Trace Id is missing

İran, Hamas yanlısı siber destekli etki operasyonlarına hız verdi

İndir
Paylaş

Giriş

İran, 7 Ekim 2023'te İsrail-Hamas Savaşı başlar başlamaz Hamas'a destek vermeye başladı. Siber destekli etki operasyonu olarak adlandırdığımız ve şu ana kadar İran'ın test edip geliştirdiği hedefli korsan saldırıları ile etki operasyonlarını sosyal medyada genişletme tekniğinden yararlandı.1 İran'ın operasyonları ilk etapta tepkisel ve fırsata dayalı nitelikteydi. Ekim sonlarına doğru ise İran'ın neredeyse tüm etki ve büyük çaplı siber aktörleri İsrail'e odaklanarak İsrail'e karşı oldukça hedefli, koordine ve yıkıcı yöntemlerle adeta "topyekun bir sefer" başlattı. İran'ın geçmişteki bazı siber saldırılarının aksine bu savaşta İsrail'e karşı hem gerçek hem de asılsız yıkıcı siber saldırılarının tamamına çevrimiçi etki operasyonlarının da eşlik ettiği görüldü.

Başlıca terimlerin tanımı

  • Siber destekli etki operasyonları 
    Hedef kitlelerin algı, davranış veya kararlarını belirli bir grup veya milletin menfaat veya hedeflerine uygun hale getirme amacıyla bilgisayar ağlarına saldırı düzenleme ile mesaj verip etki genişletme faaliyetlerini koordine ve yanıltıcı bir şekilde bir araya getiren operasyonlar.
  • Siber kişilik 
    Bir siber operasyonun sorumluluğunu üstlenerek asıl sorumlu grup veya devlete makul düzeyde inkar etme olanağı tanıyan, halka açık ve kurgusal grup veya kişi.
  • Kukla 
    Aldatma amacıyla kurgusal veya çalıntı kimliklerden yararlanan sahte çevrimiçi kişilik.

Savaş ilerledikçe etki operasyonları giderek daha karmaşık bir hal aldı. Gerçeği yansıtmayan unsurlar çoğalırken sosyal medyada "kukla" hesap şebekeleri kullanılmaya başladı. Bu etki operasyonları savaş boyunca, İsraillilere gözdağı vermenin yanı sıra İsrail hükumetinin rehineler konusunda benimsediği davranışları eleştirerek İsrail'i kutuplaştırmayı ve bunun sonucunda istikrarsızlaştırmayı amaçladı.

İlerleyen evrelerde İran, İsrail'in askeri operasyonlarını sarsmak için siber saldırılarını ve etki operasyonlarını İsrail'in siyasi müttefikleri ile ekonomik iş ortaklarını da kapsayacak şekilde genişletti.

İran'ın siber ve etki operasyonlarının teşkil ettiği tehdidin çatışma sürdükçe, özellikle de savaşın yeni cephelere sıçrama potansiyelinin arttığı bu dönemde büyümesini bekliyoruz. İranlı ve İran'la ilişkili aktörlerin daha cüretkar davranması ve kendi aralarındaki iş birliğinin giderek artması, Kasım'da yapılacak ABD seçimlerinden arifesinde, büyüyen bir tehdit arz ediyor.

Hamas'ın 7 Ekim'de gerçekleştirdiği terör saldırısından bu yana İran'ın siber ve etki operasyonları birden fazla evreden geçti. Ancak bu operasyonların bir unsuru süreç boyunca sabit kaldı: Hem fırsatçı siber hedefleme hem de tesirin doğrulunu veya kapsamını çoğunlukla yanlış tasvir eden etki operasyonları birlikte kullanıldı.

Bu raporda İran'ın 7 Ekim'den 2023'ün sonuna kadar yürüttüğü etki ve siber destekli etki operasyonları ele alınmış, 2023 Baharına kadar kaydedilen eğilim ve operasyonlara da yer verilmiştir.

İsrail-Hamas savaşında İran'ın siber destekli etki operasyonlarının evrelerini gösteren grafik

1. Evre: tepkisel ve yanıltıcı

İranlı gruplar İsrail-Hamas savaşının ilk evresinde tepkisel bir tutum sergiledi. İran kamu yayın kuruluşları siber saldırılarla ilgili yanıltıcı ayrıntılara yer verirken İranlı gruplar ise geçmiş operasyonlara ait eski materyallerden yararlandı, savaş öncesinde elde edilen mevcut erişimi yeni amaca uygun hale getirdi ve üstlendiği siber saldırıların kapsam ve etkisini genel anlamda gerçekte olduğundan daha büyük gösterdi.

Microsoft, savaşın neredeyse dördüncü ayına girdiğimiz bu döneme kadar elde ettiği verilerde, İranlı grupların siber veya etki operasyonları ile Hamas'ın 7 Ekim'de İsrail'e saldırı planı arasında herhangi bir koordinasyon gerçekleştirdiğine dair kesin kanıt tespit edememiştir. Elde ettiğimiz birçok veri ve bulgu, koordinasyonun aksine İranlı siber aktörlerin tepkisel davranışlar sergilediğini, İsrail'e yönelik siber ve etki operasyonlarına Hamas'ın saldırıları sonrasında hızla ivme kazandırdığını göstermektedir.

