Pazartesi günü sosyal medya platformu X’te (eski adıyla Twitter) yaşanan kesintiye yol açan siber saldırıya dair yeni bilgiler ortaya çıkmaya devam ediyor. Ancak bu bilgilerin doğrulanması halen zor görünüyor. DownDetector hizmetine göre, X’te birkaç saldırı dalgası gerçekleşti ve on binlerce kullanıcı kesinti yaşadığını bildirdi. Kesintilerin büyük olasılıkla Dağıtılmış Hizmet Reddi (DDoS) saldırılarından kaynaklandığı düşünülüyor.
Elon Musk, X sosyal ağında yaşanan kesintilerin sebebini “büyük çaplı bir siber saldırı” olarak nitelendirdi ve bir röportajında saldırının “Ukrayna bölgesinden gelen IP adresleri” üzerinden gerçekleştirildiğini iddia etti. Ancak Reuters, internet altyapı sektöründeki ismi açıklanmayan bir kaynaktan edindiği bilgilere dayanarak, Ukrayna’dan gelen trafiğin aslında önemsiz olduğunu ve DDoS saldırılarında en çok kullanılan IP adreslerinin ABD, Vietnam ve Brezilya’dan geldiğini aktardı.
DDoS Saldırıları ve Gerçek Kaynakları
Siber güvenlik araştırmacıları, X’e yönelik saldırıların Dağıtılmış Hizmet Reddi (DDoS) saldırıları olduğunu ve bu tür saldırıların geniş bir botnet ağı üzerinden gerçekleştirildiğini vurguluyor. Botnet’ler, dünya genelinde farklı noktalara dağılmış, kötü amaçlı yazılımlar tarafından kontrol edilen cihazlardan oluşuyor. Ele geçirilen cihazlar, saldırıyı düzenleyenlerin talimatları doğrultusunda hedeflenen sisteme yoğun trafik yönlendirerek sistem kaynaklarını tüketmeye çalışıyor. Ancak saldırının kaynağını gizlemek için VPN, proxy ağları ve ele geçirilmiş sistemler kullanarak saldırının kaynağına ait IP adresleri, saldırıyı gerçekleştiren kişilerin veya grubun gerçek konumunu belirlemek için yeterli bir veri sağlamıyor.
Ayrıca, tehdit aktörleri DDoS saldırılarının etkisini artırmak için yeni yöntemler geliştirmeye devam ediyor. Hatta günümüzde büyük çaplı bir saldırı düzenlemek için çok geniş bir botnet ağına bile ihtiyaç duyulmuyor. Örneğin, Cloudflare’in 2024’ün dördüncü çeyreğinde tespit ettiği ve 5.6 Tbps büyüklüğüne ulaşan rekor saldırı, yalnızca 13.000 farklı IP adresinden yönlendirilmişti.
Ağ bağlantı firması Zayo’nun güvenlik şefi Shawn Edwards, IP adreslerinin saldırının gerçek kaynağını tespit etmek için yeterli olmadığını belirterek, “Saldırganlar genellikle ele geçirilmiş cihazlar, VPN’ler ve proxy ağları kullanarak gerçek kimliklerini gizlerler,” dedi.
Cisco’nun ThousandEyes ekibi, X altyapısına yönelik beş farklı saldırıyı tespit ettiklerini ve bunların Pazartesi sabahı başladığını duyurdu. ThousandEyes ekibinin yaptığı açıklamaya göre, saldırılar sırasında ciddi trafik kayıpları yaşandı ve bu durum kullanıcıların platforma erişimini engelledi.
Saldırının Arkasındaki Güç
X’e yönelik saldırının sorumluluğunu, Dark Storm Team adlı bir tehdit grubu üstlendi. Kendilerini Filistin yanlısı bir hacktivist grup olarak tanımlayan Dark Storm Team’in Rusya ile bağlantıları olabileceği iddia ediliyor. Orange Cyberdefense’in verilerine göre, Dark Storm Team 2023 yılının Eylül ayından bu yana aktif ve fidye yazılımları, veri hırsızlığı ve DDoS saldırıları dahil olmak üzere çeşitli siber saldırılar düzenledi. Grup hem finansal kazanç sağlamak hem de ideolojik nedenlerle saldırılar gerçekleştiriyor.
Ayrıca Anonymous hareketine bağlı bazı hacktivist gruplar da X’te yaşanan son kesintiden sorumlu olduklarını iddia etti.
