Türkiye'ye yönelik siber saldırıların ardında tek kişi mi var? [Güncellendi]

Soru, Daily Dot yayınına ait. 14 Aralık'tan bu yana devam eden Türkiye'ye yönelik siber saldırıların arkasında tek kişi olduğunu, 28 Aralık tarihinde yayınladığı bir haberle iddia eden online yayın, şüpheli kişiyle şifrelenmiş mesajlar aracılığıyla görüşerek bu tezi destekliyor.

Ahmet A. Sabancı imzalı haber, devam eden siber saldırıların arkasında Anonymous, RedHack ya da Rus hacker'lar olamayabileceği olasılığından yola çıkıyor. Zira bizim de daha önce belirttiğimiz gibi Anonymous'ı saldırıyı üstleniyor olduğu iddiası, saldırıların gerçek sorumlusunun Anonymous olduğunu göstermiyor. Daily Dot bir adım daha ileri giderek Anonymous ile ilişkilendirilen YouTube videosunun kaynağının şüpheli olduğunu ve görüştüğü Anonymous üyelerinin siber saldırıyı kesinlikle üstlenmediğini aktarıyor. Görüşülen kaynaklar ve diğer hacktivistler tek bir kişiye işaret ediyor.

Kimliği ve milliyeti bilinmeyen potansiyel hacker bir "baskılama uzmanı" olarak tanımlanıyor. Bunun anlamı, hacker'ın elindeki araçları tam verim kullanması sayesinde tek başına NIC.tr'yi baskı altına alabilecek bir saldırı düzenleyebilecek kapasitede olması. Daily Dot, potansiyel hacker ile görüşme sırasında hacker'ın araçlarının gücünü gözlemleyebildiğini de yazıyor: "Bir durumda, bizimle anonim kalmak amacıyla rastgele bir mahlas kullanarak iletişime geçen saldırgan, Suriye'nin DNS sunucularının büyük bir çoğunluğunu 15 dakikada alaşağı etmeyi başardı. Hacker aynı zamanda bir grup cihatçı ve radikal Müslüman organizasyonun websitelerine aynı anda saldırdı"

Gördüğünüz ekran görüntüleriyle belgelenen saldırılar, saldırganın kapasitesini doğruluyor olabilir ancak Türkiye'ye yönelik siber saldırıların sorumlusu olduğuna yönelik yeterli kanıt oluşturmuyor.

Ancak potansiyel hacker haberde NIC.tr saldırısıyla ilgili detayları da paylaşıyor. DNS yükseltme saldırısı yöntemine başvurduğunu söyleyen hacker'ın operasyon detaylarıyla ilgili paylaştıkları şöyle:

...DNS sunucuları normalde yalnızca UDP ve DROP TCP verisi kabul eder - genellikle. Eğer hatta yeterince akın ederseniz, sunucunun bir çok TCP paketini bırakmasını (DROP) sağlarsınız. Chargen yükseltilmiş UDP/TCP metodu olduğu ve rastgele chargen kullanıldığı için onun (sunucunun) çöküşü sağlandı. Benim chargen listem oldukça güçlü.

Potansiyel hacker NIC.tr saldırısı sırasında el yordamıyla ilerlediğini, 10GBps ile başlayıp, tekrar tekrar saldırarak 40 GBps'ye ulaştığını belirtiyor.

Potansiyel hacker, neden böyle bir saldırıya giriştiği sorusunun cevabını protesto şeklinde veriyor. Nedenin politik olduğunu söyleyen hacker, Türkiye'nin DAEŞ'e destek olduğunu iddia ediyor ve saldırıları bu nedenle düzenlediğini belirtiyor. Habere göre hacker, Anonymous'a #OpISIS kapsamında da destek oluyor ancak tam zamanlı bir Anonymous üyesi değil. Türkiye'ye yönelik siber saldırıları Anonymous bayrağı altında düzenlemiyor. (Ya da düzenlediğini söyleyen gruptan tamamen bağımsız hareket ediyor.)

Tek bir hacker'ın bu çapta bir saldırıyı düzenleyebiliyor olması, hacker'ın becerisi göz önünde bulundurulduğunda akla yatkın görünse de hacker'ın sorumluluk aldığı operasyonla ilgili daha spesifik detaylar sağlaması gerektiği ortada.

Konuyla ilgili yorumlarına başvurmak üzere haberin yazarına ulaşmaya çalıştığımızı ancak henüz kendisinden bilgi alamadığımızı belirtelim. Güncellemeleri aktarmaya devam edeceğiz.

Güncelleme: Haberin yazarı Ahmet A. Sabancı'yla görüştük ve kendisine saldırıyı düzenlediği iddia edilen hacker ile görüşmesiyle ilgili bazı sorular yönelttik. Sabancı'dan aldığımız cevaplar şu şekilde:

DDoS saldırılarını düzenlediği iddia edilen kişi ile birebir görüştüğünüzü söylüyorsunuz. Bu kişinin kimliğini doğrulamanız mümkün oldu mu? Yani söylediğiniz şifrelenmiş mesajlar dışında, bu kişiyi işaret eden başka kanıtlar var mı? 

"Böyle durumlarda kimlik doğrulama dediğimiz durum maalesef pek söz konusu olmuyor. Bu alandaki kişiler anonimliklerini korumak için ciddi bir çaba sarf ediyorlar. Bu çaba, sizinle konuşmak için hangi araçları kullanmanız gerektiğini söylemeye kadar varabiliyor. Eğer varsa nickini bile bilemiyoruz. Yazıda da dediğimiz gibi diğer ihtimallerin destekleyici kanıtlarının olmaması, bizimle iletişime geçen kişinin söylediklerini asıl güçlendiren nokta oldu."

Bankaları hedeflediği iddia edilen saldırılarla ilgili konuştunuz mu? Bu konuda size iletilen bir detay var mı? "Maalesef, bankalar konusunda internette hepimizin gördüklerinin ötesinde bir bilgim yok. (Redhack'in tweetleri vs.)"

Potansiyel hacker size saldırısının sonuçlarıyla ilgili spesifik sayılardan bahsetti mi? "Hayır, bu konuda herhangi bir veri vermedi bizlere."

Potansiyel hacker'ın Türkiye internet network'ünü ne kadar iyi tanıdığıyla ilgili bir izlenim edindiniz mi? Bunu bizzat kendisine sorduk, cevabını da yazıya eklemiştik. Yazıda da söylediğimiz gibi deneme-yanılma yoluyla yaptığını iddia ediyor:

“40Gbps was not something I calculated, it's 'Is it down yet or not' kind of a thing, you send 10Gbps, no, send another 10Gbps, no, send another 10, almost down, send another 10 and down – check it multiple times and it's down for more than 12 minutes and you got your answer, no WAF or firewall kicked in, etc. So basically you stop the attack, wait 5 minutes and then send it all at once to flood the pipe faster and harder, generally can nullroute depending on the server and what router runs the network etc.”

Aldığımız bilgiler saldırının iddia edildiği gibi tek kişi tarafından gerçekleştirildiği olasılığını güçlendirmiyor. Bu, hala bir olasılık olarak değerlendirilmeye devam edebilir.