Washington —

Rus muhalif siyasetçi Ilya Ponomarev, Rusya’daki eski ABD büyükelçisi Michael McFaul’dan gelen bir e-posta aldığında şüphelenmek için hiçbir neden görmediğini ve kendisinin de düzenli olarak iletişim kurduğu güvenilir bir kişi olduğunu söyledi.

Ponomarev, VOA Rusça’ya verdiği bir Zoom röportajında, “Bu mektup görsel olarak diğer mektuplarından farklı değildi. Görsel olarak diğer mektuplarından farklı olmadığı için onun mektubu olduğuna inandım.” dedi.

Ancak birkaç ay önce gönderilen bu e-postanın, Rus hükümetiyle bağlantılı iki siber casusluk örgütünün işi olarak tanımlanan ABD diplomatlarını ve diğerlerini hedef alan sayısız “kimlik avı saldırısından” biri olduğu ortaya çıktı. Ve McFaul’un önceki mesajlarını doğru bir şekilde taklit etmesi, saldırganların bu önceki mesajları daha önce gördüklerini gösteriyordu.

Ponomarev, “Mektupta McFaul’un Çin’de sunmayı planladığı Ukrayna ile ilgili bir rapora atıf ve ayrıca bir şeyleri karıştırıp karıştırmadığını kontrol etme talebi yer alıyordu” dedi. McFaul aslında Nisan ayında Çinli öğrencilere bir ders verdi.

İlya Ponomarev

McFaul, VOA’ya bir hacker saldırısının hedefi olduğunu doğruladı ancak ayrıntı vermedi. Saldırının ayrıntıları, dijital haklar grubu Access Now ve Kanadalı kar amacı gütmeyen araştırma kuruluşu Citizen Lab’ın yakın zamanda yayınladığı ortak bir raporda ortaya çıktı.

Raporda saldırıların Ekim 2022 ile Ağustos 2024 arasında ColdRiver ve ColdWastrel olarak bilinen “Rus rejimine yakın iki tehdit aktörü” tarafından gerçekleştirildiği belirtiliyor.

The Washington Post’a göre, “birçok hükümet” ColdRiver’ın Sovyet KGB’sinin halefi olan Federal Güvenlik Servisi (FSB) için çalıştığını söylerken, ColdWastrel’in “başka bir Rus kurumu için çalıştığına” inanılıyor.

Hedefleri arasında sürgündeki Rus muhalif isimler, ABD düşünce kuruluşlarının çalışanları, ABD’nin Rusya, Ukrayna ve Belarus’taki eski büyükelçileri, siyasi figürler ve akademisyenler, Amerikan ve Avrupa’daki kâr amacı gütmeyen kuruluşların çalışanları ve medya kuruluşları yer aldı.

Michael McFaul’un X hesabındaki bir gönderinin ekran görüntüsü.

VOA, kurbanlar arasında adı geçen kişiler arasında eski ABD Ukrayna Büyükelçisi John Herbst, Rus gazeteci ve Rus insan hakları aktivisti, Ponomarev ve McFaul da yer alıyor.

Kimlik avı saldırılarının amacı, bir kullanıcının kötü amaçlı bir bağlantıya tıklamasını veya verilerini (kullanıcı adı ve parola) sahte bir web sitesinde girmesini sağlamaktır. Saldırı başarılı olursa, bilgisayar korsanları yazışmalar, iletişim listeleri ve bazı durumlarda finansal bilgiler de dahil olmak üzere kurbanın gizli bilgilerine erişim sağlar.

Kimlik avı kampanyaları düzenleyen bilgisayar korsanları, kullanıcıları hassas bilgilerini ifşa etmeye kandırmak için tasarlanmış “psikolojik manipülasyon” olarak tanımlanan, önde gelen bir Amerikan siber güvenlik yazılımı ve hizmetleri şirketinin tanımladığı “sosyal mühendislik” adı verilen bir teknik kullanıyor.

Halen Atlantik Konseyi Avrasya Merkezi’nin direktörlüğünü yürüten Herbst, VOA’ya yaptığı açıklamada, son 10 yıldır Rus bilgisayar korsanlarının saldırılarına maruz kaldığını söyledi.

John Herbst

“Kremlin başından beri yaptığım şeyden hoşlanmadı çünkü Ukrayna’ya yasadışı bir işgal yürüttüklerini söylüyordum, sanırım 2014’ten beri.” dedi.

Herbst, Rus bilgisayar korsanlarının Moskova’nın saldırgan dış politikasına karşı koymayı amaçlayan kamusal bir pozisyon alan kişileri hedef aldığını söyledi: “Bu nedenle, Steve Pifer veya Michael McFaul veya benim gibi kişilerin FSB’den, GRU’dan ilgi görmesi şaşırtıcı değil. [Russian military intelligence] ve diğerleri.”

Herbst şunları ekledi: “Bize verdikleri ilgiyi abartmak istemiyorum. Biliyorsunuz, uluslararası siyasi sahnede üçüncül veya hatta üçüncülden bile daha az önemli oyuncularız, ancak o kadar büyük bir güvenlik aygıtına sahip olduklarını biliyorlar ki, benim gibi insanları takip etme işini düşük seviyeli bir adama veriyorlar.”

“Beni Mike McFaul veya Steve Pifer’la ilişkilendiren şey… bir balıkçılık gezisiydi, değil mi? [To] “Bana gizlice bir şeyler söylemeleri için içlerinden birini ikna edebilirler mi diye bakacağım, bu da beni utandırabilir.”

Steven Pifer, VOA’nın hacker saldırısının detaylarına ilişkin yorum talebine yanıt vermedi.