Kamu yayın kuruluşlarının saldırı iddiaları hakkında paylaştığı yanıltıcı ayrıntılar: 
İslam Devrimi Muhafızları Ordusu ile ilişkili İranlı bir haber kuruluşu olan Tasnim Haber Ajansı'nın savaşın başladığı gün yaptığı haberde "Cyber Avengers" adlı grubun İsrail'deki bir enerji tesisine yönelik siber saldırı gerçekleştirdiği belirtildi. Bu saldırıların Hamas saldırılarıyla "aynı anda" düzenlendiğine dair gerçeği yansıtmayan ayrıntılara yer verildi. 2 İslam Devrimi Muhafızları Ordusu tarafından işletilen Cyber Avengers siber kişiliği, Hamas'ın düzenlediği harekattan bir önceki günün akşamında İsrail'deki bir elektrik şirketine karşı siber saldırı düzenlediğini iddia etti.3 Haftalar önce yayınlanmış ve "son yıllara ait" elektrik kesintisi başlıklarını ve şirketin web sitesindeki tarihsiz bir hizmet kesintisi bildiriminin ekran görüntüsünü delil olarak sundu. 4
Önceden edinilmiş materyal kullanımı: 
Cyber Avengers, Hamas'ın İsrail'e karşı düzenlediği saldırıdan sonra bir dizi siber saldırıda İsrail'i hedef aldığını iddia etti. Yürüttüğümüz araştırmalar, bu saldırılardan ilkinin asılsız olduğunu ortaya koydu. Grup, 8 Ekim'de İsrail'deki bir güç santraline ait belgeleri sızdırdığını iddia etti. Ancak bu belgeler İslam Devrimi Muhafızları Ordusu'nun işlettiği bir diğer siber kişilik olan "Moses Staff" tarafından daha önce, Haziran 2022'de yayınlanmıştı.5
Önceden sağlanan erişimden yararlanma: 
Değerlendirmelerimize göre İran'ın İstihbarat ve Güvenlik Bakanlığı tarafından işletilen "Malek Team" ise 8 Ekim'de İsrail'deki bir üniversiteden kişisel veri sızdırdı. Hedefleme bakımından, bölgede meydana gelen çatışmayla somut herhangi bir bağlantı bulunmaması, saldırının fırsata dayalı bir şekilde gerçekleştiğini belki de savaştan önce sağlanmış bir erişime göre tercih edildiğini gösteriyor. Malek Team, sızdırılan verileri Hamas'ın operasyonlarıyla ilişkilendirmek yerine önce X'te (eski adıyla Twitter) Hamas'ı destekleyen diyez etiketleri kullandı. İsrail Başbakanı Binyamin Netanyahu'yu aşağılayan ve diğer İran etki operasyonlarında da gözlemlenen türde mesajlar vermeye ancak günler sonra başladı.
Dünya genelinde İran propagandası tüketimini gösteren ve zaman çizelgesi ile trafik hacmine yer veren grafik
Şekil 2: Microsoft Tehdit Analizi, İran propagandasının ülkeye göre tüketimi, İsrail'e karşı düzenlenen Hamas saldırıları. Nisan-Aralık 2023 arasındaki faaliyetleri gösteren grafik.
İran'ın etki operasyonları en çok savaşın ilk günlerinde etkili oldu 
İran devlet medyasıyla ilişkili yayınlara erişimde İsrail-Hamas Savaşı'nın çıkmasıyla ani bir artış gerçekleşti. Çatışmanın ilk haftasında Microsoft AI for Good Laboratuvarı'nın İran Propaganda Endeksi'nde %42 artış gözlemlendi. Bu endeks, İran devletine bağlı veya iltisaklı haber kaynaklarında yayınlanan haberlerin tüketimini izliyor (Bkz. Şekil 1). Endekste ayrıca bu siteleri ziyaret eden trafik hacmi ile internetteki toplam trafik hacmi oranlanıyor. Bu artışın ABD'nin yakın müttefiki olan ve İngilizce konuşulan ülkelerde özellikle büyük ölçekte olması (Şekil 2), İran'ın Orta Doğu'daki çatışmaları konu alan haberleriyle Batı'daki kitlelere erişebilme becerisini ortaya koyuyor. Savaşın ikinci ayınca girildiğinde bu İranlı kaynakların erişimi dünya geneli savaş öncesi düzeyin %28 ila %29 üzerinde kaldı.
İran'ın siber saldırı barındırmayan etki faaliyetlerinde çeviklik göze çarpıyor 
İran etki operasyonlarının, savaşın ilerleyen dönemlerindeki birleşik siber ve etki operasyonlarına nazaran savaşın ilk günlerinde daha çevik ve etkili olduğu göze çarpıyor. Muhtemelen İran devletine bağlı olan ve Storm-1364 adıyla izlediğimiz bir aktör, Hamas'ın İsrail'e düzenlediği saldırı ardından günler içinde "Tears of War" adında bir çevrimiçi kişilik kullanarak etki operasyonuna başladı. İsrailli aktivist kılığına bürünen bu kişilik birden çok sosyal medya ve mesajlaşma platformunda İsrailli kitlelere Netanyahu karşıtı mesajlar ulaştırmaya çalıştı. Storm-1364 ekibinin bu saldırı kampanyasını 7 Ekim'in ardından bu denli kısa bir süre içinde başlatabilmesi, grubun çevikliğini göstermekle kalmayıp yalnızca etki türü saldırı kampanyalarının avantajlarını ortaya koyuyor: Yalnızca etki türündeki saldırı kampanyalarında, siber destekli etki operasyonlarının aksine siber etkinlik tarafını bekleme ihtiyacı bulunmadığından daha kısa sürede hayata geçirilebiliyor.

