Rusya’nın hibrit savaş operasyonlarına karşı dramatik bir başarı ve küresel bir karşı hamle kapsamında, Temmuz ortasında gerçekleştirilen uluslararası ortak operasyon, NoName057(16) olarak bilinen büyük bir Rus siber suç ağını çökertti. 2022’den bu yana ideolojik motivasyonla hareket eden bu hacktivist ağ, NATO’ya bağlı ülkeleri hedef alan 1.500’den fazla dağıtılmış hizmet reddi (DDoS) saldırısının sorumluluğunu üstlendi. Bu grubun faaliyetleri, Moskova’nın hibrit savaş yöntemlerini kullanarak Ukrayna’ya verilen desteği baltalama ve ABD ile müttefiklerini istikrarsızlaştırma girişimlerinin açık bir örneği. Ancak bu başarı muhtemelen geçici—devam eden bir mücadelenin sadece bir raundu. Kesin zafer ancak müttefikler arasında yoğun işbirliğiyle mümkün olabilir.
NoName057(16) ve Eastwood Operasyonu
NoName057(16), 2022’den bu yana, Ukrayna’nın tam kapsamlı işgalinin başlangıcında aktif hale geldi. Yaklaşık 4.000 gönüllüden oluştuğu tahmin edilen bu siber ordu, başlangıçta Ukrayna’ya odaklandı, ardından ABD ve Çekya, Polonya, İspanya gibi NATO müttefikleri dahil Ukrayna’yı destekleyen ülkelere saldırılar düzenledi. Faaliyetleri arasında İsveç devlet kurumları ve bankacılık sitelerine yönelik DDoS saldırıları, 250’den fazla Alman şirketi ve kurumuna yönelik saldırılar ve 2025 Haziran NATO zirvesiyle bağlantılı kuruluşlar yer aldı. Grup ayrıca 2024’te Japon lojistik ve gemi inşa şirketlerine yönelik DDoS saldırılarına da katıldı.
Artan tehdit karşısında Europol, Eastwood Operasyonu’nu kolaylaştırdı. Operasyona 19 ülke, AB Siber Güvenlik Ajansı (ENISA) ve Europol’ün Avrupa Siber Suç Merkezi (EC3) bünyesindeki Ortak Siber Suç Eylem Görev Gücü (J-CAT) katıldı. Operasyon, grubun faaliyetlerini geçici de olsa ciddi şekilde aksattı: 100’den fazla sunucusu devre dışı bırakıldı, merkezi sunucu altyapısının önemli bir bölümü kapatıldı. Ayrıca Fransa ve İspanya’da iki tutuklama yapıldı, 7 tutuklama emri çıkarıldı (altısı Almanya, biri İspanya).
Bununla birlikte, bu tür gruplar akışkan bir yapıya sahiptir ve kalıntılarının yeniden örgütlenip yakın gelecekte faaliyete geçmesi muhtemeldir. Bu nedenle uluslararası işbirliği kritik önemdedir. EC3 ve J-CAT, bölgesel siber tehdit istihbaratı paylaşım merkezleri için umut verici bir model sunmakta ve Rus siber faaliyetleri daha da saldırgan hale geldikçe bu modelin genişletilmesi ya da başka bölgelerde uygulanması mümkün olabilir.
Rus Siber Faaliyetleri: Tırmanan Bir Tehdit
NoName057(16)’nın faaliyetleri, Rusya’nın artan siber kampanyasının yalnızca bir parçası. Moskova uzun süredir siber alanda etkin bir oyuncu olsa da, 2021’den bu yana ve özellikle Ukrayna işgalinin hemen öncesinden itibaren daha saldırgan hale geldi.
- ABD merkezli Mandiant şirketine göre, 2022’de NATO ülkeleri, 2020’ye kıyasla Rusya bağlantılı saldırılarda %300 artış yaşadı.
- Avrupa Birliği raporlarına göre ise 2023’ün son çeyreğinden 2024’ün ilk çeyreğine kadar Avrupa altyapısına yönelik hacktivist saldırılar iki katına çıktı ve bunların birçoğu Moskova bağlantılıydı.
Bu saldırılar, devlet kurumları, bilişim şirketleri, kritik altyapı sağlayıcıları ve insani yardım kuruluşları da dahil olmak üzere geniş bir yelpazeyi hedef aldı.