Ponomarev, sahte McFaul e-postasına yanıt verdiğini ancak e-postayı açtığı sırada uçakta olması ve dosyayı telefondan indirmenin zor olması nedeniyle ekteki kötü amaçlı dosyayı indirmeye vakti olmadığını söyledi.

Ponomarev, VOA’ya yaptığı açıklamada, “Bilgisayarımdan açtığımda, mektubu bana gönderdiği adresin her zamanki Stanford Üniversitesi adresi olmadığını, tamamen farklı bir şey olduğunu fark ettim.” dedi.

“Bir BT uzmanı olarak, e-postadaki dosyanın IP adresine baktım ve bunun bir kimlik avı olduğuna ikna oldum. Daha sonra, konuyu daha ayrıntılı inceleyebilmeleri için bilgileri yetkili makamlara ilettim.”

Ponomarev, McFaul tarafından gönderildiği iddia edilen e-postanın Proton servisine ait bir posta kutusundan gelmesinin başlangıçta herhangi bir şüphe yaratmadığını da sözlerine ekledi.

“Proton’da gizli yazışmalar için bir adresim de var,” diyen saldırganların, Proton’daki adreslerden birini değiştirerek, görsel olarak hala normal bir posta adresi gibi görünen sahte adresler oluşturabileceğini belirtti.

“Bunu kullanıyorlar çünkü tamamen anonim,” diye ekledi Ponomarev. “Bir IP adresini Proton’a kadar takip edemezsiniz, bu yüzden Proton’u kullandığınızda çıkmaz bir yol olur, daha fazla kazamazsınız.”

Araştırmacı gazetecilik alanında uzmanlaşmış bağımsız Rus medya kuruluşu Proekt’in yayıncısı Polina Machold, VOA’ya yaptığı açıklamada, geçen kasım ayında kendisine yönelik gerçekleştirilen kimlik avı saldırısında, saldırganların sosyal mühendislik ve Proton posta servisini de kullandığını söyledi.

Machold, VOA’ya yaptığı açıklamada, “Daha önce ortak bir proje yaptığımız başka bir medya kuruluşundaki bir ‘meslektaşımdan’ yeni bir potansiyel projeye veya buna benzer bir şeye bakmamı isteyen bir mektup aldım.” dedi.

“Bir süre yazıştık ve dosyayı açtığımda çok şüpheli bir durum olduğunu fark ettim çünkü dosyadaki bağlantının Proton Drive’a yönlendirdiği iddia ediliyordu ancak alan adı tamamen farklıydı.”

Machold, saldırganın kendisi gibi davrandığını doğrulayan bir meslektaşını aradığını söyledi. Bilgi, saldırının arkasında muhtemelen FSB ile ilişkili bilgisayar korsanlarının olduğunu belirleyen Citizen Lab’a iletildi.

DOSYA – Bir kadın, 24 Haziran 2023’te Rusya’nın Moskova kentindeki Lubyanka Meydanı’ndaki Federal Güvenlik Servisi (FSB) binasının önünde cep telefonunu kullanıyor.

Rusya’daki insan hakları örgütlerinden First Department’ın başkanı Dmitry Zair-Bek, kendilerinden bir üyenin hacker saldırısının ilk hedefleri arasında olduğunu, “Çünkü biz vatana ihanet ve casusluk vakalarında insanları savunuyoruz” dedi.

“Çalışanlarımızdan biri, ortaklarımızdan birinin adresini taklit eden bir adresten bir e-posta aldı,” dedi. “E-posta, bir kimlik avı sitesine yönlendiren bir bağlantı içeriyordu.”

Zair-Bek, Birinci Departmanı hedef alan saldırıyı ColdWastrel grubunun gerçekleştirdiğini sözlerine ekledi.

Zair-Bek, ColdWastrel için “Onlar hacker dünyasının ‘C’ öğrencileri” dedi. “Fikir ColdRiver grubuyla aynı, sadece bazı küçük ayrıntılara daha az dikkat ettiler.

“‘C’ öğrencileri olmaları, daha az etkili oldukları anlamına gelmez. Bir yandan, kendi bakış açılarına göre, onları ilgilendiren en fazla bilgiye sahip olan, diğer yandan da en savunmasız olan kişiyi seçerler.”

Rus hacker saldırıları hakkındaki raporun ortak yazarlarından Access Now uzmanı Natalia Krapiva, dijital güvenlik konularında uzman olan birinin bile hackerların tuzağına düşebileceğini söylüyor.

VOA’ya konuşan bir yetkili, “ColdRiver ve ColdWastrel grupları oldukça gelişmiş bir sosyal mühendislik kullanıyor ve bağlamı çok iyi anlıyorlar” dedi.

“Genel olarak organizasyonun nasıl yapılandırıldığını, finans, İK, politika vb. konularda hangi kişilerin sorumlu olduğunu biliyorlar. Yani, bu çalışanı hangi göreve göndereceklerini biliyorlar. [phishing] e-postaya. Ayrıca bu kuruluşların kiminle ve hangi konularda etkileşimde bulunduğunu da anlıyorlar.”

Krapiva, “Rus ve Amerikan insan hakları örgütleri arasındaki mevcut ilişkilerin istismar edildiğine dair örnekler gördük” dedi ve bilgisayar korsanlarının örgütlerden birinin hibe başvurusu beklediğini bildiğini ve başvuruyu bekleyen çalışana kötü amaçlı bir PDF dosyası gönderdiğini belirtti.

Bu, bilgisayar korsanlarının kurbanlarına saldırmaya çalıştıkları sırada belli bir miktarda bilgiye zaten sahip oldukları anlamına geliyor, dedi.