2. Evre: Seferberlik

Ekim ortasından sonuna doğru, odak noktasını İsrail'e çeviren İranlı grupların sayısının arttığını gözlemledik. İran'ın bu evreye kadar daha çok tepkisel, asılsız ya da hem tepkisel hem asılsız olan siber destekli etki operasyonları, yerini hedeflerin aktif olarak belirlendiği, daha yıkıcı operasyonlara bıraktı. Bu saldırılar arasında veri silme, fidye yazılımı kullanımı ve gözlemlendiği üzere nesnelerin İnterneti (IoT) tipi bir cihazda değişiklik yapılması yer aldı.6 İranlı gruplar arasında koordinasyonun da arttığına dair kanıtlar da gözlemledik.

Microsoft Tehdit Analizi savaşın ilk haftasında İsrail'i hedefleyen dokuz etkin İranlı grup tespit etti. Savaşın 15. gününe gelindiğinde bu rakam 14'e ulaştı. Bazı izlemlerde Devrim Muhafızları veya İran istihbaratı ilişkili birden çok grubun aynı kurum veya askeri üssü siber ya da etki faaliyetlerinde hedef aldığını gözlemledik. Bu durum, aktörlerin koordine bir şekilde hareket ettiğini veya Tahran'da ortak hedefler belirlendiğini ya da bu olasılıklardan her ikisinin de geçerli olabileceğini gösteriyor.

Siber destekli etki operasyonları da artış gösterdi. Savaşın ilk haftasında İsrail'e yönelik alelacele devreye sokulan dört siber destekli etki operasyonu gözlemledik. Ekim sonuna gelindiğinde bu tür operasyonların sayısı iki katın üzerinde artış gösterdi. Bu operasyonlar şu ana kadarki en yüksek tempoya oldukça kısa bir sürede ulaştı (Bkz. Şekil 4).

Görsel: Sembollerin, Tehdit Analizi'nin ve Devrim Muhafızları Ordusu'nun yer aldığı İran siber ve etki bağlantıları
İran'ın siber etki operasyonlarının zaman çizelgesi: Hamas savaşı sırasında artış, 2021-2023

İslam Devrimi Muhafızları'na bağlı olan ve Microsoft'un Storm-0784 kod adıyla izlediği Şehit Kave Grubu, özelleştirilmiş fidye yazılımı kullanarak 18 Ekim'de İsrail'deki güvenlik kameralarına karşı siber saldırı düzenledi. Daha sonra, siber kişiliklerinden biri olan "Soldiers of Solomon" üzerinden yayınladığı asılsız iddialarda Nevatim Hava Üssü'ne ait güvenlik kameraları ve veriler için fidye talep ettiğini duyurdu. Soldiers of Solomon tarafından sızdırılan güvenlik kayıtlarının incelenmesiyle görüntülerin Nevatim Hava Üssü'ne değil, Tel Aviv'in kuzeyinde yer alan ve aynı adı taşıyan bir sokağa ait olduğu öğrenildi. Öyle ki kurbanların konumları da incelendikten sonra hiçbirinin askeri üssün yakınında bulunmadığı anlaşıldı (Bkz. Şekil 5). İranlı gruplar her ne kadar yıkıcı saldırılara başlamış olsa da yürütülen operasyonların çoğu fırsatçı nitelikteydi ve saldırıların gerçekliğini veya etkisini olduğundan büyük göstermek için etki çalışmalarından yararlanmaya devam ediyordu.

İslam Devrimi Muhafızları Ordusu grubu Cotton Sandstorm (daha yaygın olarak bilinen adıyla Emennet Pasargad) tarafından işletilen başka bir siber kişiliğin 21 Ekim'de paylaştığı videoda, saldırganların sinagoglardaki ekranlara erişim sağladığı ve İsrail'in Gazze'deki operasyonlarını "soykırım" olarak değerlendiren mesajlar yayınladığı gösterildi. 7 Bu gelişmeyle, görece kolay erişilebilir hedeflere yönelik mesaj yerleştirme yöntemi kullanılmış oldu.

