştirerek bugün kurumsal dünyanın standardı haline gelen "Zero Trust" (Sıfır Güven) BeyondCorp modelini tasarladı12. Microsoft, Internet Explorer tarayıcısının güvenlik mimarisini baştan aşağı yenilemek zorunda kaldı12.

DNC (Demokratik Ulusal Komite) Hack ve Seçim Müdahalesi (2015-2016)

Olayın Gerçekleştiği Dönem

2015 yılının ortalarından 2016 yılı sonuna kadar devam eden, ABD Başkanlık Seçimleri sürecini hedef alan siber casusluk kampanyasıdır17.

Hedef Alınan Kişi, Kurum veya Ülke

Doğrudan hedef alınan kurumlar Amerika Birleşik Devletleri Demokratik Ulusal Komitesi (DNC), Demokratik Kongre Kampanya Komitesi (DCCC) ve Hillary Clinton'ın kampanya menajeri John Podesta oldu17.

Olayın Nasıl Ortaya Çıktığı

DNC ağında şüpheli aktiviteler fark eden sistem yöneticileri, siber güvenlik firması CrowdStrike’ı davet etti17. CrowdStrike’ın ağda Rus devlet destekli casusların varlığını saptamasıyla başlayan süreç, çalınan e-postaların ve gizli strateji belgelerinin "Guccifer 2.0" takma adlı bir figür ve WikiLeaks üzerinden basına sızdırılmasıyla küresel bir skandala dönüştü17.

Güvenlik Araştırmacılarının Bulguları

CrowdStrike analistleri, DNC ağında iki farklı Rus askeri istihbarat grubunun izini buldu: APT28 (Fancy Bear) ve APT29 (Cozy Bear)17. Saldırganların sistemlerde kalıcılık sağlamak ve ağ trafiğini izlemek için "X-Agent" (CHOPSTICK) ve "CozyDuke" adlı son derece gelişmiş RAT platformlarını kullandıkları belirlendi17. X-Agent’ın kurbanların bilgisayarlarında klavye hareketlerini kaydettiği, dosyaları uzaktan yönettiği ve elde ettiği hassas verileri şifreli kanallar üzerinden dışarı aktardığı saptandı17. John Podesta’nın ise sahte bir Google güvenlik e-postası (mızrak ucu kimlik avı) üzerinden şifresini siber casuslara kaptırdığı doğrulandı18.

Medyaya Yansıyan Detaylar

Medya, sızdırılan e-postaların içindeki gizli yazışmaları, adaylar hakkındaki kulis bilgilerini ve seçim stratejilerini her gün manşetten yayınladı17. "Siber Watergate" başlıkları Amerikan televizyon kanallarında aylarca ana gündem maddesi olarak kaldı17.

Kamuoyundaki Etkisi

Seçmenlerin demokratik kurumlara ve seçim dürüstlüğüne olan inancı sarsıldı17. Siber operasyonların bir ülkenin siyasi geleceğini ve cumhurbaşkanlığı seçimlerini doğrudan etkileyebilecek bir psikolojik harp silahı olduğu gerçeği tüm dünyada derin bir endişe yaratmıştır22.

Olayın Neden Sansasyon Yarattığı

Saldırı, sadece veri hırsızlığı amacıyla yapılmamış, elde edilen hassas bilgilerin "Hack-and-Leak" (Sızdır ve Yayınla) yöntemiyle kamuoyunu manipüle etmek amacıyla aktif bir dezenformasyon kampanyasında kullanılması nedeniyle sansasyon yaratmıştır22. Egemen bir devletin (Rusya), dünyanın en büyük süper gücünün seçimlerine doğrudan müdahale ettiği adli bilişim kanıtlarıyla iddia edilmiştir18.

Uzun Vadeli Sonuçları

ABD Federal Savcılığı, Rus askeri istihbarat dairesi GRU üyesi 12 subay hakkında resmi iddianame hazırladı20. Olay, siber saldırıların uluslararası hukuktaki ve NATO'nun 5. Maddesi (ortak savunma) kapsamındaki yerinin yeniden tanımlanmasına neden oldu19. Sosyal medya platformları ve teknoloji devleri, seçim güvenliği ve siber dezenformasyonla mücadele için yeni denetim mekanizmaları kurmak zorunda kaldı18.

Askeri ve Diplomatik Casusluk Vakaları

GhostNet (2009)

Olayın Gerçekleştiği Dönem

2008 yılı Haziran ayından başlayarak 2009 yılının Mart ayına kadar sürdürülen, Tibet ve Çin arasındaki jeopolitik gerilimin siber alandaki yansıması olan operasyondur25.

Hedef Alınan Kişi, Kurum veya Ülke

Başta Tibet'in ruhani lideri Dalai Lama'nın özel ofisi ve sürgündeki Tibet hükümeti olmak üzere; Hindistan, Güney Kore, Endonezya, Romanya ve Tayvan gibi 103 farklı ülkenin elçilikleri ve dışişleri bakanlıkları hedef alındı25.

Olayın Nasıl Ortaya Çıktığı

Tibetli diplomatların, gizli yazışmalarının ve seyahat planlarının Çinli yetkililer tarafından önceden bilindiğini fark etmesi üzerine, Toronto Üniversitesi bünyesindeki Citizen Lab araştırmacıları Dharamsala'daki bilgisayar ağlarını incelemek üzere davet edildi25. Yapılan 10 aylık saha araştırması, küresel bir siber casusluk şebekesini ortaya çıkardı28.

Güvenlik Araştırmacılarının Bulguları

Araştırmacılar, kurbanlara gönderilen mızrak ucu kimlik avı e-postalarındaki eklerin açılmasıyla sisteme sızan ve "Gh0st RAT" olarak bilinen bir uzaktan erişim truva atı tespit ettiler25. Gh0st RAT, kurban bilgisayarlarda gerçek zamanlı kontrol sağlıyor, sistemdeki tüm belgeleri arayıp indirebiliyor ve en önemlisi, bilgisayara bağlı olan mikrofonları ve web kameralarını sessizce aktif hale getirerek odadaki fiziksel konuşmaları kaydedebiliyordu25. Saldırganların komuta kontrol sunucularının izi sürüldüğünde, kontrol noktalarının Çin'in Hainan Adası'ndaki ticari internet aboneliklerine bağlı olduğu ve bu bölgenin Çin Halk Kurtuluş Ordusu'nun (PLA) sinyal istihbarat üssüne (Lingshui) ev sahipliği yaptığı saptandı25.

Medyaya Yansıyan Detaylar

New York Times gazetecisi John Markoff'un 29 Mart 2009'da manşetten duyurduğu özel haber, dünya genelinde büyük bir şok dalgası yarattı25. Haberlerde, Tibetli bir aktivistin Çin güvenlik güçlerince sorgulanırken önüne doğrudan internet sohbet geçmişlerinin dökümlerinin konulduğu bilgisi paylaşıldı25.

Kamuoyundaki Etkisi

Gelişmekte olan sivil toplum kuruluşlarının ve diplomatik misyonların siber alanda ne kadar savunmasız olduğu anlaşıldı26. Diplomatik temsilcilikler, dijital yazışmalarının güvenliğini sağlamak için kriptolama teknolojilerine acil geçiş kararı aldı.

Olayın Neden Sansasyon Yarattığı

Olayın sansasyon yaratmasının nedeni, siber casusluğun sadece devlet sırlarını çalmakla kalmayıp, kurbanların ortam seslerini ve görüntülerini uzaktan izleyerek fiziksel güvenliklerini doğrudan tehdit eden bir gözetim silahına dönüştüğünün teknik kanıtlarıyla ortaya konmasıydı25.

Uzun Vadeli Sonuçları

Gh0st RAT'ın kaynak kodlarının internete sızdırılması, sonraki on yıl boyunca küresel siber suç dünyasında bir dönüm noktası oldu2. Dünyanın dört bir yanındaki bağımsız hacker grupları ve APT aktörleri, bu kaynak kodunu modifiye ederek binlerce farklı varyant türetti ve Gh0st RAT siber suç ekosisteminin en çok kullanılan temel taşlarından biri haline geldi2.

Operation Red October (Rocra) (2007-2013)

Olayın Gerçekleştiği Dönem

2007 yılından başlayarak Kaspersky Lab tarafından deşifre edildiği 2013 yılının Ocak ayına kadar kesintisiz ve fark edilmeden sürdürülen beş yıllık küresel casusluk dönemidir30.

Hedef Alınan Kişi, Kurum veya Ülke

Doğu Avrupa, eski Sovyetler Birliği cumhuriyetleri ve Orta Asya ülkeleri başta olmak üzere; küresel ölçekteki büyükelçilikler, diplomatik temsilcilikler, hükümet bakanlıkları, askeri karargahlar ve nükleer enerji araştırma grupları hedef alındı30.

Olayın Nasıl Ortaya Çıktığı

Kaspersky Lab Küresel Araştırma ve Analiz Ekibi (GReAT), Ekim 2012'de uluslararası diplomatik ağları hedef alan sistematik siber saldırıları analiz etmeye başladı33. Araştırma derinleştikçe, beş yıldır hiçbir antivirüsün radarına takılmadan çalışan devasa bir siber casusluk platformunun varlığı keşfedildi30.

Güvenlik Araştırmacılarının Bulguları

Araştırmacılar, "Rocra" adı verilen bu casusluk yazılımının benzeri görülmemiş modüler yapısını ortaya çıkardılar33. Rocra, sisteme girdiğinde kurbanın donanım özelliklerine göre 1000'den fazla farklı casusluk modülünü dinamik olarak yükleyebiliyordu31. En sarsıcı bulgulardan biri, sisteme bir USB bellek takıldığında, yazılımın özel bir dosya sistemi parser'ı kullanarak o bellekten silinmiş olan Word, Excel ve PDF dosyalarını bile kurtarıp çalmasıydı31. Ayrıca, kurbanların bilgisayarlarına bağladıkları iPhone, Nokia ve Windows Mobile akıllı telefonların rehber, SMS, arama geçmişi ve takvim verilerini anında sızdırıyordu31. Yazılımın, sistemden silinse dahi Adobe Reader veya MS Office içine gömülen gizli "resurrect" (yeniden canlanma) eklentileri sayesinde, saldırgandan gelen tek bir e-posta ile kendini yeniden yükleyebildiği saptandı31.

Medyaya Yansıyan Detaylar

Basın, olayı ünlü casusluk romanına gönderme yaparak "Kızıl Ekim Operasyonu" başlığıyla duyurdu30. Terabaytlarca hassas diplomatik verinin ve Avrupa Birliği ile NATO'ya ait kriptolu askeri yazışmaların siber casuslar tarafından ele geçirildiği detayları gazetelerde geniş yer buldu32.

Kamuoyundaki Etkisi

Diplomatik dünyada büyük bir güvenlik krizi yaşandı. Büyükelçilikler, dijital veri imha prosedürlerinin güvenilmez olduğunu, silinen verilerin bile siber casuslar tarafından geri getirilebildiğini anlayarak fiziksel donanım imha protokollerine geçiş yaptı31.

