Ukrayna’ya yönelik yeni bir siber casusluk operasyonu, Rusya bağlantılı hacker gruplarının hayır kuruluşları ve küresel teknoloji markalarının itibarını nasıl istismar ettiğini ortaya koydu. Lab52 adlı siber güvenlik firmasının tespitlerine göre, Şubat ayında başlatılan operasyonda “DrillApp” adlı bir arka kapı yazılımı kullanıldı. Bu yazılım, hedef alınan bilgisayarlardan dosya indirip yüklemeye, mikrofon aracılığıyla ses kaydetmeye ve web kamerasından görüntü yakalamaya olanak tanıyor.
DrillApp Adlı Casus Yazılımın İşleyiş Mekanizması
Siber güvenlik araştırmacıları, tespit edilen casus yazılımın oldukça gelişmiş yeteneklere sahip olduğunu belirtiyor. Zararlı yazılım, kurbanın cihazına sızdıktan sonra dosya sistemine tam erişim sağlıyor ve uzaktan kontrol imkanı sunuyor. Yazılımın en dikkat çekici özelliği ise ekran kaydı alabilmesi ve çevresel sesleri kaydetmesi.
Uzmanlar, bu tür yazılımların genellikle gelişiminin erken aşamalarında tespit edildiğini, ancak DrillApp’in şimdiden iki farklı versiyonunun kullanıldığını kaydediyor. Versiyonlar arasındaki temel fark, kullanılan tuzak mekanizmalarında yatıyor. Her iki versiyon da benzer casusluk yeteneklerine sahip.
Saldırının teknik analizi, hackerların sürekli yeni yöntemler denediğini gösteriyor. Bu durum, siber tehdit aktörlerinin güvenlik önlemlerini aşmak için sürekli yenilik yaptığının bir göstergesi olarak değerlendiriliyor. Lab52’nin siber güvenlik raporuna göre, tespit edilen operasyon nispeten yeni taktikler içeriyor.
Hayır Kuruluşu ve Starlink Kimliğine Bürünme Taktikleri
Siber saldırının en çarpıcı yönü, hackerların Ukrayna’nın tanınmış hayır kuruluşu “Come Back Alive” (Yaşayarak Dön) ve Starlink uydu internet sisteminin kimliğine bürünmesi. Saldırganlar, kurbanları kandırmak için hayır kuruluşundan geliyormuş gibi görünen veriler kullandı. Bu kuruluş, Ukrayna Silahlı Kuvvetleri’ne destek sağlayan önemli bir sivil toplum örgütü.
İkinci maskelenme yöntemi ise Starlink terminallerinin doğrulama sistemiyle ilgili. Ukrayna, Rus kuvvetlerinin Starlink teknolojisini saldırı drone’larında kullanmaya başladığını doğruladıktan sonra Şubat başında bir doğrulama sistemi uygulamaya koymuştu. Hackerlar, bu yeni doğrulama sürecini taklit eden veriler oluşturarak kurbanları tuzağa düşürmeyi başardı.
Bu taktik, siber saldırganların güncel olayları ve kurumsal süreçleri nasıl yakından takip ettiğini gösteriyor. Hayırseverlik temasının kullanılması, özellikle savaş koşullarında insani duyarlılıkların siber saldırılarda nasıl istismar edilebileceğinin endişe verici bir örneğini oluşturuyor.
Rus Askeri İstihbaratı ile Bağlantı Kanıtları
Siber güvenlik araştırmacıları, Laundry Bear olarak bilinen hacker grubunu bu operasyondan sorumlu tutuyor. Grup, Void Blizzard adıyla da tanınıyor ve en az 2024’ten beri faaliyet gösteriyor. Araştırmacılar, grubun taktiklerinin Rus askeri istihbarat grubu APT28 (Fancy Bear) ile benzerlikler taşıdığını tespit etti.
Microsoft’un daha önceki raporları, bu grubun Ukrayna’daki eğitim, ulaştırma ve savunma sektörlerindeki kuruluşlara sızmada başarılı olduğunu ortaya koymuştu. Grup, nispeten basit ancak tespit edilmesi zor teknikler kullanmasıyla biliniyor ve faaliyetlerinin odağında siber casusluk bulunuyor.