Bu evrede, İran'ın etki faaliyetlerindeki gerçek olmayan etki genişletme biçimlerinin kapsamı ve karmaşıklığı daha ileri bir düzeye taşındı. Savaşın ilk iki haftasında gerçek olmayan etki genişletme faaliyetlerinin düşük düzeylerde seyretmesi de operasyonların tepkisel nitelikte olduğunu gösteriyor. Savaşın üçüncü haftasına gelindiğinde İran'ın en aktif etki aktörü Cotton Sandstorm devreye girerek 21 Ekim'de siber destekli üç etki operasyonu başlattı. Grubun faaliyetlerinde sıkça gözlemlediğimiz üzere, bu operasyonlarda da etki genişletme amacıyla sosyal medya kukla hesaplarından oluşan bir şebeke kullanıldı. Ancak bu hesapların İsrailli gibi görünmesi için gerçekçi kılıflar geçirilmeden aceleyle devreye sokulduğu anlaşıldı. Cotton Sandstorm, operasyonların etkisini genişletme veya operasyonlarla övünme amaçlı gönderdiği kısa mesaj ve e-postalarda, ele geçirilmiş hesaplardan yararlanarak gerçeklik unsurunu artırdı.8

İran'ın siber saldırı iddiaları çürütüldü: Ortaya çıkarılan sahte fidye yazılımları, kamera kayıtları ve yanıltıcı etki operasyonları

3. Evre: genişleyen coğrafi kapsam

İranlı gruplar, İran'ın İsrail'e destek sağladığını belirlediği ülkeleri de hedeflemeye başlayarak siber destekli etki çalışmalarını İsrail'in ötesine taşımış oldu. İran bu hamleyle muhtemelen İsrail'in askeri operasyonlarına verilen uluslararası siyasi, askeri veya ekonomik desteği zayıflatmayı amaçladı. Hedeflemenin bu biçimde genişlemesi ile, Yemen'de faaliyet gösteren İran destekli Şii milis grubu Husilerin İsrail'le ilişkili uluslararası kargo gemilerine saldırması aynı zamana denk geldi (Bkz Şekil 8).9

  • İran'ın işlettiği "Homeland Justice" adlı siber kişilik 20 Kasım'da önce Arnavutluk'u büyük ölçekli saldırılarla hedef alacağına dair uyarı yayınladı. Daha sonra, Aralık sonunda İran istihbaratına bağlı grupların Arnavutluk'ta Meclis, ulusal havayolu şirketi ve telekomünikasyon sağlayıcılarına karşı yıkıcı nitelikte siber saldırılar düzenlediği ve bu saldırıların etkisinin genişletildiği görüldü.10
  • 21 Kasım'da Cotton Sandstorm'un işlettiği "Al-Toufan" siber kişiliği, İsrail'le ilişkilerinde normalleşmeye giden Bahreyn hükumeti ile ülkedeki finansal kuruluşları hedef aldı.
  • İslam Devrimi Muhafızları Ordusu ile ilişkili gruplar 22 Kasım'da ABD'deki ve muhtemelen İrlanda'daki İsrail menşeli programlanabilir mantıksal denetleyicileri (PLC) hedef almaya başladı. Pensilvanya'daki bir su işleri müdürlüğünde kullanılan bir cihaz 25 Kasım'da ele geçirildi (Şekil 6).11 PLC; montaj hattı, makine ve robotik cihazlar gibi üretim sürecinde kontrol amaçlı kullanılan sanayi tipi bilgisayar demektir.
  • MTAC değerlendirmelerine göre İran destekli olan "Cyber Toufan Al-Aksa" adlı kişilik, ABD'nin İsrail'e finansal destek verip İsrail ordusunu donattığı gerekçesiyle Aralık sonunda ABD'li birkaç şirketten veri sızdırdığını iddia etti.12 Ekip daha önce 16 Kasım tarihinde de şirketlere karşı veri silme saldırısı gerçekleştirdiğini duyurmuştu.13 Bu kişilik, grupla İran arasında bağlantı bulunduğunu gösteren sağlam adli kanıt olmadığından İran dışında yer alıp İran'la ilişkili başka ortaklarca işletiliyor olabilir.
Pensilvanya Su İşleri Müdürlüğü'ne ait olan, ele geçirilerek Avengers logosu yerleştirilmiş PLC, 25 Kasım.

İran'ın siber destekli etki operasyonları bu son evrede karmaşıklık açısından da ilerleme gösterdi. Kukla hesaplar daha iyi bir şekilde gizlendi. Kimilerinin adı değiştirilirken kimilerinde daha gerçekçi bir şekilde İsrailli gibi görünecek profil fotoğrafları kullanıldı. Yapay zekayı verilen mesajlarda temel bir unsur olarak kullanmak gibi İranlı aktörlerin önceki operasyonlarında görülmemiş yeni tekniklerden de yararlanıldı. Değerlendirmelerimize göre Cotton Sandstorm, Aralık ayında "For Humanity" (İnsanlık için) adlı kişilik üzerinden Birleşik Arap Emirlikleri ve diğer ülkelerde televizyon yayınında aksaklığa yol açtı. For Humanity'nin Telegram'da yayınladığı videolarda ekip, üç çevrimiçi yayın hizmetine sızıyor, birden çok haber kanalında yayını kesiyor ve yapay zekayla üretildiği anlaşılan bir spikerin sunduğu haber programını yayınlıyor. Bu sahte haber yayınının, İsrail'in askeri operasyonları sonucu yaralanan ve öldürülen Filistinlilerin görüntülerini aktardığı iddia ediliyor (Şekil 7).14 BBC dahil, BAE, Kanada ve Birleşik Krallık'taki haber kuruluşları ve izleyiciler de televizyon programlarında For Humanity'nin iddialarıyla örtüşen kesintiler yaşandığını belirtti.15

HUMANITY 2023: 8 Eki, 180 ölü 347 yaralı. Şekil 7: TV yayınına müdahale edilip yapay zekayla üretilmiş sunucu yerleştirilmesi
İran siber saldırı, uyarı ve tahribat faaliyetlerinde hedef genişleterek İsrail destekçilerini de dahil ediyor.