Olayın Neden Sansasyon Yarattığı

Olay, saldırganların teknik becerilerinin kusursuzluğu ve kullandıkları istismar kodlarının Çinli hackerlar tarafından yazılmış olmasına rağmen, casusluk modüllerinin Rusça konuşan siber operatörlerce geliştirildiğinin saptanmasıyla büyük bir jeopolitik sansasyon yarattı31.

Uzun Vadeli Sonuçları

Kaspersky’nin sinkhole sunucuları kurarak C2 ağını çökertmesinin ardından Rocra altyapısı durduruldu34. Ancak 2014 yılında, bu operasyonun küllerinden doğan ve aynı taktikleri kullanan "Cloud Atlas" adlı yeni bir küresel casusluk operasyonunun tespit edilmesi, devlet destekli casusların altyapılarını kaybetseler de hedeflerinden asla vazgeçmediklerini gösterdi35.

Turla (Uroburos/Snake) ve Küresel Dışişleri Bakanlığı Sızmaları (2004-Günümüz)

Olayın Gerçekleştiği Dönem

2004 yılından günümüze kadar aktif olan, Rusya Federal Güvenlik Servisi (FSB) ile ilişkilendirilen en uzun soluklu ve en sofistike askeri/diplomatik siber casusluk kampanyasıdır36.

Hedef Alınan Kişi, Kurum veya Ülke

Başta NATO üyesi ülkelerin dışişleri bakanlıkları, büyükelçilikleri ve askeri tesisleri olmak üzere; dünya genelinde 45'ten fazla ülkede hükümet binaları, ilaç şirketleri ve araştırma enstitüleri hedef alındı36.

Olayın Nasıl Ortaya Çıktığı

Farklı ülkelerdeki elçilik ağlarında olağandışı şifreli ağ trafiği tespit edilmesi üzerine Kaspersky, Symantec ve ESET araştırmacılarının ortak takibiyle "Turla" (Snake/Uroburos) platformunun varlığı keşfedildi36.

Güvenlik Araştırmacılarının Bulguları

Analistler, Turla grubunun "Uroburos" adını verdikleri C dilinde yazılmış, inanılmaz düzeyde karmaşık bir casusluk aracı kullandığını saptadı37. Uroburos, bulaştığı sistemde işletim sisteminin çekirdek (kernel) moduna sızarak kendini tamamen gizliyordu37. Ağda kalıcı olmak için NTFS ve FAT-16 dosya sistemlerini CAST-128 algoritmasıyla şifreleyerek oluşturduğu sanal gizli disk bölümlerini kullanıyordu37. C2 iletişimi için Diffie-Hellman anahtar değişimi protokolünü kullanan yazılım, ağ güvenlik duvarlarını aşmak için HTTP, TCP, UDP ve ICMP protokollerinin içine kendi özel paketlerini gizliyordu37. Grubun ayrıca "Kazuar" adlı gelişmiş bir arka kapıyı sürekli güncelleyerek Signal mesajlarını ve bulut platform verilerini çalmak için kullandığı belirlendi39. Daha da şaşırtıcı olanı, "Waterbug" operasyonu kapsamında, Turla grubunun başka bir APT grubu olan OilRig’in (Crambus) siber altyapısını hackleyerek, hedef sistemlere sızmak için bu grubu bir paravan olarak kullandığı deşifre edildi40.

Medyaya Yansıyan Detaylar

Medya, Turla'yı "Siber Casusluğun Gölge İmparatorluğu" olarak tanımladı36. Grubun sızdığı ağlarda "Nato ve AB Enerji Diyaloğu" gibi çok spesifik diplomatik anahtar kelimeleri aratarak sadece yüksek değerli kozmik belgeleri çalması basında geniş yer buldu38.

Kamuoyundaki Etkisi

Batı ittifakı (NATO) ülkelerinde, Rusya'nın siber casusluk yeteneklerinin ulaştığı seviye karşısında büyük bir endişe yaşandı. Diplomatik iletişim altyapıları tamamen gözden geçirilerek askeri düzeyde kriptolu sistemlere geçiş hızlandırıldı36.

Olayın Neden Sansasyon Yarattığı

Turla, adli bilişim analistlerini şaşırtacak şekilde, hedef ağdaki başka siber suç gruplarının araçlarını ele geçirip (hijacking) saldırıları onların üzerinden yürüterek siber dünyada "sahte bayrak" ve "kimlik gizleme" taktiklerini en üst seviyeye çıkarması nedeniyle sansasyon yarattı40.

Uzun Vadeli Sonuçları

Siber güvenlik dünyası, ağ izleme protokollerini değiştirdi. ABD, Birleşik Krallık ve Ukrayna güvenlik servisleri (CISA, CERT-UA) ortak teknik kılavuzlar yayınlayarak Turla'nın "Snake" ve "Kazuar" yazılımlarını avlamak için küresel bir sürek avı başlattı38.

Muhalifleri ve Aktivistleri Hedef Alan Operasyonlar

Esad Rejimi ve Suriyeli Aktivistleri Hedef Alan DarkComet Kampanyası (2011-2014)

Olayın Gerçekleştiği Dönem

Suriye İç Savaşı'nın patlak verdiği 2011 yılından, siber güvenlik dünyasının rejim siber ordusunu deşifre ettiği 2014 yılına kadar geçen süreçtir41.

Hedef Alınan Kişi, Kurum veya Ülke

Suriye içindeki rejim karşıtı sivil aktivistler, insan hakları savunucuları, muhalif yerel gazeteciler ve sahada Esad güçlerine karşı savaşan askeri unsurlar hedef alındı42.

Olayın Nasıl Ortaya Çıktığı

İnternet üzerinden haberleşen aktivistlerin gizli konumlarının Esad rejiminin istihbarat servisleri tarafından nokta atışı tespit edilerek fiziki baskınlarla tutuklanmaları ve tutuklanan kişilerin bilgisayarlarındaki Skype hesaplarından arkadaşlarına şüpheli dosyalar gönderilmesi üzerine Electronic Frontier Foundation (EFF) ve Citizen Lab derinlemesine bir soruşturma başlattı42.

Güvenlik Araştırmacılarının Bulguları

Araştırmacılar, rejim hackerlarının kurbanları avlamak için sosyal mühendislik yöntemlerini vahşi bir şekilde kullandıklarını saptadı43. Aktivistlerin Skype hesaplarını ele geçiren saldırganlar, kurbanın arkadaş listesindeki diğer kişilere "Halep'teki devrimci grupların koordinasyon planı" veya "Şifreli Skype Güvenlik Aracı" süsü verilmiş sahte belgeler gönderiyorlardı42. Bu dosyalar açıldığında arka planda sessizce çalışan ve Fransız yazılımcı Jean-Pierre Lesueur tarafından geliştirilen "DarkComet RAT" kuruluyordu41. DarkComet; web kamerasını açma, ses kaydı alma, tüm tuş vuruşlarını kaydetme (keylogging) yeteneklerini kullanarak elde ettiği hassas verileri doğrudan Suriye devletine ait IP adreslerine (Syrian Telecom) iletiyordu42.

Medyaya Yansıyan Detaylar

Uluslararası medya, "Esad'ın Dijital İşkencecileri" başlığıyla siber araçların fiziki tutuklama ve işkence süreçlerine nasıl doğrudan zemin hazırladığını yazdı42. DarkComet'in geliştiricisi Lesueur'un Fransız basınına verdiği röportajlardaki çaresizliği ve "Yazılımımın bir diktatörlük tarafından insanları avlamak için kullanılacağını bilseydim onu asla yazmazdım" diyerek projeyi sonlandırması basında büyük yankı buldu41.

Kamuoyundaki Etkisi

Aktivistler arasında büyük bir dijital güvensizlik ve korku dalgası yayıldı. İnsanlar, kullandıkları şifreli iletişim araçlarının bile (Skype vb.) siber casuslar tarafından arka kapılarla nasıl bypass edilebileceğini acı bir şekilde öğrendiler42.

Olayın Neden Sansasyon Yarattığı

Olayın sansasyonel boyutu, tamamen ücretsiz ve serbestçe indirilebilen "sıradan" bir uzaktan yönetim aracının, acımasız bir devlet rejimi tarafından kendi vatandaşlarını izlemek, onları fiziki olarak yakalatıp işkence etmek amacıyla sistematik bir iç güvenlik silahı olarak kullanılmasında yatıyordu41.

Uzun Vadeli Sonuçları

DarkComet projesi geliştiricisi tarafından tamamen kapatıldı2. Bu olay, siber güvenlik topluluğunda çift amaçlı (dual-use) yazılımların geliştirilmesi ve dağıtılması konusundaki ahlaki ve hukuki sorumlulukları kökten değiştiren en önemli emsal vaka haline geldi46.

FinSpy (FinFisher) ve Bahreynli Aktivistlerin Londra'da İzlenmesi (2011-2012)

Olayın Gerçekleştiği Dönem

Arap Baharı'nın Bahreyn Krallığı'nda tırmandığı ve hükümetin protestoları bastırmak için her türlü gözetim aracını devreye soktuğu 2011 ve 2012 yıllarıdır45.

Hedef Alınan Kişi, Kurum veya Ülke

Bahreynli insan hakları savunucuları, Bahreyn Watch kurucu üyeleri, Londra'da sürgünde yaşayan rejim muhalifi avukatlar ve aktivistler (Dr. Saeed Shehabi ve Moosa Mohammed gibi) hedef alındı45.

Olayın Nasıl Ortaya Çıktığı

Londra’da yaşayan Bahreynli sığınmacı aktivistlerin e-posta adreslerine, Al-Jazeera’nın tanınmış muhabiri Melissa Chan’ın adıyla gönderilen şüpheli e-postalar ulaştı45. E-postaların ekinde Bahreyn'deki işkence mağdurlarına ait fotoğraflar olduğu iddia ediliyordu45. Durumdan şüphelenen aktivistlerin dosyaları ilettiği Citizen Lab araştırmacıları Bill Marczak ve Morgan Marquis-Boire, siber casusluk dünyasının en büyük ticari skandallarından birini deşifre etti47.

Güvenlik Araştırmacılarının Bulguları

Yapılan analizlerde, kurbanların bilgisayarlarına bulaştırılan yazılımın kod yapısında kazara unutulmuş "finspy" ibareleri bulundu45. Bu yazılımın, İngiltere ve Almanya merkezli Gamma Group şirketi tarafından üretilen ve resmi olarak sadece "devletlerin kolluk kuvvetlerine yasal dinleme amacıyla" satılan "FinFisher" (FinSpy) olduğu kesinleştirildi45. Yazılımın, yasal güncellemeleri (iTunes gibi) taklit ederek sisteme sızdığı, işletim sisteminin "winlogon.exe" sürecini hileli bir şekilde boşaltarak (process hollowing) kendi kodunu enjekte ettiği ve özel bir sanal paketleyici (bespoke virtualized packer) kullanarak antivirüs yazılımlarından tamamen kaçtığı saptandı47. Çalınan veriler şifreli olarak 443 ve 4111 portları üzerinden Bahreyn hükümetine ait sunuculara aktarılıyordu51.

Medyaya Yansıyan Detaylar

Bloomberg, The Guardian ve Wall Street Journal gibi küresel medya organları, "Batılı Şirketlerin Siber Silahları Diktatörlerin Hizmetinde" başlığıyla skandalı manşetlerine taşıdı48. Gamma Group’un yasadışı taktikler kullanarak istihbarat servislerine eğitim verdiğini gösteren gizli sunum belgeleri sızdırıldı47.

