Siber korsanlara verilen yaratıcı takma adlar tarihe karışıyor: Microsoft ve Google'dan ortak sözlük girişimi
- Aynı hacker grubuna farklı şirketler tarafından farklı isimler verilmesi, siber tehditlere karşı koordineli müdahaleyi zorlaştırıyor.
- Microsoft, Google ve önde gelen güvenlik firmaları, kafa karışıklığını önlemek için ortak bir isimlendirme sözlüğü hazırlıyor.
Siber güvenlik dünyasında yıllardır süregelen ve kimi zaman istihbarat paylaşımında zorluklara yol açan hacker gruplarına dair isimlendirme karmaşası sona erebilir. Microsoft, Google (Alphabet), CrowdStrike ve Palo Alto Networks, devlet destekli bilgisayar korsanlığı gruplarına verilen takma adlardaki kargaşayı gidermek üzere kamuya açık bir sözlük oluşturmak için işbirliğine gittiklerini duyurdu.
Microsoft Güvenlik'ten Kurumsal Başkan Yardımcısı Vasu Jakkal, bu girişimin, siber tehditlere karşı daha hızlı ve toplu bir yanıt geliştirilmesini sağlayacağını belirterek, “Bu tehdit aktörlerine karşı toplu savunmamızı hızlandıracağına inanıyoruz” dedi.
Şirketler, bu projeye siber güvenlik sektöründen başka firmaları ve ABD hükümetini de dahil etmeyi hedefliyor.
Hacker gruplarına neden takma ad veriliyor?
Bilgisayar korsanlarını doğrudan bir ülkeye ya da yapıya atfetmek her zaman kolay olmuyor. Bu nedenle siber güvenlik şirketleri, analizlerinde ve raporlarında söz konusu grupları tanımlamak için kodlanmış ya da çağrıştırıcı takma adlar kullanıyor.
Örneğin; siber güvenlik firması Mandiant, 'APT1' gibi sade isimler kullanırken, TrendMicro’nun takip ettiği grup 'Earth Lamia', Kaspersky’nin izlediği grup ise “Equation Group” gibi daha esrarengiz isimlerle anılıyor. CrowdStrike ise daha yaratıcı bir yol izleyerek, Rus hackerlar için “Cozy Bear”, Çin merkezli gruplar içinse 'Kryptonite Panda' gibi dikkat çekici adlandırmalar kullanıyor.
2016’da Secureworks (şu an Sophos bünyesinde) “TG-4127” olarak bilinen Rus hacker grubunu Iron Twilight olarak yeniden adlandırdı. Microsoft ise takma adlarında tematik değişikliğe giderek, element temalı adlar (örneğin: Rubidium) yerine, Lemon Sandstorm ya da Sangria Tempest gibi hava durumu temalı yeni isimler benimsedi.
Adlar çoğaldıkça kafa karışıklığı büyüyor
Ancak bu yaratıcı yaklaşım zaman içinde bilgi kirliliğine yol açtı. ABD hükümeti, 2016 başkanlık seçimlerine yönelik siber saldırılara dair hazırladığı bir raporda, yalnızca Rus gruplar için bile 48 farklı takma ada yer verince, hangi ismin hangi gruba ait olduğu karmaşık bir hal aldı. Bu gruplar arasında Sofacy, Pawn Storm, CHOPSTICK, Tsar Team ve OnionDuke gibi isimler yer alıyordu.
Palo Alto’nun tehdit istihbarat biriminin CTO’su Michael Sikorski, bu girişimin “oyunun kurallarını değiştirebileceğini” belirterek, “Aynı tehdit aktörleri için farklı adlandırmalar, netliğe ihtiyaç duyulan anlarda savunma yapanlar için kafa karışıklığı yaratıyor” dedi.
Ancak tüm sektör aynı fikirde değil.
Eleştiriler de var: Marka yaratma çabası olabilir
SentinelOne şirketinden İstihbarat ve Güvenlik Araştırmaları Direktörü Juan Andres Guerrero-Saade, bu ortak sözlük girişimine şüpheyle yaklaştığını dile getirdi. Guerrero-Saade, şirketlerin siber tehditlere dair bilgileri çoğu zaman ticari kaygılarla sakladığını belirterek, “Bu, markalaşma-pazarlama-iş gerçeklerinin üzerine serpilmiş bir peri tozudur” ifadelerini kullandı.
Öte yandan CrowdStrike Kıdemli Başkan Yardımcısı Adam Meyers, Microsoft’un 'Salt Typhoon' adını verdiği grupla, kendi şirketlerinin “Operator Panda” olarak tanımladığı grup arasında bağlantı kurulmasını bu yeni girişimin somut bir başarısı olarak gösterdi.
Sözlük ne zaman hazır olacak?
Sözlük çalışmasının tam olarak ne zaman tamamlanacağı ya da nasıl işleyeceğine dair ayrıntılar henüz paylaşılmış değil. Ancak siber güvenlik şirketlerinin ortaklaşa geliştirdiği bu girişim, dijital tehditler dünyasında daha şeffaf ve uyumlu bir istihbarat altyapısı kurma yönünde atılmış önemli bir adım olarak değerlendiriliyor.