NoName057(16) gibi hacktivist gruplar, Moskova’nın karmaşık siber aktörler ağının önemli bir parçasını oluşturuyor. Bu gruplar nominal olarak bağımsız görünse de, Kremlin’in çıkarları doğrultusunda siber operasyonlar düzenleyerek Rusya’ya bağlılıklarını gösteriyorlar. Örneğin, KillNet, Ukrayna’yı destekleyen ülkelere DDoS saldırılarıyla tanınan bir diğer Rus yanlısı hacktivist grup. Flashpoint.io’ya göre KillNet, ABD, İngiltere ve Ukrayna dahil on ülkenin hükümetlerine “siber savaş” ilan etti. Aralık 2022’de ABD ordusunu destekleyen bir sağlık kuruluşunu hedef aldığını duyurdu.
Bu gruplar, Moskova’nın stratejik hedeflerini desteklerken aynı zamanda inkâr edilebilirlik (plausible deniability) katmanı sağlayarak Kremlin’in doğrudan rolünü gizliyor. Bu durum, ABD ve müttefiklerinin saldırıları kime atfetmesi ve nasıl karşılık vermesi gerektiğini zorlaştırıyor. Üstelik Moskova, bu grupları resmi olarak kontrol etmediğini iddia etse de, onlara duyduğu sempatiyi gizlemiyor. Siber güvenlik uzmanları, bazı grupların devlet güvenlik ve istihbarat kurumlarıyla işbirliği yaptığını da belirtiyor. Örneğin Mandiant, “XakNet Team”, “Infoccentr” ve “CyberArmyofRussia_Reborn” gibi grupların Rusya’nın Askeri İstihbarat Müdürlüğü (GRU) ile işbirliği yaptığını orta düzey güvenle değerlendiriyor.
Ayrıca bu saldırılar, iç içe geçmiş bir hibrit savaş stratejisinin parçası. Dr. Seth Jones’un belirttiği gibi, Rusya’nın Avrupa’daki hibrit saldırıları 2022-2023 arasında dört kat, 2023-2024 arasında ise üç kat arttı. Bu hibrit taktikler arasında suikast planları, kargo uçaklarına bomba yerleştirme, depoları ateşe verme ve yoğun siber saldırılar yer alıyor. Bu faaliyetler, Moskova’nın ABD ve Avrupa müttefiklerini istikrarsızlaştırma hedefini net biçimde ortaya koyuyor.
Rus Siber Faaliyetlerine Karşılık
Rusya’nın yoğunlaşan siber kampanyasına karşı, siber tehdit istihbaratının paylaşılacağı ortak merkezlerin kurulması ve genişletilmesi büyük önem taşıyor.
- EC3, AB’nin merkezi uzmanlık ve siber istihbarat merkezi olarak hareket ediyor, ulusal kolluk kuvvetlerini operasyonel koordinasyon, stratejik analiz ve eğitimle destekliyor.
- J-CAT, EC3 bünyesinde sınır ötesi siber suç operasyonlarını mümkün kılıyor. 13 AB üyesi ve ABD dahil 7 AB dışı ortak ülkenin siber irtibat görevlilerinden oluşuyor. J-CAT, ortak soruşturmaların belirlenmesi, önceliklendirilmesi, başlatılması ve yürütülmesini sağlıyor. Ayrıca, Lahey’deki merkezinde farklı ülkelerden uzmanların birlikte çalışmasını sağlayarak güven ve koordinasyonu artırıyor.
Nitekim J-CAT, Eastwood Operasyonu’nu destekleyerek değerini kanıtladı ve Rusya’nın hibrit savaşına karşı mücadelede genişletilebilecek bir model sundu.
Rusya’nın hibrit taktikleri küreselleştikçe, karşılık da küresel olmalıdır. Bu nedenle:
- Müttefik ülkeler, EC3 ve J-CAT’e yatırım yapmaya devam etmeli,
- Güney Kore ve Japonya gibi henüz J-CAT’e dahil olmayan ancak Rus siber saldırılarından etkilenen ülkeler sürece katılmalı,
- Güneydoğu Asya’da Singapur, Doğu Afrika’da Kenya gibi bölgelerde de işbirliği merkezleri kurulmalıdır.
Siber alan küreseldir; bu nedenle bu alandaki ittifaklar da küresel olmak zorundadır.
Julia Dickson, Washington D.C.’de Stratejik ve Uluslararası Çalışmalar Merkezi (CSIS) bünyesinde İstihbarat, Ulusal Güvenlik ve Teknoloji Programı’nda araştırma görevlisidir.
Emily Harding, CSIS’te aynı programın direktörü ve Savunma ve Güvenlik Departmanı başkan yardımcısıdır.