Kamuoyundaki Etkisi

"Siber Paralı Askerler" ve "Devlet Gözetim Sektörü" kavramları ilk kez küresel kamuoyunda bu kadar büyük bir öfkeyle tartışılmaya başlandı. Sınır Tanımayan Gazeteciler örgütü Gamma Group’u "İnternetin Şirket Düşmanı" ilan etti47.

Olayın Neden Sansasyon Yarattığı

Skandalın sansasyonel yönü, demokratik bir Avrupa ülkesinde (İngiltere) yasal olarak faaliyet gösteren bir teknoloji şirketinin ürettiği siber silahın, otoriter bir Ortadoğu rejimi tarafından, Londra’nın göbeğinde siyasi sığınmacı olarak yaşayan insan hakları savunucularını yasadışı yollarla izlemek için kullanıldığının somut delillerle kanıtlanmasıydı45.

Uzun Vadeli Sonuçları

Bahreyn hükümeti, izlenen aktivistlerin vatandaşlıklarını iptal etti50. Ancak sivil toplum örgütleri Gamma Group'a karşı uluslararası hukuk savaşı başlattı48. Münih Savcılığı, 2023 yılında Gamma Group’un eski yöneticilerine, gerekli ihracat izinlerini almadan otoriter devletlere gözetim teknolojisi sattıkları gerekçesiyle resmi suçlamalarda bulundu47. Bu dava, siber silahların ihracat denetimlerine tabi tutulmasını öngören Wassenaar Düzenlemesi'nin kapsamının genişletilmesinde en önemli dönüm noktası oldu.

InvisiMole ve Doğu Avrupa Diplomatik/Askeri Misyonlarının Takibi (2013-2020)

Olayın Gerçekleştiği Dönem

2013 yılından başlayarak siber güvenlik şirketi ESET tarafından deşifre edildiği 2018-2020 yıllarına kadar süren Doğu Avrupa odaklı gizli siber casusluk kampanyasıdır52.

Hedef Alınan Kişi, Kurum veya Ülke

Ukrayna ve Doğu Avrupa'daki kritik askeri karargahlar, savunma sanayii kuruluşları ve yabancı diplomatik misyonlar doğrudan hedef alındı52.

Olayın Nasıl Ortaya Çıktığı

ESET tehdit avcılarının Ukrayna’daki yüksek profilli askeri bilgisayarları incelerken, geleneksel sızma yöntemlerinden tamamen farklı, son derece sınırlı sayıda bilgisayara bulaşmış ve yıllarca uykuda kalmış bir siber hareketlilik keşfetmesiyle operasyon ortaya çıkarıldı52.

Güvenlik Araştırmacılarının Bulguları

ESET araştırmacıları Zuzana Hromcová ve Anton Cherepanov liderliğindeki ekip, "InvisiMole" adını verdikleri olağanüstü karmaşık bir uzaktan erişim truva atı deşifre etti54. InvisiMole’un, Rus istihbaratıyla ilişkili "Gamaredon" (Pterodo) grubu ile ortak bir operasyon yürüttüğü saptandı52. Gamaredon, hedef ağa girip yönetici yetkilerini aldıktan sonra, eğer hedef "çok yüksek değerli" bir askeri yetkiliyse sisteme sessizce InvisiMole RAT kuruyor ve kendi izlerini siliyordu52. InvisiMole, analiz edilmesini engellemek için Windows'un yerleşik şifreleme API'si olan "Data Protection API" (DPAPI) mekanizmasını sömürerek kurbana özel benzersiz şifreleme (per-victim encryption) uyguluyordu; bu sayede zararlı yazılım başka hiçbir bilgisayarda veya analiz laboratuvarında çalışmıyordu52. Ayrıca, sisteme yasal ancak eski ve zafiyet barındıran sürücüleri (SpeedFan gibi) yükleyip bu açıklar üzerinden kod çalıştırarak (BYOVS - Bring Your Own Vulnerable Software) antivirüslerin radarından tamamen kaçıyordu52. C2 iletişimi için ise saptanması imkansız olan DNS tünelleme (DNS Tunneling) yöntemini kullanıyordu54.

Medyaya Yansıyan Detaylar

Teknoloji basını, InvisiMole'u "Siber Casusluğun Görünmez Hayaleti" olarak tanımladı53. Yazılımın, bulaştığı bilgisayarı anlık olarak bir ortam dinleme cihazına ve video kameraya dönüştürerek odadaki tüm fiziksel askeri toplantıları Rus sunucularına canlı olarak aktardığı detayları yayınlandı52.

Kamuoyundaki Etkisi

Ukrayna askeri makamlarında ve müttefik diplomatik temsilciliklerde büyük bir panik yaşandı. Güvenlik servisleri, bilgisayarların kapalı olmasının dahi ortam dinlemesini engellemediğini fark ederek tüm kritik toplantı odalarından bilgisayarları tamamen çıkardı53.

Olayın Neden Sansasyon Yarattığı

Olay, iki farklı devlet destekli siber casus grubunun (kaba ve gürültülü çalışan Gamaredon ile ultra-gelişmiş ve görünmez InvisiMole) mükemmel bir işbölümüyle çalışarak askeri kozmik odalara sızmayı başarmasının adli kanıtlarla belgelenmesi nedeniyle sansasyon yarattı52.

Uzun Vadeli Sonuçları

ESET ve Ukrayna Siber Savunma Birimleri (CERT-UA) ortaklığıyla InvisiMole’un C2 altyapısı çökertildi53. Bu vaka, siber güvenlik dünyasında "kullanıcı bazlı şifrelemeyle kendini kilitleyen zararlılar" ve "BYOVS" (kendi zafiyetli sürücünü yanında getir) taktiklerine karşı yeni nesil proaktif davranış izleme sistemlerinin geliştirilmesini zorunlu kıldı52.

Büyük Şirketleri Sarsan RAT Saldırıları

Sony Pictures Entertainment ve Destover Wiper/RAT Sabotajı (2014)

Olayın Gerçekleştiği Dönem

Kuzey Kore lideri Kim Jong-un'a yönelik suikast girişimini konu alan komedi filmi "The Interview" (Zirve Muhtırası) vizyona girmesinden hemen önce, 2014 yılının Kasım ayında gerçekleşti55.

Hedef Alınan Kişi, Kurum veya Ülke

Doğrudan hedef alınan kurum ABD merkezli küresel eğlence ve sinema devi Sony Pictures Entertainment oldu55.

Olayın Nasıl Ortaya Çıktığı

24 Kasım 2014 sabahı, Sony Pictures çalışanları bilgisayarlarını açtıklarında ekranlarında kırmızı neon renkli bir iskelet görseli ve "Hacked by GOP" (Guardians of the Peace - Barışın Koruyucuları) yazılı bir tehdit mesajıyla karşılaştılar55. Şirketin tüm iç ağ sistemleri felç olmuştu55.

Güvenlik Araştırmacılarının Bulguları

FBI ve bağımsız siber güvenlik konsorsiyumu (Novetta liderliğindeki Operation Blockbuster ekibi), saldırıda "Destover" adı verilen son derece agresif bir uzaktan erişim truva atı ve veri silici (Wiper) kullanıldığını saptadı55. Destover RAT, sisteme yerleştikten sonra 100 terabayttan fazla hassas veriyi dışarı sızdırmış, ardından bilgisayarların sabit disklerindeki MBR (Master Boot Record) kayıtlarını üzerine anlamsız veriler yazarak sıfırlamıştı55. Yapılan kod analizleri, Destover'ın daha önce Güney Kore finans sistemini vuran "DarkSeoul" saldırısındaki kodlar ve şifreleme anahtarlarıyla doğrudan uyuştuğunu göstererek okları Kuzey Kore devlet destekli "Lazarus Group" (Hidden Cobra) siber ordusuna çevirdi55.

Medyaya Yansıyan Detaylar

Saldırganlar, çaldıkları gizli verileri parça parça internete sızdırdı55. Sızdırılan belgeler arasında; henüz vizyona girmemiş yüksek bütçeli filmlerin ham kopyaları, Hollywood yıldızlarının kişisel iletişim bilgileri, şirket yöneticilerinin ünlü oyuncular hakkında yazdığı hakaret içerikli gizli e-postalar ve çalışanların maaş tabloları yer aldı55. GOP grubu, "The Interview" filmini gösterecek sinema salonlarına yönelik fiziksel terör eylemleri yapacaklarını duyurdu55.

Kamuoyundaki Etkisi

Sony Pictures, tehditler karşısında geri adım atarak filmin sinema gösterimlerini iptal etmek zorunda kaldı55. Küresel iş dünyasında siber saldırıların sadece bir veri kaybı değil, uluslararası prestij felaketlerine ve fiziksel güvenlik krizlerine yol açabileceği anlaşıldı55.

Olayın Neden Sansasyon Yarattığı

Saldırı, egemen bir devletin (Kuzey Kore), kendi liderini hicveden bir sinema filmini sansürlemek amacıyla, küresel bir medya devini siber sabotaj, şantaj ve terör tehditleriyle dize getirmesi nedeniyle siber suç tarihinin en sansasyonel vakası oldu55. ABD Başkanı Barack Obama, Beyaz Saray'dan yaptığı ulusa sesleniş konuşmasında Kuzey Kore’yi doğrudan suçlayarak "orantılı bir yanıt verileceğini" açıkladı55.

Uzun Vadeli Sonuçları

ABD Adalet Bakanlığı, Kuzey Koreli siber operatör Park Jin Hyok hakkında resmi tutuklama kararı çıkardı56. Bu olay, özel şirketlerin ulusal güvenlik stratejilerinin ayrılmaz bir parçası olduğunu tescilledi ve şirketlerin "aktif tehdit istihbaratı" (threat intelligence) sistemlerine kitlesel yatırımlar yapmasını sağladı56.

RUAG Savunma Sanayi Casusluğu ve P2P Turla Mimarisi (2014-2016)

Olayın Gerçekleştiği Dönem

RUAG bilgisayarlarının ilk enfekte olduğu 2014 yılının Eylül ayından, İsviçre hükümetinin durumu resmi olarak kamuoyuna açıkladığı 2016 yılının Mayıs ayına kadar geçen iki yıllık gizli casusluk dönemidir60.

Hedef Alınan Kişi, Kurum veya Ülke

İsviçre Devleti'ne ait olan ve İsviçre ordusunun ana mühimmat, teknoloji ve havacılık tedarikçisi konumunda bulunan savunma sanayi devi RUAG hedef alındı36.

Olayın Nasıl Ortaya Çıktığı

İsviçre Federal İstihbarat Servisi (NDB) ve GovCERT ekiplerinin, RUAG kurumsal sunucularının dış dünyadaki bilinen casusluk IP adresleriyle son derece gizli ve düzenli veri alışverişi yaptığını saptamasıyla sızıntı ortaya çıkarıldı60.

