Uzun soluklu bir siber casusluk operasyonu olan Pawn Storm, Türkiye Büyük Millet Meclisi ve Başbakanlığı içeren hükümete ait ofisleri ve Türkiye’nin en çok okunan gazetelerinden birini hedef listesine aldı. Pawn Storm operasyonu; silahlı kuvvetler, diplomatlar, gazeteciler, siyasi muhalifler ve yazılım geliştiriciler olmak üzere birçok kesimden personeli hedef almasıyla biliniyor.
Bu hedeflerin birçoğu ise, Rus politikası adına tehdit oluşturma ihtimallerine karşılık ortak paydada buluşuyor. Türkiye’ye karşı gerçekleştirilen bu saldırıların 2015 yılının sonbahar-yaz aylarında gerçekleştirilen, Rusya’nın Suriye’deki müdahelelerine karşı sesini duyurmak isteyen tüm Arap ülkelerini ve Suriyeli muhalifleri hedef alan daha önceki Pawn Storm vakalarıyla bağlantılı olduğunu düşünüyoruz.
Trend Micro olarak bizler, saldırılar hakkında Türkiye’deki yetkili şahıslara gerekli uyarılarda bulunduk ve bu saldırıların neden olabileceği gözden kaçması muhtemel hasarları hafifletmede yardımcı olduk.
Pawn Storm siyasi ve jeopolitik önemi olan ülkelerden bilgi edinmeye oldukça önem verirken, saldırganların Türkiye’yi hedef almasının altında birçok neden yatıyor:
- Rusya ile çeşitli nedenlerden kaynaklanan anlaşmazlıklar
- Türkiye yoluyla Avrupa sınırlarına ulaşmak isteyen mülteci akınları
Tüm veriler bir araya geldiğinde, Pawn Storm gibi bir operasyonun Türkiye’yi hedef listesine eklemesi çok da şaşırtıcı değil. Örneğin; Türkiye’de hedefe yönelik bir dizi sahte Outlook Web Access (OWA) sunucularıyla da karşılaşmıştık. OWA kullanıcılarına karşı gerçekleştirilen oltalama (phishing) saldırılarının maliyeti saldırganlar için düşükken, yapılan saldırılar oldukça hassas bilgileri ele geçirmek açısından büyük önem taşıyordu. Daha önceki yazılarımızda da değindiğimiz üzere Pawn Storm, e-posta bilgilerini ifşa ederek kurbanların hesaplarını ele geçirmek üzere gelişmiş sosyal mühendislik numaralarını kullanmıştır.
Aşağıdaki listede, bahsi geçen OWA sunucularının tespit edildiği hedefleri sıraladık:
- T.C. Başbakanlık Basın Yayın ve Enformasyon Genel Müdürlüğü (14 Ocak – 2 Şubat 2016)
- Türkiye Büyük Millet Meclisi (3-19-26 Ocak 2016)
- Hürriyet (17, 24, 29 Şubat 2016)
- Başbakanlık (29 Şubat 2016)
TBMM’nin de yer aldığı yukarıdaki liste, Pawn Storm’un Türkiye’nin politik önem taşıyan bilgilerinin izinde olabileceğini gösteriyor. Gerçek şu ki Türkiye’nin başlıca gazetelerinden birine en az iki sahte OWA sunucusu kurulmuş olması, saldırganların delil amaçlı kullanmak üzere Türk medyasını ilgilendiren güncel haberlerin de izinde olduklarını gösteriyor.
Pawn Storm, Türkiye’ye karşı gerçekleştirdiği saldırılarda merkezi Hollanda’da yer alan bir ağ altyapısından faydalanıyor. Saldırganlar, Birleşik Arap Emirlikleri’nde posta adreslerinin bulunduğu VPS sunucuları ve Hollanda’da sunucuların yer aldığı veri merkeziyle birlikte rahat bir yer edinmişe benziyor. Pawn Storm’un DustySky ve Carbanak gibi çeşitli tehdit gruplarıyla birlikte VPS sunucusunu kullanması, ilk kez gerçekleşen bir olay değil. Bahsi geçen sunucu Rusya’nın en büyük bankalarından birinin kullanıcılarını da hedef almak üzere kullanılmıştı. Bu da saldırganların Hollanda’da bulunan sunucularının kurşun geçirmez bir zırh gibi sağlam olduğunu gösteriyor.