İran'ın operasyonları dört genel hedefe odaklandı: istikrarsızlaştırma, misilleme, gözdağı verme ve İsrail'e uluslararası desteği sarsma. Bu hedeflerin dördü de aynı zamanda İsrail'i ve destekçilerini bilgi ortamlarından mahrum bırakarak genel anlamda kafa karışıklığına ve güvensizliğe itmeyi amaçlıyor.

Kutuplaştırarak istikrarsızlaştırma 
İran, İsrail-Hamas savaşı sırasında İsrail'i hedeflerken İsrail hükumetinin savaşa yaklaşımına yönelik yurtiçi çatışmaları körüklemeye daha çok odaklandı. İran'ın birden çok etki operasyonunda İsrailli aktivist grup kimliğine bürünüldü ve İsrail hükumetinin 7 Ekim'de kaçırılıp rehin alınanlara yaklaşımını provokatif bir şekilde eleştiren mesajlar yerleştirildi.17 Netanyahu, İran'ın bu gibi mesajlarının ve görevden alınmasına dair çağrıların başlıca hedefi oldu.18
AVENGERS - Elektrik, yiyecek, su, yakıt olmayacak. Cyber Avengers, İsrail'in abluka videosunu yeniden paylaştı
Misilleme 
İran'ın verdiği mesajlar ve hedef seçimi genel anlamda operasyonların miselleme niteliğinde olduğuna işaret ediyor. Örneğin Cyber Avengers adlı kişilik, İsrail'in Gazze'yi elektriksiz, yiyeceksiz, susuz ve yakıtsız bırakacağına ilişkin İsrail Savunma Bakanı'nın açıklamalarına yer verilen bir video yayınladı (Bkz. Şekil 9). Ardından Cyber Avengers iddia edilen bir dizi siber saldırıda İsrail'in elektrik, su ve yakıt altyapısını hedef aldı.19 İsrail'in ulusal su sistemlerine yönelik önceki saldırı iddialarında "Göze göz" ifadesini kullandı. İslam Devrimi Muhafızlarıyla ilişkili Tasnim Haber Ajansı da grubun su sistemlerine düzenlediği saldırıların Gazze'nin kuşatılmasına karşı misilleme olduğunu bildirdi.20 İran istihbaratıyla ilişkili olan ve Pink Sandstorm adıyla izlediğimiz bir grup (diğer adıyla Agrius) tarafından Kasım'da İsrail'deki bir hastanenin hedeflendiği korsanlık ve sızdırma operasyonunun ise İsrail'in iki hafta önce başlayıp günler süren Gazze'deki El Şifa Hastanesi'ni kuşatmasına karşı misilleme olduğu anlaşılıyor.21
Gözdağı verme 
İran bu operasyonlarla aynı zamanda İsrail'in güvenliğini zayıflatmayı, tehdit içerikli mesajlar göndererek İsrail vatandaşlarına ve destekçilerine gözdağı vermeyi ve hedef kitleleri devletin altyapı ve sistemlerinin güvenli olmadığına ikna etmeyi amaçlıyor. İran'ın yürüttüğü gözdağı verme operasyonlarının bir kısmının, İsrail Savunma Kuvvetleri unsurlarını "savaşı bırakıp evine dönmeleri" gerektiğine ikna etmeye çalışan mesajlar verme örneğinde görüldüğü gibi İsrail'in savaşa devam etme konusundaki kararlılığını sarsmaya yönelik olduğu anlaşılıyor (Şekil 10).22 Hamas kimliğine bürünmüş olabilecek İranlı bir siber kişilik, İsrailli askerlerin ailelerine tehdit dolu kısa mesajlar gönderdiğini, mesajlarda "IDF [İsrail Savunma Kuvvetleri] askerleri, bizim ailelerimiz güvende olana dek kendi ailelerinin de güvende olmayacağını bilmeli" ifadesini kullandığını iddia etti.23 Hamas kişiliğinin etkisini genişleten kukla hesaplar, IDF'nin "kendi askerlerini korumaktan aciz olduğuna" dair mesajları X'te yaydı ve Hamas'ın, IDF mensuplarının ailelerine kıymaması için Hamas'a yalvaran IDF askerlerince gönderildiği iddia edilen çeşitli mesajları kullanıcılarla paylaştı.24
Cotton Sandstorm tarafından işletildiği iddia edilen kukla hesabın gönderdiği tehdit mesajları, kişisel verilere erişim sağlandığını iddia ederek askerleri savaştan ayrılmaya teşvik etti.
İsrail'in uluslararası desteğini sarsma 
İran'ın uluslararası kitlelere yönelik etki operasyonlarında verilen mesajlar çoğunlukla İsrail'in Gazze'de yol açtığı tahribatı ön plana çıkararak İsrail'e uluslararası desteğin zayıflatılmasını amaçlıyordu. Kendini Filistin yanlısı bir grup olarak tanıtan bir kişilik, İsrail'in eylemlerinden "soykırım" olarak bahsetti.25 Aralık'ta ise Cotton Sandstorm, "For Palestinians" (Filistinliler İçin) ve "For Humanity" (İnsanlık İçin) adlarıyla yürüttüğü birden çok etki operasyonunda İsrail'in Gazze'deki saldırılarının kınanması için uluslararası topluluğa çağrıda bulundu.26

Bilgi alanındaki hedeflerini yakalamak isteyen İran geçtiğimiz dokuz ayda dört etki taktik, teknik ve prosedüründen (TTP) yoğun bir şekilde yararlandı. Hedef kitleleri harekete geçirmek amacıyla, kimliğe bürünme yöntemine ve ileri düzey becerilere başvurdu. Etki operasyonlarının etkisini genişletmek içinse kısa mesajla saldırı kampanyaları yürütüp İslam Devrimi Muhafızları Ordusu'yla ilişkili yayın organlarından istifade etti.