Güvenlik Araştırmacılarının Bulguları

Soruşturmada, RUAG kurumsal ağına sızan aktörlerin Rus askeri istihbaratıyla ilişkili "Turla" (Epic/Tavdig) grubu olduğu kesinleştirildi60. Güvenlik analistleri, Turla’nın RUAG ağında kurduğu peer-to-peer (P2P) casusluk mimarisi karşısında şaşkına döndüler60. Saldırganlar, RUAG içindeki bilgisayarları "iletişim dronları" (communication drones) ve "işçi dronlar" (worker drones) olarak ikiye ayırmıştı60. Dış dünyadaki komuta kontrol sunucularıyla (C2) doğrudan temas kuran sadece birkaç adet iletişim dronuydu60. Hassas askeri projelerin barındığı iç ağlarda çalışan işçi dronlar ise internete doğrudan bağlı değildi; topladıkları gizli askeri verileri yerel ağ üzerinden, saptanması neredeyse imkansız olan "named pipes" (isimlendirilmiş borular) kanalları vasıtasıyla içerideki iletişim dronlarına aktarıyor, onlar üzerinden dışarı sızdırıyorlardı60. Saldırganlar, ağa sızmadan önce kapsamlı IP hedef analizleri ve dijital parmak izi incelemeleri yaparak sadece ilgilendikleri kritik askeri veri barındıran sunucuları enfekte etmişlerdi60.

Medyaya Yansıyan Detaylar

GovCERT’in hazırladığı gizli teknik raporun İsviçre basınında yayınlanmasıyla skandal patlak verdi60. Gazeteler, İsviçre ordusunun en gizli silah projelerinin, yeni nesil askeri uçak ihale belgelerinin ve askeri personelin gizli sicil verilerinin Rus casusların eline geçtiğini yazdı36.

Kamuoyundaki Etkisi

İsviçre’nin tarihsel "tarafsızlık" ve "aşılmaz güvenlik" imajı siber dünyada ağır darbe aldı. Federal Meclis bünyesinde özel soruşturma komisyonları kuruldu ve tüm Avrupa ülkelerinde askeri tedarik zincirlerinin güvenliği sorgulanmaya başlandı36.

Olayın Neden Sansasyon Yarattığı

Olayın sansasyonel boyutu, Turla grubunun gösterdiği olağanüstü sabır ve askeri koruma altındaki bir tesiste, hiçbir rootkit teknolojisi kullanmadan, sadece işletim sisteminin meşru iç iletişim mekanizmalarını (named pipes) taklit ederek iki yıl boyunca saptanmadan askeri veri çalmayı başarmış olmasıydı60.

Uzun Vadeli Sonuçları

RUAG şirketi, bilgi teknolojileri altyapısını askeri üretim ve ticari üretim olmak üzere iki bağımsız fiziksel ağa böldü60. GovCERT’in yayınladığı 14 sayfalık teknik rapor, siber güvenlik dünyasında "P2P iç ağ sızmaları ve yanal hareket tespiti" konusunda küresel bir eğitim müfredatı haline geldi60.

Milyonlarca Kullanıcının Etkilendiği Kampanyalar

Blackshades ve Güzellik Kraliçesi Cassidy Wolf Şantajı (2013-2014)

Olayın Gerçekleştiği Dönem

Siber suç dünyasında zararlı yazılımların ticari bir ürün gibi yeraltı forumlarında satılmaya başlandığı ve sivil kullanıcıların web kameralarının kitlesel olarak hedef alındığı 2013-2014 dönemidir21.

Hedef Alınan Kişi, Kurum veya Ülke

Başta 2013 Miss Teen USA güzellik kraliçesi Cassidy Wolf olmak üzere, dünya genelinde 100'den fazla ülkede yarım milyondan fazla sıradan internet kullanıcısı ve Suriye’deki muhalif sivil aktivistler hedef alındı5.

Olayın Nasıl Ortaya Çıktığı

Cassidy Wolf'un, kendi odasında gizlice çekilmiş çıplak fotoğraflarını içeren bir e-posta alması ve siber zorba Jared James Abrahams’ın bu fotoğraflarla kendisine şantaj (sextortion) yapması üzerine durum FBI’a bildirildi62. FBI, Abrahams’ın izini sürerken, onun kullandığı Blackshades adlı yazılımın arkasındaki devasa ticari satış şebekesine ulaştı61.

Güvenlik Araştırmacılarının Bulguları

Araştırmacılar, Blackshades RAT'ın Hack Forums adlı yeraltı platformunda sadece $40 karşılığında satıldığını ve bu sayede hiçbir teknik bilgisi olmayan kişilerin bile birer siber şantajcı haline geldiğini saptadı5. Yazılımın İsveçli Alex Yucel ve Amerikalı Michael Hogue tarafından profesyonel bir şirket gibi yönetilen bir organizasyon tarafından geliştirildiği ve güncellendiği belirlendi61. Blackshades; kurbanın web kamerasını hiçbir fiziksel uyarı vermeden (kamera ışığını yakmadan) açabiliyor, tuş vuruşlarını kaydediyor, şifreleri çalıyor ve sistemleri DDoS saldırılarında zombi olarak kullanabiliyor veya fidye için kilitleyebiliyordu5.

Medyaya Yansıyan Detaylar

Cassidy Wolf’un televizyon kanallarına çıkarak uğradığı dehşeti anlatması, olayı dünya basınının bir numaralı gündem maddesi haline getirdi62. FBI’ın koordineli bir operasyonla 19 ülkede eş zamanlı şafak baskınları düzenleyerek 100’e yakın Blackshades alıcısını tutuklaması siber polisiye bir film gibi basına yansıdı7.

Kamuoyundaki Etkisi

Tüm dünyada "web kamerası kapatma" çılgınlığı başladı. İnsanlar dizüstü bilgisayarlarının kameralarını bantlamaya başladı62. Siber şantaj ve siber zorbalık kavramları ilk kez yasama organlarının gündemine girdi ve cezai yaptırımlar ağırlaştırıldı62.

Olayın Neden Sansasyon Yarattığı

Yazılımın kurucularının müşteri hizmetleri departmanı, teknik destek temsilcileri ve pazarlama yöneticileri barındıran kurumsal bir şirket gibi çalışarak yasadışı casus yazılım ticaretini ticarileştirmesi ve bunu $40 gibi komik bir fiyata indirerek siber suçu kitleselleştirmesi büyük bir sansasyon yarattı5.

Uzun Vadeli Sonuçları

Blackshades'in kurucusu Alex Yucel, Moldova’da yakalanarak ABD’ye iade edildi ve ağır hapis cezasına çarptırıldı61. FBI, operasyon kapsamında 1.900'den fazla internet alan adını ele geçirdi7. Bu takibat, siber suç yazılımlarının geliştirilmesine karşı yürütülen tarihin en büyük koordineli küresel polis operasyonu olarak kayıtlara geçti7.

DarkCaracal ve Lübnan İstihbaratının Kitlesel Mobil AndroRAT Operasyonu (2017-2018)

Olayın Gerçekleştiği Dönem

Akıllı telefonların bireysel ve kurumsal yaşamın merkezi haline geldiği ve devlet casusluğunun mobil platformlara (Android) kaydığı 2017-2018 yıllarıdır64.

Hedef Alınan Kişi, Kurum veya Ülke

Başta Orta Doğu ülkeleri (Suriye, Lübnan, Suudi Arabistan) olmak üzere dünya genelinde askeri personel, muhalif siyasi aktivistler, gazeteciler, avukatlar ve kamu görevlileri hedef alındı64.

Olayın Nasıl Ortaya Çıktığı

Lookout mobil güvenlik şirketi ve Electronic Frontier Foundation (EFF) araştırmacılarının, dünya genelindeki mobil cihazlarda olağandışı veri sızıntıları ve şüpheli sunucu bağlantıları tespit etmesiyle, "DarkCaracal" kod adlı küresel mobil casusluk operasyonu deşifre edildi64.

Güvenlik Araştırmacılarının Bulguları

Araştırmacılar, saldırganların pahalı ve karmaşık sıfır gün açıklarına ihtiyaç duymadan, internette açık kaynaklı olarak bulunan "AndroRAT" ve "SilverHawk" mobil uzaktan erişim truva atlarını kullandıklarını keşfettiler64. Kurbanları kandırmak için WhatsApp, Signal ve Telegram gibi popüler güvenli mesajlaşma uygulamalarının birebir kopyası olan sahte APK dosyaları hazırlanmıştı64. Bu uygulamaları telefonlarına kuran kurbanların; tüm arama kayıtları, SMS mesajları, anlık GPS konumları, fotoğrafları çalınıyor ve en önemlisi telefon mikrofonları sessizce uzaktan açılarak ortam dinlemesi yapılıyordu64. Komuta kontrol sunucularının izi sürüldüğünde, altyapının doğrudan Lübnan'ın başkenti Beyrut'ta bulunan Lübnan Genel Güvenlik Direktörlüğü (GDGS) binasına ait internet ağından yönetildiği saptandı64.

Medyaya Yansıyan Detaylar

Medya, olayı "Cebinizdeki Casus: Lübnan Devleti Telefonunuzu Dinliyor" başlıklarıyla duyurdu64. Devlet destekli casusların, halkın güvendiği "güvenli mesajlaşma" markalarını taklit ederek nasıl kitlesel tuzaklar kurduğu detaylı infografiklerle basına yansıdı64.

Kamuoyundaki Etkisi

Akıllı telefonların siber casusluktaki birincil hedef olduğu gerçeği toplumda derin bir güvensizlik yarattı. Kullanıcıların resmi uygulama mağazaları (Google Play Store vb.) dışındaki kaynaklardan yazılım yüklememe bilinci bu olayla pekişti.

Olayın Neden Sansasyon Yarattığı

Olayın sansasyonel boyutu, kısıtlı bütçeye sahip bir devlet istihbarat servisinin, hiçbir özel siber silah satın almadan, sadece internette ücretsiz dağıtılan açık kaynaklı hack araçları (AndroRAT) ve basit sosyal mühendislik yöntemleriyle binlerce kritik askeri ve siyasi hedefi yıllarca kesintisiz izlemeyi başarmış olmasıydı64.

Uzun Vadeli Sonuçları

Google ve Android işletim sistemi geliştiricileri, arka planda çalışan uygulamaların mikrofon, kamera, rehber ve konum izinlerini kullanmasını zorlaştıran, ekranın köşesinde aktif kamera/mikrofon kullanımını gösteren güvenlik göstergeleri gibi yeni nesil mobil işletim sistemi güvenlik protokollerini devreye soktu.

Je Suis Charlie Kampanyasıyla Duygusal Manipülasyon ve DarkComet Yayılımı (2015)

Olayın Gerçekleştiği Dönem

7 Ocak 2015 tarihinde Paris'teki mizah dergisi Charlie Hebdo'ya düzenlenen kanlı terör saldırısının hemen ardından gelen, küresel kamuoyunun ve Fransa halkının yasta olduğu dönemdir41.

Hedef Alınan Kişi, Kurum veya Ülke

Charlie Hebdo kurbanlarıyla dayanışma göstermek isteyen, internette "#JeSuisCharlie" (Ben Charlie'yim) sloganını paylaşan ve konuyla ilgili gelişmeleri takip eden milyonlarca sıradan internet kullanıcısı hedef alındı41.

Olayın Nasıl Ortaya Çıktığı

Saldırıdan sadece 24 saat sonra, siber güvenlik merkezlerinin ve antivirüs motorlarının siber uzayda olağandışı bir DarkComet RAT aktivitesi ve şüpheli ağ trafiği saptamasıyla komplo ortaya çıkarıldı41.