Ukrayna’nın Siber Tehditlere Müdahale Ekibi CERT-UA, 2026 yılı başında aynı grubun ülkenin silahlı kuvvetlerine yönelik ayrı bir operasyon yürüttüğünü bildirmişti. Bu operasyonlarda da hayırseverlik temalı tuzaklar ve kamuya açık metin paylaşım servislerinin kullanıldığı görülmüştü.
Batı Teknolojilerinin Zafiyetleri Nasıl Kullanılıyor?
Saldırının teknik analizi, hackerların Microsoft Edge gibi yaygın web tarayıcılarını kötü amaçlı yazılım dağıtım aracı olarak kullandığını ortaya çıkardı. Tarayıcılar, cihazların kamera, mikrofon ve ekran kaydı gibi hassas işlevlerine meşru erişim sağladığı için, antivirüs yazılımları tarafından şüpheli olarak işaretlenmiyor.
Bu yöntem, siber saldırganların geleneksel güvenlik önlemlerini atlatmak için giderek daha sofistike teknikler geliştirdiğini gösteriyor. Tarayıcı tabanlı saldırılar, kötü amaçlı faaliyetlerin tespit edilmesini önemli ölçüde zorlaştırıyor ve güvenlik uzmanları için yeni mücadele alanları oluşturuyor.
Uzmanlar, bu tür saldırıların yalnızca antivirüs yazılımlarıyla önlenemeyeceğini, kurumların daha katı dijital hijyen protokolleri uygulaması gerektiğini vurguluyor. Özellikle hassas yapıdaki kuruluşların e-posta güvenliği, kimlik doğrulama ve sistem erişim kontrollerini güçlendirmesi öneriliyor.
NATO Ülkelerine Yönelik Tehdit ve Küresel Etkiler
Laundry Bear grubunun faaliyetleri yalnızca Ukrayna ile sınırlı değil. Araştırmacılar, grubun NATO üyesi ülkelerdeki kuruluşları da hedef aldığını tespit etti. Bu durum, siber tehdidin bölgesel sınırları aşarak küresel bir güvenlik sorununa dönüştüğünü gösteriyor.
Ukrayna’nın siber saldırılara karşı mücadelesi, Batılı ülkeler için erken uyarı sistemi işlevi görüyor. Rusya’nın Ukrayna’da test ettiği siber savaş teknikleri, gelecekte Avrupa’nın kritik altyapısına yönelik saldırılarda kullanılabilir. Bu nedenle, Ukrayna’daki siber güvenlik deneyimlerinden öğrenmek uluslararası toplum için stratejik önem taşıyor.
Siber uzmanları, Rusya’nın hibrit savaş stratejisinin ayrılmaz bir parçası olan siber casusluk faaliyetlerinin, Avrupa siber uzayında sürekli bir tehdit oluşturduğuna dikkat çekiyor. Devlet destekli bu operasyonlar, geleneksel savaş alanlarının ötesine geçen yeni bir çatışma alanı yaratıyor.
Siber Güvenlikte İş Birliğinin Önemi
Saldırının tespiti ve analizi, uluslararası iş birliğinin siber güvenlikteki kritik rolünü bir kez daha gösterdi. Ukrayna’nın CERT-UA birimi, Batılı siber güvenlik firmaları ve Microsoft gibi teknoloji devleri arasındaki bilgi paylaşımı, bu tür sofistike saldırıların ortaya çıkarılmasında belirleyici oldu.
Uzmanlar, siber tehditlere karşı etkili mücadelenin ancak sınır ötesi iş birliğiyle mümkün olabileceğini vurguluyor. Erken uyarı sistemleri, tehdit istihbaratı paylaşımı ve ortak müdahale protokolleri, gelecekteki saldırıların etkisini azaltmak için hayati önem taşıyor.
Siber güvenlik alanındaki bu gelişmeler, devletlerin ve özel sektörün dijital savunma stratejilerini yeniden değerlendirmesi gerektiğini gösteriyor. Teknolojik bağımlılıkların ve zafiyetlerin istismar edilmesi, küresel dijital altyapının dayanıklılığını artırmak için yeni yaklaşımları zorunlu kılıyor.