İsrailli aktivist grupların ve İran ortaklarının kimliğine bürünme 
İranlı gruplar, uzun süredir kullandığı ve ustalaştığı kimliğe bürünme tekniklerinden yararlandı: Daha spesifik ve gerçeği andıran kişilikler İran'ın hem dostlarını hem de düşmanlarını taklit etti. İran'ın geçmişteki birçok operasyon ve kişiliğinde Filistin davasını destekleyen unsurlar görülmüştü.27 Ancak Cotton Sandstorm tarafından işletildiğini belirlediğimiz bir kişilik bu kez daha da ileriye giderek Hamas'ın askeri kanadının adı olan El Kassam Tugayları'nın hem adını hem de logosunu kullandı, Gazze'de tutulan rehinelerle ilgili yanlış mesajlar yayıp İsraillilere tehdit mesajları gönderdi. IDF (İsrail Savunma Kuvvetleri) mensuplarını hedef alan başka bir Telegram kanalı ise askerlerin kişisel verilerini sızdırdı. İran istihbaratına bağlı gruplarca işletildiğini düşündüğümüz bu kanal da El Kassam Tugayları logosunu kullanıyordu. İran'ın bu eylemleri Hamas'ın onayı dahilinde gerçekleştirip gerçekleştirmediğine dair kanıt bulunmuyor.

İran benzer şekilde uyguladığı tekniklerle giderek daha inandırıcı hale getirdiği İsrailli sahte aktivist örgütleriyle İsrail siyasi yelpazesinde hem sağda hem solda kendine yer ediniyor. İran, bu sahte aktivistler üzerinden İsrailli topluluklara sızmayı, güvenlerini kazandıktan sonra nifak tohumları ekmeyi amaçladı.

İsraillileri harekete geçirme 
İran, olup bitenden habersiz İsraillileri İran'ın asılsız operasyonlarını destekleyen saha faaliyetlerine sürükleme konusunda Nisan ve Kasım aylarında tekrar tekrar başarı elde etti. İranlı aktörler, kısa süre önce yürütülen "Tears of War" adlı operasyonda, İsraillileri Tears of War hesabına ait afişleri İsrail mahallelerine asmaya başarıyla ikna etti. Bu afişlerde Binyamin Netanyahu'nun yapay zekayla üretildiği düşünülen bir resmi bulunuyor ve görevden alınması talep ediliyor (Bkz. Şekil 11).28
Sıklığı ve karmaşıklığı artan kısa mesaj ve e-postalarla etki genişletme 
İran etki operasyonları hedef kitlelere ulaşmak amacıyla, gerçeği yansıtmayan unsurlardan yararlanarak sosyal medyada koordine bir şekilde etki genişletme faaliyetlerine yoğun bir şekilde devam ediyor. Ancak buna, siber destekli etki operasyonlarının psikolojik tesirini kuvvetlendirme amacıyla kullanımı giderek artan toplu kısa mesaj ve e-posta gönderimi de eşlik ediyor. Sosyal medyada kukla hesaplarla yürütülen etki genişletme faaliyetleri ile kişilerin e-posta adresine hatta cep telefonuna gönderilen mesajların etkisi bir değil. Cotton Sandstorm 2022'den beri kullandığı bu teknikle elde ettiği başarılı sonuçlardan29 yola çıkarak Ağustos'tan bu yana en az altı operasyonda toplu kısa mesaj, e-posta veya hem kısa mesaj hem e-posta gönderdi. Bu tekniğin kullanımında artış yaşanması, grubun bu yeteneği geliştirdiğini ve etkisinden memnun kaldığını gösteriyor. Cotton Sandstorm'un Ekim sonunda düzenlediği"Cyber Flood" kapsamında İsraillilere gönderilen üç toplu mesaj ve e-posta kümesi, iddia edilen siber saldırıların etkisini genişletmeyi veya İsrail'in Dimona yakınlarındaki nükleer tesislere Hamas'ın saldıracağına dair asılsız uyarıları yaymayı hedefliyordu.30 En az bir olguda e-postaları daha gerçekçi göstermek amacıyla, ele geçirilen bir hesaptan faydalanıldı.
Şekil 11: Tears of War hesabının hazırlayıp İsrail'de astırdığı, Netanyahu'nun yapay zekayla üretilmiş görüntüsü ile "görevden hemen alınsın" yazısının yer aldığı afiş.
Devlet yayın organlarından yararlanma 
İran, iddia ettiği siber operasyonların etkisini genişletmek ve sonuçları olduğundan büyük göstermek amacıyla İslam Devrimi Muhafızları Ordusu'yla ilişkili yayın organlarından hem açık hem de örtülü bir şekilde yararlandı. İslam Devrimi Muhafızları Ordusu'yla ilişkili haber kuruluşları, Cyber Avengers'ın İsrail demiryolu sistemine karşı saldırı düzenlediğini iddia etmesinin hemen ardından bu iddiaların etkisini genişletip neticesini olduğundan büyük göstermeye koyuldu. İslam Devrimi Muhafızları Ordusuyla ilişkili Tasnim Haber Ajansı, bu siber saldırının düzenlendiğine dair kanıt olarak İsrail medyasından başka olaylarla ilgili haberleri gerçeği yansıtmayan bir şekilde kullandı.31 Hem bu haber hem de İranlı ve İran'la ilişkili başka yayın organların yaptığı diğer haberler, siber saldırı iddiasına dair kanıt bulunmadığı gerçeğinin üzerini örterek etkiyi genişletti.32
Etki operasyonlarında yapay zeka kullanımının ortaya çıkışı 
MTAC, İranlı aktörlerin İsrail-Hamas Savaşı'nın başlangıcından beri yapay zekayla üretilen görüntü ve videolardan yararlandığını gözlemledi. Cotton Sandstorm ile Storm-1364'ün yanı sıra Hizbullah ve Hamas ile ilişkili haber kuruluşları, gözdağının tesirini artırmak ve Netanyahu'yu ve İsrail yönetimini eleştiren görüntüler oluşturmak için yapay zekadan yararlandı.
Şekil 12: Cotton Sandstorm'un çeşitli yöntem ve faaliyetlerinin yer aldığı Ağustos-Aralık 2023 arası etki operasyonları.
1. İş birliğinde artış 
İsrail-Hamas Savaşı'nın başladığı günün üzerinden haftalar geçtiğinde İran'la ilişkili gruplar arasında iş birliğine dair örnekler görüyoruz. Bu durum, aktörlerin daha etkili sonuçlar elde etmesinin önünü açabilir. İş birliği, daha çok aktörün sahneye daha kolay giriş yapabilmesine, her grubun elindeki mevcut olanakları elverişli hale getirmesine ve tek bir grubun tam kapsamlı araç ve yöntemler geliştirme ihtiyacını ortadan kaldırmasına yol açabilir.