Güvenlik Araştırmacılarının Bulguları

Siber suçluların, kurbanları kandırmak için üzerinde "#JeSuisCharlie" yazılı bir hastane bilekliği takan yeni doğmuş bir bebeğin fotoğrafını kullandıkları saptandı41. "Je_suis_Charlie.jpg.exe" adıyla dağıtılan bu dosya, Windows işletim sistemlerinin varsayılan olarak bilinen dosya uzantılarını gizlemesi özelliğinden faydalanıyordu41. Kullanıcılar bebek resmini görmek için dosyaya tıkladıklarında ekranda gerçekten resim açılıyor, ancak arka planda işletim sisteminin derinliklerine DarkComet RAT kuruluyordu41. Kurulum tamamlandığında bilgisayarın tüm kontrolü siber suçluların eline geçiyor, web kamerası ve mikrofon kurbandan habersiz kayıt yapmaya başlıyordu41.

Medyaya Yansıyan Detaylar

Medya, saldırganları "Acı ve Yas Tüccarları" olarak nitelendirdi41. İnsanların terör mağdurlarına üzülürken kendi evlerinin kapılarını siber suçlulara nasıl açtığı sarsıcı televizyon haberleriyle anlatıldı41. Güvenlik firmaları acil temizleme araçları yayınlayarak basında geniş rehberler paylaştı41.

Kamuoyundaki Etkisi

Büyük bir toplumsal öfke ve hayal kırıklığı yaşandı. Sosyal mühendislik (social engineering) saldırılarının, insanların en hassas duygusal anlarını ve merhamet duygusunu nasıl birer zafiyet noktası haline getirebileceği kitleler tarafından bizzat tecrübe edildi.

Olayın Neden Sansasyon Yarattığı

Saldırganların siber sızma hızı ve trajedi istismarı sansasyon yarattı41. Terör saldırısının üzerinden henüz 24 saat bile geçmemişken, siber suçluların bu duyarlılığı sömürecek altyapıyı saniyeler içinde kurup milyonlarca bilgisayarı tehlikeye atması siber suç dünyasının ne kadar acımasız olduğunu gösterdi41.

Uzun Vadeli Sonuçları

Güvenlik yazılımları, güncel toplumsal olaylar ve felaketler sırasında ortaya çıkan dosya hareketliliklerini "sezgisel analiz" (heuristics) yöntemleriyle çok daha sıkı denetlemeye başladı. Kullanıcılara yönelik e-posta eki açma ve dijital okuryazarlık eğitimleri küresel düzeyde standart hale getirildi.

Güvenlik Dünyasında Dönüm Noktası Olan RAT Vakaları

Duqu 2.0 - Kaspersky Lab ve İran Nükleer Görüşmelerinin İzlenmesi (2015)

[İran Nükleer Müzakereleri - Lüks Otellerin Ağı]
      │
      ▼ (Sıfır Gün Açıkları: CVE-2015-2360 vb.)
[Duqu 2.0 RAT Sızması (RAM Bellek İçi Sızma)]
      │
      ├─────────────────────────────────────────┐
      ▼ (Dosyasız Yapı - Disk İz Bırakmama)    ▼ (Akıllı Yeniden Enfeksiyon)
[Diplomatların Görüşmelerinin Canlı Dinlenmesi] [Ağda Kalan Tek Bir Cihazdan Diğerlerini Enfekte Etme]

Olayın Gerçekleştiği Dönem

Dünya süper güçlerinin İran ile nükleer anlaşma (P5+1) müzakerelerini yürüttüğü ve siber casusluk faaliyetlerinin gizli diplomatik kulislerde zirve yaptığı 2014-2015 dönemidir65.

Hedef Alınan Kişi, Kurum veya Ülke

Dünyanın en saygın siber güvenlik şirketlerinden biri olan Rusya merkezli Kaspersky Lab, İran nükleer görüşmelerinin yapıldığı lüks İsviçre ve Avusturya otelleri ile Auschwitz-Birkenau kurtuluş törenlerinin düzenlendiği uluslararası mekanlar hedef alındı65.

Olayın Nasıl Ortaya Çıktığı

Kaspersky Lab'in kendi bünyesinde geliştirmekte olduğu yeni nesil "Anti-APT" (Gelişmiş Tehdit Önleme) yazılımının bir prototip testi sırasında, şirketin kendi kurumsal ağında son derece gizemli ve saptanması neredeyse imkansız olan bir ağ trafiği anomalisi yakalamasıyla skandal ortaya çıktı65.

Güvenlik Araştırmacılarının Bulguları

Kaspersky uzmanları, siber güvenlik tarihinin en sofistike zararlı yazılım platformlarından birini deşifre ettiler ve buna "Duqu 2.0" adını verdiler65. Duqu 2.0, kurban bilgisayarların sabit disklerine (hard drive) tek bir bayt bile veri yazmıyor, tamamen bilgisayarların geçici RAM belleğinde (in-memory) yaşıyordu65. Bu sayede geleneksel hiçbir antivirüs veya disk tarama aracı tarafından tespit edilemiyordu65. Yazılım, Microsoft Windows çekirdeğindeki (kernel) üç farklı sıfır gün (zero-day) açığını (başta CVE-2015-2360 olmak üzere) istismar ederek sistemde en yüksek yetkileri (domain administrator) ele geçiriyordu65. Lateral movement (ağ içi yayılım) için sistem yöneticilerinin kullandığı meşru MSI (Microsoft Software Installer) paketlerini taklit ediyordu65. Eğer ağdaki bir bilgisayar yeniden başlatılarak RAM belleği temizlenirse, yanındaki diğer enfekte bilgisayar ağ üzerinden sıfır gün açığını kullanarak onu saniyeler içinde tekrar RAM bellek üzerinden enfekte ediyordu67. Yazılımın geliştirilme maliyetinin en az 50 million dolar olduğu ve arkasında İsrail askeri istihbarat birimi Unit 8200'ün bulunduğu siber analistlerce değerlendirildi67.

Medyaya Yansıyan Detaylar

Olay siber dünyada "Avcı Avlandı" başlıklarıyla manşet oldu65. Dünyanın en iyi antivirüs şirketinin, kendi ofisinde yıllarca devlet destekli casuslar tarafından izlendiğinin ortaya çıkması ana akım basında büyük sansasyon yarattı65. İsrail istihbaratının, İran nükleer anlaşmasının yapılacağı otellerin havalandırma, telefon ve televizyon sistemlerine Duqu 2.0 ile sızarak diplomatları canlı olarak dinlediği detayları sızdırıldı65.

Kamuoyundaki Etkisi

Siber güvenlik dünyasında "mutlak güvenlik" yanılsaması tamamen sona erdi. En gelişmiş savunma şirketlerinin ve antivirüs devlerinin bile devlet düzeyindeki siber silahlara karşı tamamen çaresiz kalabileceği anlaşıldı65.

Olayın Neden Sansasyon Yarattığı

Olayın sansasyonel boyutu, Duqu 2.0'ın tamamen "dosyasız" (fileless) ve sadece RAM bellek odaklı çalışan siber mimarisi ile nükleer müzakerelerin göbeğinde aktif bir casusluk aracı olarak kullanılmasıydi65. Ayrıca, Rusya ve İsrail istihbarat servislerinin siber alandaki gölge savaşını ilk kez bu kadar net bir şekilde kamusal alana taşıdı69.

Uzun Vadeli Sonuçları

Microsoft, Kaspersky'nin raporlaması üzerine acil güvenlik yamaları yayınladı65. Siber güvenlik endüstrisi, sadece dosya taraması yapan teknolojileri terk ederek, aktif RAM bellek analizi yapan ve ağ trafiğindeki anomalileri izleyen EDR (Endpoint Detection and Response) sistemlerine geçişi zorunlu kıldı67.

Equation Group'un DoubleFantasy ve GrayFish Donanım Bellenimi Casusluğu (2001-2015)

Olayın Gerçekleştiği Dönem

Equation Group'un ilk faaliyet izlerinin saptandığı 2001 yılından, Kaspersky Lab tarafından ifşa edildikleri 2015 yılına kadar uzanan, siber suç tarihinin en derin ve donanım düzeyindeki casusluk dönemidir70.

Hedef Alınan Kişi, Kurum veya Ülke

Rusya, İran, Çin, Pakistan, Afganistan başta olmak üzere 30'dan fazla ülkede hükümet binaları, askeri tesisler, nükleer araştırma merkezleri, telekomünikasyon operatörleri ve petrol/gaz şirketleri hedef alındı70.

Olayın Nasıl Ortaya Çıktığı

Kaspersky Lab analistlerinin, Orta Doğu'daki nükleer araştırma ağlarında ve izolasyon altındaki (air-gapped) sistemlerde çalışan olağanüstü karmaşık bazı siber izleri sürmesiyle, 2015 yılında "Equation Group" adlı siber gücün ifşasıyla olay ortaya çıktı70.

Güvenlik Araştırmacılarının Bulguları

Soruşturma, bu grubun ABD Ulusal Güvenlik Ajansı'nın (NSA) Tailored Access Operations (TAO) birimi olduğunu dolaylı olarak kanıtladı70. Saldırganların kullandığı sızma zinciri benzersizdi: Önce hedef sisteme "DoubleFantasy" adı verilen küçük bir "doğrulayıcı" (validator) RAT kuruluyordu73. Bu validator, kurbanın bilgisayarındaki tüm sistem bilgilerini toplayıp analiz ediyor, eğer kurban "yüksek değerli" gerçek bir askeri veya diplomatik hedef ise DoubleFantasy kendini imha ederek yerini "EquationDrug" veya "GrayFish" adı verilen devasa siber casusluk platformlarına bırakıyordu71. Eğer kurban değersiz biriyse veya bir siber güvenlik araştırmacısıysa yazılım iz bırakmadan kendini tamamen siliyordu73. En dehşet verici bulgu, GrayFish platformunun dünyanın en büyük sabit disk üreticilerinin (Seagate, Western Digital, Samsung, Toshiba) sabit disk bellenimini (firmware) yeniden yazabilme yeteneğiydi70. Yazılım, kendini sabit diskin bellenim sektörüne gizliyor, bu sayede bilgisayara format atılsa, hatta sabit disk tamamen silinip işletim sistemi yeniden kurulsa bile bilgisayar her açıldığında bellenimden kendini yeniden "canlandırarak" sistemi enfekte etmeye devam ediyordu71.

Medyaya Yansıyan Detaylar

Dünya basını olayı "Siber Casusluğun Tacı" başlıklarıyla duyurdu71. Edward Snowden'ın sızdırdığı gizli NSA belgeleriyle, Kaspersky'nin teknik bulgularının birebir eşleştiği basında grafiklerle gösterildi70. CD-ROM'lar içine gizlenerek bilimsel konferans katılımcılarına elden dağıtılan DoubleFantasy zararlısının casusluk detayları yazıldı71.

Kamuoyundaki Etkisi

Küresel teknoloji dünyasında donanım güvenliği (hardware security) konusunda büyük bir güvensizlik ve paranoya başladı. Satın alınan hiçbir bilgisayar donanımının, fabrikadan çıktığı andan itibaren güvende olamayacağı gerçeği siber güvenlik stratejilerini kökten sarstı70.