Ancak bu tür iddiaların doğrulanması her zaman kolay olmuyor. Hacktivist gruplar veya kendilerini hacktivist olarak tanıtan bazı oluşumlar, büyük ölçekli saldırılar için sıklıkla sahte sahiplenme girişimlerinde bulunabiliyor. Devlet destekli saldırılar, siber suç operasyonları ve hacktivizm arasındaki çizgiler giderek bulanıklaşıyor. Devlet destekli hacker grupları ve siber suçlular, giderek daha fazla hacktivist kimliği altında faaliyet göstererek hedeflerine ulaşmaya çalışıyor.
X, geçmişte de benzer bir saldırıya maruz kalmıştı. Anonymous Sudan adlı tehdit grubu, daha önce X’e yönelik büyük bir DDoS saldırısı düzenlemişti. Bu grubun üyeleri, ABD’de DDoS saldırı hizmetleri geliştirmek ve sunmak suçlamasıyla yargılanıyor.
X Neden Savunmasız Kaldı?
DDoS saldırıları, modern internet hizmetleri için yaygın bir tehdit olsa da genellikle gelişmiş koruma sistemleriyle etkileri en aza indirilir. Peki, neden bu saldırılar X’te ciddi kesintilere yol açtı? Musk, saldırının “çok büyük kaynaklarla” gerçekleştirildiğini söylese de bağımsız güvenlik araştırmacısı Kevin Beaumont ve diğer uzmanlar, X’in bazı kritik sunucularının Cloudflare’in DDoS koruma sistemleri arkasında düzgün bir şekilde saklanmadığını ve doğrudan hedef alınabildiğini tespit etti. Bu açık nedeniyle saldırganlar, X’in sunucularına doğrudan erişerek sistemi devre dışı bırakmayı başardı. Beaumont, “Dün botnet, X’in IP adreslerini ve ona ait birçok sunucuyu doğrudan hedef aldı. Bu botnet, kameralar ve DVR cihazlarından oluşuyor.” dedi.
Saldırıların sona ermesinin ardından Musk, Fox Business’a verdiği röportajda, “Tam olarak ne olduğunu bilmiyoruz, ancak X sistemini çökertmeye yönelik büyük bir siber saldırı gerçekleşti. IP adresleri Ukrayna bölgesinden görünüyordu.” açıklamasında bulundu.
Saldırının Siyasi Boyutu
Musk, 2022’de Rusya’nın Ukrayna’yı işgal etmesinden bu yana Ukrayna’yı ve Devlet Başkanı Volodimir Zelenski’yi alaycı bir dille eleştiriyor. Aynı zamanda ABD’de eski Başkan Donald Trump’a önemli bir bağışçı olan Musk, Trump’ın başkanlık dönemiyle birlikte ABD federal hükümetini yeniden yapılandıran “Hükümet Verimliliği Departmanı (DOGE)” başkanlığını yürütüyor. Trump yönetimi ise Rusya ile ilişkileri iyileştirme yönünde adımlar atarken, Ukrayna’ya verilen desteği azaltıyor.
Musk, daha önce de sahibi olduğu SpaceX şirketi aracılığıyla bu jeopolitik gerilimlerin içinde yer almıştı. Ukrayna’daki birçok kişi, Musk’a ait olan Starlink uydu internet hizmetine bağımlı durumda.
Saldırının Gerçek Kaynağı Hâlâ Belirsiz
DDoS saldırılarında kullanılan trafik analizleri, saldırıya katılan IP adreslerinin coğrafi dağılımını gösterebilir. Ancak güvenlik uzmanları, bu bilgilerin saldırının arkasındaki gerçek aktörleri belirlemek için yeterli olmadığını vurguluyor. İsmi açıklanmayan bir güvenlik araştırmacısı, saldırılarda en fazla kullanılan 20 IP adresi kaynağında Ukrayna’nın yer almadığını belirtti.
Zayo’dan Edwards, “IP verilerinden trafik kaynaklarının coğrafi dağılımını ve botnet’in yapısını anlayabiliriz. Ancak saldırıyı gerçekleştiren kişilerin kimliğini veya niyetini kesin olarak belirleyemeyiz.” dedi.
Saldırının ardındaki gerçek aktörlerin kim olduğu konusunda soru işaretleri devam ederken, X ve diğer büyük platformlar DDoS saldırılarına karşı daha güçlü savunma mekanizmaları geliştirmek zorunda kalıyor. Teknik boyutu hâla araştırılırken, olayın siyasi yankıları da tartışılmaya devam ediyor.
Diğer yazılarımıza ulaşmak için tıklayabilirsiniz.
Leave a Comment