Değerlendirmelerimize göre, İran istihbaratıyla ilişkili Storm-0861 ile Storm-0842 grupları Ekim sonunda İsrail'e, ardından Aralık sonunda Arnavutluk'a karşı yıkıcı siber saldırı düzenlemek üzere iş birliği yaptı. Muhtemelen her iki örnekte de önce Storm-0861 ağ erişimi sağlamış, Storm-0842 ise kötü amaçlı silme yazılımını çalıştırmıştı. Arnavutluk devlet kurumlarının hedef alındığı Temmuz 2022 tarihli benzer saldırıda da önce Storm-0861 erişim sağlamış, Storm-0842 de ardından silme yazılımını çalıştırmıştı.

Storm-0842'nin "BiBi" silme yazılımını dağıttığı kuruma İran istihbaratı iltisaklı başka bir grup olan da Storm-1084 de Ekim ayında erişmiş olabilir. Sildiği dosyaların adını "BiBi" dizesiyle değiştirdiği için, zararlı yazılıma bu ad verilmiştir (Bibi, Binyamin Netanyahu'nun lakabıdır). Storm-1084 grubunun bu yıkıcı saldırıda hangi rolü üstlendiği veya herhangi bir şekilde yer alıp almadığı kesin değil. 2023'ün ilk aylarında Storm-1084, İran istihbaratıyla ilişkili başka bir grup olan Mango Sandstorm'un (diğer adıyla MuddyWater) desteğiyle İsrail'deki başka bir kuruma yıkıcı siber saldırılar düzenledi.33

Microsoft Tehdit Analizi, savaşın başlangıcından bu yana, İran istihbaratıyla iltisaklı bir grup olan Pink Sandstorm ile Hizbullah siber unsurları arasında iş birliği gerçekleştiğini tespit etti. Microsoft, altyapıda örtüşme bulunduğunu ve araçların paylaşıldığını gözlemledi. Siber operasyonlarda İranlı aktörlerin Hizbullah ile ortak çalışması ilk kez görülmese de endişe veriyor: Savaşın bu grupları ülke sınırlarını aşarak yakınlaştırması ve operasyonlarda birlikte hareket etmeye itmesi mümkün.34 İran'ın bu savaştaki tüm siber saldırılarında etki operasyonlarından kullanılsa da İran'ın gerçek olmayan kişiliklerine gerçeklik kazandırmak amacıyla anadili Arapça olan ve bölgenin yerlisi olan kişilerden yararlanması gibi bir olasılık da söz konusu.