Olayın Neden Sansasyon Yarattığı

Olay, tarihte ilk kez bir siber gücün, sabit disklerin bellenimini (firmware) yeniden programlayarak işletim sisteminden bağımsız, kalıcı ve silinmesi imkansız bir casusluk alanı yaratmayı başardığının belgelenmesi nedeniyle siber güvenlik tarihinin en büyük sansasyonlarından biri oldu71.

Uzun Vadeli Sonuçları

Bu keşif, 2016-2017 yıllarında "Shadow Brokers" adlı hacker grubunun NSA'e ait siber silahları internete sızdırmasının yolunu açtı70. Sızan bu araçların içindeki "EternalBlue" istismarı, tarihin en büyük küresel siber felaketleri olan WannaCry ve NotPetya fidyeyazılım krizlerine neden oldu ve milyarlarca dolarlık zarara yol açtı70.

Medyanın Günlerce Konuştuğu Siber Casusluk Olayları

TV5Monde Siber Sabotajı ve Rusya'nın IŞİD Maskeli "Sahte Bayrak" Operasyonu (2015)

Olayın Gerçekleştiği Dönem

Fransa'nın Ukrayna krizi nedeniyle Rusya'ya yönelik yaptırımları desteklediği ve Rusya'nın sipariş ettiği Mistral helikopter taşıyıcı gemilerinin teslimatını iptal ettiği jeopolitik gerilimin zirvede olduğu 8-9 Nisan 2015 tarihidir23.

Hedef Alınan Kişi, Kurum veya Ülke

Doğrudan hedef alınan kuruluş, Fransa'nın küresel yayın yapan devlet televizyon ağı TV5Monde oldu22.

Olayın Nasıl Ortaya Çıktığı

8 Nisan 2015 akşamı saat 22:00 sularında, TV5Monde'un dünya genelinde yayın yapan tüm 12 televizyon kanalının yayını aniden kesildi ve ekranlar tamamen karardı22. Aynı dakikalarda, kanalın resmi internet siteleri ve sosyal medya hesapları ele geçirilerek terör örgütü IŞİD lehine propaganda mesajları yayınlanmaya başladı22.

Güvenlik Araştırmacılarının Bulguları

Fransız askeri istihbaratı ve ANSSI siber güvenlik ajansının yaptığı derinlemesine inceleme, saldırının arkasında Rus askeri istihbaratına (GRU) bağlı APT28 (Fancy Bear) grubunun olduğunu saptadı22. Saldırganların televizyon ağının kılcal damarlarına sızmak için "X-Agent" RAT yazılımını kullandıkları saptandı22. X-Agent ile ağda aylar boyunca sessizce keşif yapan casusların, televizyon yayınlarını kodlayan encoder cihazlarının, uydu bağlantı sistemlerinin ve kameraların tüm kontrol şifrelerini ele geçirdikleri saptandı22. TV5Monde'un tamamen yok olmaktan, bir sistem yöneticisinin şans eseri zararlı yazılımın dış dünya ile konuştuğu IP adresini ağdan fiziksel olarak kesmesi sayesinde kurtulduğu anlaşıldı.

Medyaya Yansıyan Detaylar

Olay, siber savaşın bir televizyon kanalını fiziksel olarak kararttığı ilk vaka olarak dünya medyasında manşet oldu22. Fransız hükümeti olayı "Fransa'ya ve ifade özgürlüğüne yönelik benzeri görülmemiş bir terör saldırısı" olarak tanımladı22. Rusya'nın IŞİD maskesi arkasına gizlenerek siber sabotaj yapması televizyon tartışmalarında günlerce analiz edildi22.

Kamuoyundaki Etkisi

Siber saldırıların sadece bilgi çalmadığı, aynı zamanda kitle iletişim araçlarını tamamen susturabileceği gerçeği toplumda büyük bir kırılganlık hissi yarattı. Medya kuruluşlarının milli güvenlik düzeyinde korunması gereken kritik altyapılar olduğu kabul edildi.

Olayın Neden Sansasyon Yarattığı

Olay, tarihte ilk kez bir devlet siber biriminin (GRU), kendini acımasız bir terör örgütü (IŞİD) gibi göstererek küresel çapta bir sahte bayrak operasyonu yürütmesi ve bu yolla bir Batı ülkesinin ulusal yayın altyapısını tamamen kapatmayı başarması nedeniyle siber suç tarihinin en sansasyonel vakalarından biri oldu22.

Uzun Vadeli Sonuçları

Fransa ve diğer Avrupa ülkeleri, medya ve dezenformasyon ağlarına yönelik siber savunma bütçelerini artırdı. TV5Monde siber güvenlik altyapısını sıfırdan kurmak için milyonlarca avro harcadı. Olay, siber uzayda devletlerin "inkar edilebilirlik" (plausible deniability) maskelerinin adli bilişim yöntemleriyle nasıl düşürülebileceğinin en büyük dersi oldu23.

Kamuoyuna Açıklanmayan ve Sonradan Ortaya Çıkan Operasyonlar

Sandworm ve Ukrayna Güç Şebekesi Sabotajı (BlackEnergy 3) (2015)

Olayın Gerçekleştiği Dönem

Rusya ve Ukrayna arasındaki askeri ve siyasi çatışmaların (Kırım'ın ilhakı sonrası) siber cephede en üst düzeye ulaştığı 23 Aralık 2015 kış dönemidir76.

Hedef Alınan Kişi, Kurum veya Ülke

Ukrayna'nın batısındaki Ivano-Frankivsk ve Kiev bölgelerine elektrik sağlayan üç bölgesel enerji dağıtım şirketi (Prykarpattyaoblenergo, Chernivtsioblenergo ve Kyivoblenergo) hedef alındı76.

Olayın Nasıl Ortaya Çıktığı

23 Aralık günü öğleden sonra saat 15:30 sularında, kontrol merkezlerindeki Ukraynalı operatörlerin, ekranlarındaki fare imlecinin kendi kontrollerinden çıkarak kendi kendine hareket etmeye başladığını ve yüksek gerilim şalt sahalarındaki elektrik kesici şalterleri tek tek kapattığını dehşet içinde izlemesiyle siber sabotaj anlaşıldı78.

Güvenlik Araştırmacılarının Bulguları

SANS Enstitüsü ve Dragos gibi kritik altyapı siber güvenlik kuruluşları, saldırının arkasında Rus askeri istihbaratıyla doğrudan bağlantılı olan "Sandworm" grubunun olduğunu saptadı76. Saldırganların yaklaşık altı ay önce, kurumsal ağa kötü amaçlı Excel makroları içeren mızrak ucu kimlik avı e-postaları yoluyla "BlackEnergy 3" RAT yazılımını bulaştırdıkları belirlendi76. BlackEnergy 3 ile sistemde aylar boyu keşif yapan casusların, operatörlerin SCADA ağına uzaktan bağlanmak için kullandığı VPN şifrelerini ele geçirdikleri saptandı77. Şalterleri kapattıktan sonra ise, sistem yöneticilerinin bilgisayarlarını kurtarmasını engellemek için tüm diskleri silen "KillDisk" zararlısını çalıştırdıkları, elektrik santrallerinin acil durum kesintisiz güç kaynaklarını (UPS) kapattıkları ve şalt sahalarındaki kontrol cihazlarının (RTU) bellenimini (firmware) üzerine çöp veri yazarak kalıcı olarak kullanılmaz hale getirdikleri saptandı76. Eş zamanlı olarak kurbanların telefon santrallerini kilitleyen kitlesel bir TDoS (Telephony Denial of Service) saldırısı başlatarak tüketicilerin kesintiyi bildirmesini engellemişlerdi76.

Medyaya Yansıyan Detaylar

Wired ve diğer büyük siber yayın organları olayı "Tarihin İlk Başarılı Siber Elektrik Şebekesi Sabotajı" başlığıyla dünyaya duyurdu76. Operatörlerin çaresizce ekranlarını kaydettiği cep telefonu videoları basında geniş yer buldu76.

Kamuoyundaki Etkisi

Yaklaşık 230,000 Ukrayna vatandaşı kışın ortasında saatlerce karanlıkta ve soğukta kaldı76. Siber savaşın sadece sanal dünyada kalmadığı, doğrudan sivil halkın fiziksel yaşamını, ısınma ve elektrik gibi hayati ihtiyaçlarını felç edebiyeceği gerçeği küresel bir şok yarattı80.

Olayın Neden Sansasyon Yarattığı

Olay, insanlık tarihinde bir siber silah kullanılarak fiziksel bir elektrik şebekesinin tamamen uzaktan kapatıldığı ilk resmi adli vaka olması nedeniyle siber güvenlik tarihine geçti78. Saldırganların uyguladığı çok katmanlı koordinasyon (s sızma, SCADA kontrolü, firmware imhası, KillDisk silecek ve TDoS) askeri bir kusursuzluğa sahipti76.

Uzun Vadeli Sonuçları

Ukrayna, sonraki yıllarda Rus siber ordusunun siber savaş deneyleri yaptığı küresel bir "test laboratuvarına" dönüştü76. Kritik altyapı güvenliği (SCADA ve endüstriyel kontrol sistemleri siber savunması) tüm dünya devletleri için en yüksek askeri savunma önceliği haline geldi79.

Kimsuky'nin KimJongRAT ve BabyShark ile Güney Kore Savunma/Nükleer Casusluğu (2013-2025)

Olayın Gerçekleştiği Dönem

Kore yarımadasındaki jeopolitik gerilimin siber alanda kesintisiz devam ettiği, Kimsuky grubunun ilk deşifre olduğu 2013 yılından 2025 yılına kadar uzanan süreçtir82.

Hedef Alınan Kişi, Kurum veya Ülke

Güney Kore Dışişleri Bakanlığı, Güney Kore savunma sanayi yüklenicileri, nükleer santral işletmecileri, Kore-temalı sivil toplum kuruluşları ve nükleer enerji araştırmacıları hedef alındı82.

Olayın Nasıl Ortaya Çıktığı

Güney Koreli siber güvenlik ajansları (S2W ve Genians), askeri personellere gönderilen "Savunma Sanayi Dijital İnovasyon Semineri" konulu e-postaların ekindeki sahte Hangul Office (HWP) ve ALZIP (EGG) dosyalarını incelediğinde, verilerin Kuzey Kore bağlantılı sunuculara sızdığını keşfetti84.

Güvenlik Araştırmacılarının Bulguları

Genians Güvenlik Merkezi (GSC) analistleri, Kimsuky grubunun sistemlerde kalıcılık sağlamak için "KimJongRAT" ve "BabyShark" (LATEOP) adı verilen iki ana uzaktan erişim truva atı varyantını kullandığını saptadı83. BabyShark, Microsoft Visual Basic script tabanlı hafif yapısıyla antivirüslerin sezgisel taramalarını bypass ediyordu86. Kurban bilgisayarlarda çalışan bu yazılım; Chromium tabanlı tarayıcıların ana şifre çözme anahtarlarını (master key) çalıyor, tüm kayıtlı şifreleri, sistem yapılandırmalarını ve askeri belgeleri sızdırıyordu87. En dikkat çekici bulgu, BabyShark'ın bulaştığı bilgisayarın IP adresini kontrol ederek, sadece gerçekten istedikleri yüksek değerli askeri hedeflere "QuasarRAT" veya "AppleSeed" adı verilen nihai uzaktan kontrol modüllerini yüklemesi, diğer kurbanlarda ise sessiz kalmasıydı84.

Medyaya Yansıyan Detaylar

Medya, KimJongRAT'ın siber suç tarihine geçen ilginç bir detayını ortaya çıkardı87. Zararlı yazılımın derleme (metadata) kayıtlarındaki PDF yazar adının bizzat Kuzey Kore lideri Kim Jong-un'un kardeşlerinin isimleriyle eşleştiği, kurtarma sorularının ve dil kodlarının Kuzey Kore kaynaklı Korece olduğu basında geniş yer buldu87.

Kamuoyundaki Etkisi

Güney Kore kamuoyunda nükleer tesislerin ve savunma sanayisinin güvenliği konusunda büyük bir endişe dalgası yaşandı. Kuzey Kore'nin siber casusluk yoluyla askeri teknolojileri ne kadar yakından takip ettiği sarsıcı bir gerçek olarak tescillendi56.

Olayın Neden Sansasyon Yarattığı

Olayın sansasyon yaratmasının nedeni, siber casusların Güney Kore'ye özel yerel yazılımları (Hangul Office - HWP belgeleri) ve yerel sıkıştırma formatlarını (EGG ALZIP) akıllıca istismar ederek uluslararası antivirüs yazılımlarının radarından yıllarca kaçmayı başarmış olmasıydı84.

Uzun Vadeli Sonuçları

Güney Kore hükümeti, kamu kurumlarında yerel yazılımların kullanımına yönelik siber denetimleri en üst düzeye çıkardı. KimJongRAT ve BabyShark varyantlarının takibi için özel siber izleme merkezleri kuruldu82.

Tarihin En Sansasyonel 20 RAT Olayı

Aşağıdaki tablolar, siber güvenlik dünyasında deprem yaratan en sansasyonel 20 RAT operasyonunun teknik, idari ve jeopolitik dökümünü kronolojik sıra ile sunmaktadır.

1. NetBus Sızması (1998)

2. Sub7 Yayılımı (1999)

3. Operation Shady RAT (2006-2011)

4. Kızıl Ekim Operasyonu (2007-2013)

5. GhostNet Gözetim Ağı (2009)

6. Operation Aurora (2009-2010)

7. FinSpy Bahreyn Operasyonu (2011-2012)

8. Suriye DarkComet Operasyonu (2011-2014)

9. Blackshades Küresel Soruşturması (2013-2014)

10. Havex SCADA Keşfi (2013-2014)

11. Sony Pictures Sabotajı (2014)

12. RUAG Askeri Sızıntısı (2014-2016)

13. Duqu 2.0 Kaspersky Sızması (2015)

14. TV5Monde Karartılması (2015)

15. #JeSuisCharlie Duygu Sömürüsü (2015)

16. DNC Seçim Müdahalesi (2015-2016)

17. Equation Group GrayFish Keşfi (2001-2015)

18. DarkCaracal Gözetim Kampanyası (2017-2018)

19. Ukrayna Elektrik Sabotajı (2015)

20. Kimsuky Kore Casusluğu (2013-2025)

Siber Güvenlik Tarihinde RAT Operasyonlarının Rolü ve Gelecek Projeksiyonu

Uzaktan Erişim Truva Atları (RAT), siber güvenlik tarihinin en yıkıcı ve en sinsice ilerleyen gölge savaşlarına yön vermiştir. 1990'ların sonundaki ilkel ve amatörce yazılan "şaka" programlarından, günümüzün donanım yazılımlarını ve bellek içi (RAM) süreçlerini istismar eden çok katmanlı devlet siber silahlarına uzanan bu serüven, siber uzayın egemen devletler tarafından nasıl resmi bir savaş cephesi olarak kabul edildiğinin en açık kanıtıdır1.

Analiz edilen bu 20 sansasyonel operasyon göstermektedir ki; siber casusluk faaliyetleri hiçbir zaman sadece sanal dünyada kalmamış, doğrudan gerçek dünya siyasetini, uluslararası diplomatik krizleri, insan haklarını ve fiziksel kritik altyapıları derinden sarsmıştır8. Bir hukuk profesörünün hayatını karartabilecek sahte kanıtlar yerleştirmekle başlayan bu karanlık yetenekler; Ukrayna'da binlerce insanı dondurucu kış soğuğunda elektriksiz bırakabilecek, bir televizyon kanalını "sahte bayrak" operasyonuyla karartabilecek ve dünyanın en güçlü devletinin seçimlerini manipüle edebilecek askeri düzeyde birer stratejik silaha dönüşmüştür2.

Siber savunma endüstrisi, bu tehditlerin her bir aşamasında kendini kökten yenilemek zorunda kalmıştır. Geleneksel imza tabanlı dosya taramalarının yetersiz kalmasıyla proaktif sezgisel analizlere geçilmiş, dosyasız (fileless) zararlıların deşifre edilmesiyle EDR ve RAM izleme teknolojileri geliştirilmiş, kurumsal ağ sınırlarının kolayca aşılmasıyla ise "Hiçbir şeye güvenme, her şeyi doğrula" felsefesine dayanan "Zero Trust" siber güvenlik mimarisi kurumsal bir standart haline gelmiştir9.

Bugün gelinen noktada, yapay zekanın siber saldırılarda aktif bir rol oynamaya başlaması, tehdit manzarasını daha da karmaşıklaştırmaktadır. Siber casusların kurbanları kandırmak için yapay zeka destekli inandırıcı sosyal mühendislik senaryoları kurgulaması ve işletim sistemlerinin davranış izleme mekanizmalarını atlatabilecek dinamik kod yazma yeteneğine sahip yeni nesil otonom RAT platformları geliştirmesi, siber savunucuları sürekli bir adım geriden gelmeye zorlamaktadır56. Tarih boyunca gerçekleştirilen bu sansasyonel operasyonlardan alınacak en büyük ders; mutlak güvenlik diye bir şeyin olmadığı, siber savunmanın statik bir koruma duvarı değil, sürekli güncellenen, proaktif ve dinamik bir tehdit avcılığı süreci olması gerektiğidir65. Siber dünyanın bu karanlık belgeseli, insanlığa teknolojinin sunduğu sınırsız özgürlüklerin, aynı zamanda en mahrem alanlarımızı ve en hayati altyapılarımızı hedef alan görünmez birer silaha dönüşebileceğini bir kez daha kanıtlamaktadır7.

Alıntılanan çalışmalar

1. Sub7 - Wikipedia, https://en.wikipedia.org/wiki/Sub7

2. What is a RAT? How remote access Trojans became a major threat - CSO Online, https://www.csoonline.com/article/570049/from-pranks-to-apts-how-remote-access-trojans-became-a-major-security-threat.html

3. mobman 2 – Darknet Diaries, https://darknetdiaries.com/transcript/150/

4. Trojans - Tutorial - Vskills, https://www.vskills.in/certification/tutorial/trojans/

5. Remarks Prepared for Delivery by Special Agent in Charge Leo Taddeo at Blackshades Press Conference - FBI, https://www.fbi.gov/contact-us/field-offices/newyork/news/press-releases/remarks-prepared-for-delivery-by-special-agent-in-charge-leo-taddeo-at-blackshades-press-conference

6. Botnets | Malwarebytes Labs, https://www.malwarebytes.com/blog/threats/botnets

7. Southern District of New York | Manhattan U.S. Attorney And FBI Assistant Director-In-Charge Announce Charges In Connection With Blackshades Malicious Software That Enabled Users Around The World To Secretly And Remotely Control Victims' Computers - Department of Justice, https://www.justice.gov/usao-sdny/pr/manhattan-us-attorney-and-fbi-assistant-director-charge-announce-charges-connection

8. Google Aurora Attackers Still On Loose, Symantec Says - Dark Reading, https://www.darkreading.com/cyberattacks-data-breaches/google-aurora-attackers-still-on-loose-symantec-says

9. What is an Advanced Persistent Threat (APT)? - Cybereason, https://www.cybereason.com/blog/advanced-persistent-threat-apt

10. Operation Aurora: Clues in the Code | SOPHOS, https://www.sophos.com/en-us/blog/research-20913

11. What Is Cyber Espionage? - Fortinet, https://www.fortinet.com/uk/resources/cyberglossary/cyber-espionage

12. Operation Aurora to Volt Typhoon: How Adversaries Got Faster, Stealthier, and Supply Chain Savvy. - IBM Community, https://community.ibm.com/community/user/blogs/abhishek-gadagi/2026/06/11/operation-aurora-to-volt-typhoon-how-adversaries-g

13. Hydraq, Software S0203 - MITRE ATT&CK®, https://attack.mitre.org/software/S0203/

14. On Shady Rats | Council on Foreign Relations, https://www.cfr.org/articles/shady-rats

15. Operation Shady RAT - Wikipedia, https://en.wikipedia.org/wiki/Operation_Shady_RAT

16. Targeted Attacks and Operation Aurora, https://www.iij.ad.jp/en/dev/iir/pdf/iir_vol07_infra_EN.pdf

17. Vulnerabilities Weekly Summary Ending July 29 – Cyber - West Oahu, https://westoahu.hawaii.edu/cyber/vulnerability-research/vulnerabilities-weekly-summaries/vulnerabilities-weekly-summary-ending-july-29/

18. Sofacy, APT 28, Fancy Bear, Sednit - Threat Group Cards: A Threat Actor Encyclopedia, https://apt.etda.or.th/cgi-bin/showcard.cgi?g=Sofacy%2C%20APT%2028%2C%20Fancy%20Bear%2C%20Sednit

19. Fancy Bear — Definition & Meaning | Model Diplomat, https://modeldiplomat.com/learn/glossary/fancy-bear

20. Threat Group Cards v2.0 (PDF), https://apt.etda.or.th/img/Threat_Group_Cards_v2.0.pdf

21. FBI arrests 100 hackers over Blackshades malware | Hacking - The Guardian, https://www.theguardian.com/technology/2014/may/19/fbi-arrests-100-hackers-blackshades-rat-backdoor-malware

22. Cyberwarfare by Russia - Wikipedia, https://en.wikipedia.org/wiki/Cyberwarfare_by_Russia

23. APT28, an evolution of tradecraft - Sekoia.io Blog, https://blog.sekoia.io/apt28-an-evolution-of-tradecraft/

24. Fancy Bear - Wikipedia, https://en.wikipedia.org/wiki/Fancy_Bear

25. GhostNet - Wikipedia, https://en.wikipedia.org/wiki/GhostNet

26. Tracking GhostNet: Investigating a Cyber Espionage Network - The Citizen Lab, https://citizenlab.ca/wp-content/uploads/2017/05/ghostnet.pdf

27. Cyberconflicts and National Security | United Nations, https://www.un.org/en/chronicle/article/cyberconflicts-and-national-security

28. Tracking GhostNet: investigating a cyber espionage network - ORA, https://ora.ox.ac.uk/objects/uuid:6d1260fd-b8ee-4a11-8a5f-e7708d543651