2. İsrail'e yoğun bir şekilde odaklanma 
İranlı siber aktörler İsrail'e giderek daha çok odaklanmaya başladı. Tahran'ın ABD ile birlikte ana rakibi olarak gördüğü İsrail, uzun süredir İran'ın hedefleri arasındaydı. Microsoft Tehdit Analizi verileri de İran'ın geçtiğimiz yıllarda en çok İsrailli ve ABD'li kuruluşları hedef aldığını gösteriyor. Savaşın öncesinde İranlı aktörler en çok İsrail'e, ardından Birleşik Arap Emirlikleri ve ABD'ye odaklanıyordu. Savaş başladıktan sonra da İsrail'e odaklanmada ani bir artış gerçekleşti. Microsoft'un izlediği İran ulus devlet siber faaliyetlerinin yüzde kırk üçünün hedefi İsrail oldu. Bu oran, hedeflenen ülkeler listesinde sıradaki 14 ülkenin toplamından daha fazla.
Microsoft Tehdit Analizi verilerinin ülkeye göre yüzdelik dökümü, İran'ın savaş öncesi ve savaşın 75. günündeki hedefleri

İran'ın siber ve etki operasyonlarının teşkil ettiği tehdidin İsrail-Hamas çatışması sürdükçe, özellikle de çatışmanın başka cephelerde kızışma potansiyelinin yükseldiği bu dönemde artmasını bekliyoruz. İranlı gruplar savaşın ilk günlerinde apar topar operasyon yürütmeye veya üretmeye başlasa da yakın zamanlı operasyonlarında, arzu edilen erişimi elde etmeye ya da daha karmaşık etki operasyonları geliştirmeye zaman ayırmak amacıyla bir yavaşlama yaşandığı gözlemlenmiştir. Savaşın bu raporda ana hatlarıyla belirtilen evreleri, İran siber ve etki operasyonlarının yavaş yavaş gelişerek daha hedefli, iş birliğine dayalı ve yıkıcı bir nitelik kazandığını gösteriyor.

İranlı aktörlerin aynı zamanda hedefleme konusunda daha cesur hareket etmeye başladığını görüyoruz. ABD'den gelebilecek mukabeleleri umursamadan ABD'deki bir hastaneye düzenlediği siber saldırıyla Vaşington'un kırmızı çizgilerini yoklaması bunun en belirgin örneği. İslam Devrimi Muhafızları Ordusu'nun ABD'deki su kontrol sistemlerine yönelik saldırıları tabiatı itibarıyla tepkisel olmanın ötesinde, İran'ın İsrail'de üretilmiş ekipmanlara saldırmayı meşru görmesine Vaşington'un nasıl tepki vereceğini sınayan akıllıca bir taktiktir.

Kasım 2024'te düzenlenecek ABD seçimleri arifesinde İranlı ve İran ile ilişkili gruplar arasında iş birliğinin artması, seçim savunmasından sorumlu taraflar için daha büyük bir zorluk teşkil ediyor. Savunmadan sorumlu olan kişilerin birkaç grubu izlemesi artık yeterli değil. Öyle ki erişim sağlayan oyuncuların, etki gruplarının ve siber aktörlerin sayısının giderek artmasına bağlı olarak daha karmaşık ve iç içe girmiş bir tehdit ortamı bizleri bekliyor.

İran'ın etki operasyonları hakkında diğer uzman analizleri

 Microsoft Tehdit Analizi Pod Yayını'nda İran'ın siber destekli etki operasyonları, İran'ın 2020 ABD başkanlık seçimleriyle ilgili operasyonları ve İsrail-Hamas Savaşı hakkında uzmanların diğer görüşlerini keşfedin. Söyleşilerde kimliğe bürünme, yerleşik kişileri devreye sokma, e-posta ve kısa mesajlarla etkiyi genişletme gibi İranlı aktörlerin yararlandığı taktikler ele alınıyor. Aynı zamanda İran siber faaliyetlerindeki incelikleri, iş birliklerini, propaganda tüketimini, yaratıcı taktikleri ve etki operasyonlarının ilişkilendirilmesindeki zorlukları anlamak için gerekli olan bağlam sunuluyor.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]
  29. [29]
  30. [30]
  31. [31]
  32. [32]
  33. [33]
  34. [34]
Siber etki operasyonları Ulus devlet Ulus devlet raporları Tehdit aktörleri

İlgili makaleler

Rus tehdit aktörleri, savaş yorgunluğundan faydalanmaya hazırlanıyor 

Ukrayna'daki savaş devam ederken Rusya'nın siber operasyonları ve etki operasyonları da sürüyor. Microsoft Tehdit Analizi, son altı ayda gerçekleşen en yeni siber tehdit ve etki faaliyetlerini detaylıca açıklıyor.
Daha fazla bilgi edinin

İran, daha fazla etki yaratmak için siber destekli etki operasyonlarına yöneliyor

Microsoft Tehdit Analizi, İran’ın dışında siber destekli etki operasyonlarının arttığını ortaya çıkardı. Yeni tekniklerin ayrıntılarını ve gelecekteki tehdit potansiyelinin nerede olduğunu içeren tehdit içgörüleri edinin.
Daha fazla bilgi edinin

Ukrayna’nın dijital savaş alanında gerçekleşen siber operasyonlar ve etki operasyonları

Microsoft tehdit analizi, Ukrayna'da bir yıldır yapılan siber operasyonları ve etki operasyonlarını inceliyor, siber tehditlerdeki yeni eğilimleri ortaya çıkarıyor ve savaş ikinci yılına girerken neler bekleyebileceğimizi gösteriyor.
Daha fazla bilgi edinin