29. Tracking GhostNet: Investigating a Cyber Espionage Network - The Citizen Lab, https://citizenlab.ca/research/tracking-ghostnet-investigating-a-cyber-espionage-network/

30. Red October in January: The Cyber Espionage Era - Cisco Blogs, https://blogs.cisco.com/security/red-october-in-january-the-cyber-espionage-era

31. Meet Red October, the latest cyber-spy malware for digital espionage | CSO Online, https://www.csoonline.com/article/545962/meet-red-october-the-latest-cyber-spy-malware-for-digital-espionage.html

32. Kaspersky Labs finds "Red October" cyber-espionage malware - CBS News, https://www.cbsnews.com/news/kaspersky-labs-finds-red-october-cyber-espionage-malware/

33. “Red October” Diplomatic Cyber Attacks Investigation | Securelist, https://securelist.com/red-october-diplomatic-cyber-attacks-investigation/36740/

34. Kaspersky releases Red October report - The Mail & Guardian, https://mg.co.za/news/tech/2013-01-21-kaspersky-releases-red-october-report/

35. Operation Red October - Mario Rojas Chinchilla - Medium, https://mariorojaschin.medium.com/operation-red-october-cb75d2d0d2d1

36. Turla, Waterbug, Venomous Bear - Threat Group Cards: A Threat Actor Encyclopedia, https://apt.etda.or.th/cgi-bin/showcard.cgi?g=Turla%2C%20Waterbug%2C%20Venomous%20Bear

37. Uroburos, Software S0022 - MITRE ATT&CK®, https://attack.mitre.org/software/S0022/

38. Turla (Threat Actor) - Malpedia, https://malpedia.caad.fkie.fraunhofer.de/actor/turla

39. Over the Kazuar's Nest: Cracking Down on a Freshly Hatched Backdoor Used by Pensive Ursa (Aka Turla) - Unit 42, https://unit42.paloaltonetworks.com/pensive-ursa-uses-upgraded-kazuar-backdoor/

40. APT trends report Q2 2019 - Securelist, https://securelist.com/apt-trends-report-q2-2019/91897/

41. DarkComet - Wikipedia, https://en.wikipedia.org/wiki/DarkComet

42. Campaign Targeting Syrian Activists Escalates with New Surveillance Malware, https://www.eff.org/deeplinks/2012/04/campaign-targeting-syrian-activists-escalates-with-new-surveillance-malware

43. Trojan Hidden in Fake Revolutionary Documents Targets Syrian Activists, https://www.eff.org/deeplinks/2012/05/trojan-hidden-fake-revolutionary-documents-targets-syrian-activists

44. Syria's digital civil war - openDemocracy, https://www.opendemocracy.net/en/syrias-digital-civil-war/

45. UK's relations with Saudi Arabia and Bahrain (8th October 2013), https://publications.parliament.uk/pa/cm201314/cmselect/cmfaff/writev/bahrain/sab52.htm

46. Blackshades RAT - Krebs on Security, https://krebsonsecurity.com/tag/blackshades-rat/

47. FinFisher - Wikipedia, https://en.wikipedia.org/wiki/FinFisher

48. Elusive FinFisher Spyware Identified and Analyzed | Electronic Frontier Foundation, https://www.eff.org/deeplinks/2012/07/elusive-finfisher-spyware-identified-and-analyzed

49. Final statement after examination of complaint: Privacy International & Gamma International UK Ltd, https://assets.publishing.service.gov.uk/media/5dd4154440f0b606eab6423c/UK-NCP-Final-statement-complaint-Privacy-International-Gamma-International-UK-Ltd.pdf

50. Kingdom of Bahrain accused of using FinFisher spyware on UK-based dissidents, https://www.leighday.co.uk/news/press-releases/2022-news/kingdom-of-bahrain-accused-of-using-finfisher-spyware-on-uk-based-dissidents/

51. From Bahrain With Love: FinFisher's Spy Kit Exposed - The Citizen Lab, https://citizenlab.ca/research/from-bahrain-with-love-finfishers-spy-kit-exposed/

52. WeLiveSecurity.com @ESETresearch ESET GitHub, https://www.eset.com/fileadmin/ESET/CZ/Threat-report/Q2-2020_Threat_Report.pdf

53. InvisiMole - Threat Group Cards: A Threat Actor Encyclopedia, https://apt.etda.or.th/cgi-bin/showcard.cgi?g=InvisiMole

54. ESET researchers reveal modus operandi of the elusive InvisiMole group as it targeted military and diplomatic entities, https://www.eset.com/ca/about/newsroom/press-releases/eset-researchers-reveal-modus-operandi-of-the-elusive-invisimole-group-as-it-targeted-military-and-d-2/

55. Lazarus Group, Hidden Cobra, Labyrinth Chollima - Threat Group Cards: A Threat Actor Encyclopedia, https://apt.etda.or.th/cgi-bin/showcard.cgi?g=Lazarus%20Group%2C%20Hidden%20Cobra%2C%20Labyrinth%20Chollima

56. Lazarus - Threat Actor | FortiGuard Labs, https://www.fortiguard.com/threat-actor/5537/lazarus

57. Actor Lazarus Group - IBM X-Force Exchange, https://exchange.xforce.ibmcloud.com/collection/Actor-Lazarus-Group-0bf5e50d24445f94d6b2d744dc6c63a2

58. Lazarus Group, Labyrinth Chollima, HIDDEN COBRA, Guardians of Peace, ZINC, NICKEL ACADEMY, Diamond Sleet, Group G0032 | MITRE ATT&CK®, https://attack.mitre.org/groups/G0032/

59. Sony Attack by Destover Malware. Part of Cyphort Malware Most Wanted Series. | PPTX, https://www.slideshare.net/slideshow/cyphort-malware-mostwantedsonydestover/44055109

60. APT Case RUAG, https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2017/02/20081149/Report_Ruag-Espionage-Case.pdf

61. FBI Cyber Division - Public Intelligence, https://info.publicintelligence.net/FBI-BlackshadesAlert-1.pdf

62. Blackshades - Wikipedia, https://en.wikipedia.org/wiki/Blackshades

63. International Blackshades Malware Takedown - FBI, https://www.fbi.gov/news/stories/international-blackshades-malware-takedown-1

64. Blackhat Europe 2018v3 (8), https://i.blackhat.com/eu-18/Wed-Dec-5/eu-18-DelRosso-Under-the-SEA.pdf

65. Duqu is back: Kaspersky Lab reveals cyberattack on its corporate network that also hit high profile victims in Western countries, the Middle East and Asia, https://www.kaspersky.com/about/press-releases/duqu-is-back-kaspersky-lab-reveals-cyberattack-on-its-corporate-network-that-also-hit-high-profile-victims-in-western-countries-the-middle-east-and-asia

66. THE DUQU 2.0, https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07205202/The_Mystery_of_Duqu_2_0_a_sophisticated_cyberespionage_actor_returns.pdf

67. Duqu 2.0 – The cyber war continues on a new level - Splunk, https://www.splunk.com/en_us/blog/security/duqu-2-0-the-cyber-war-continues-on-a-new-level.html

68. Duqu - Wikipedia, https://en.wikipedia.org/wiki/Duqu

69. What the scandal with Kaspersky Lab and the NSA is all about, https://www.kaspersky.com/blog/kaspersky-in-the-shitstorm/19794/

70. Equation Group - Model Diplomat, https://modeldiplomat.com/learn/glossary/equation-group

71. Equation Group: The Crown Creator of Cyber-Espionage - Kaspersky, https://www.kaspersky.es/about/press-releases/equation-group-the-crown-creator-of-cyber-espionage

72. Sophisticated Global Spyware Operation Linked to NSA - PCMag, https://www.pcmag.com/news/sophisticated-global-spyware-operation-linked-to-nsa

73. DOUBLEFANTASY - Threat Group Cards, https://apt.etda.or.th/cgi-bin/listgroups.cgi?t=DOUBLEFANTASY

74. EQUATION GROUP: QUESTIONS AND ANSWERS, https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/08064459/Equation_group_questions_and_answers.pdf

75. House of Commons - Defence Committee: Written evidence from McAfee - Parliament UK, https://publications.parliament.uk/pa/cm201213/cmselect/cmdfence/106/106vw09.htm

76. 2015 Ukraine power grid hack - Wikipedia, https://en.wikipedia.org/wiki/2015_Ukraine_power_grid_hack

77. Cyberattack on Critical Infrastructure: Russia and the Ukrainian Power Grid Attacks - The Henry M. Jackson School of International Studies, https://jsis.washington.edu/news/cyberattack-critical-infrastructure-russia-ukrainian-power-grid-attacks/

78. Ukraine Cyber-Induced Power Outage: Analysis and Practical Mitigation Strategies - Schweitzer Engineering Laboratories, https://selinc.com/api/download/117044/

79. 2015 Ukraine Electric Power Attack, Campaign C0028 | MITRE ATT&CK®, https://attack.mitre.org/campaigns/C0028/

80. Power grid cyberattack in Ukraine (2015) - International cyber law: interactive toolkit, https://cyberlaw.ccdcoe.org/wiki/Power_grid_cyberattack_in_Ukraine_(2015)

81. The Evolution of Cyber Attacks on Electric Operations - Dragos, https://www.dragos.com/blog/the-evolution-of-cyber-attacks-on-electric-operations/

82. Cyber Threat Intelligence Advisory - KPMG International, https://assets.kpmg.com/content/dam/kpmgsites/in/pdf/2025/12/kpmg-ctip-kimjongrat-09-Dec-2025.pdf.coredownload.inline.pdf

83. Kimsuky APT Profile - North Korean Espionage Group TTPs & Attacks | Huntress, https://www.huntress.com/threat-library/threat-actors/kimsuky

84. Analysis of the Triple Combo Threat of the Kimsuky Group - 지니언스, https://www.genians.co.kr/en/blog/threat_intelligence/triple-combo

85. Quick Overview of Babyshark Campaign disguise as Defense-themed HWP Document, involving the Kimsuky APT Group - S2W, https://s2w.inc/en/resource/detail/751

86. BabyShark (Malware Family) - Malpedia, https://malpedia.caad.fkie.fraunhofer.de/details/win.babyshark

87. Kimsuky's Ongoing Evolution of KimJongRAT and Expanding Threats | Enki White Hat, https://www.enki.co.kr/en/media-center/blog/kimsuky-s-ongoing-evolution-of-kimjongrat-and-expanding-threats

88. Operation Shady RAT - Defence IQ, https://www.defenceiq.com/defence-technology/press-releases/operation-shady-rat

89. Operation Shady Rat – Unprecedented Cyber-Espionage Campaign and Intellectual-Property Bonanza | YaleGlobal Online, https://archive-yaleglobal.yale.edu/content/operation-shady-rat-unprecedented-cyber-espionage-campaign-and-intellectual-property-bonanza

90. Havex RAT (Malware Family) - Malpedia, https://malpedia.caad.fkie.fraunhofer.de/details/win.havex_rat

91. PRECURSOR ANALYSIS REPORT: HAVEX MALWARE IN A U.S. MANUFACTURING FACILITY 2014 - CYOTE, https://cyote.inl.gov/content/uploads/24/2025/12/CyOTE-Case-Study_Havex.pdf

92. Havex - Wikipedia, https://en.wikipedia.org/wiki/Havex