Kuzey Kore, hakkında çok fazla şey bilmediğimiz, genellikle her yere roket atma sevdası ve ‘Yurtta nuke, cihanda nuke’ sözünü çağrıştıran lideri ile anılan bir ülke. İnternet erişiminin halka fazlasıyla kısıtlı sunulması, yaşam şartlarının ağırlığı ve distopik bir eğitim sisteminin olması, siber savaş konusunda yeteneklerini algılamamızda yanılmamıza sebep olabilir. Güney Kore’de yayınlanan ‘The All-Purpose Sword’ isimli makalede, Kuzey Kore’nin siber savaş konusundaki yeteneklerine dair bazı bilgiler yayınlandı. Yazıda bu bilgiler eşliğinde Kuzey Kore siber operasyon yapılanması, birimleri, planlama ve faaliyet tavırları hakkında bazı bilgileri sizlerle paylaşacağım.
İnternette çok da fazla olmayan kaynaklar eşliğinde Kuzey Kore’nin siber saldırı ve savaş gücü hakkında bazı sonuçlara erişmek mümkündür. Ve görünen sonuçlar, her ne kadar günümüze göre ilkel bir altyapıda çalışsalar dahi, bu ülkenin de kapalı kutu olmasının bazı avantajlarının olduğunu göstermektedir. İlkel bir altyapı olmasına en iyi örnek, sadece basit bir DDOS atağı sonucu ülkenin havayolları, turizm bakanlığı vb sitelerinin olduğu sunucuların çökeceğini ispat eden olaylarla açıklanabilir. Ama hikayeye bir yerden başlamak gerekirse, Sony tarafından piyasaya sürülen bir film ve karşılığında yapılan Blockbuster Operasyonu ile başlamak daha doğru olacaktır.
Sony Pictures Entertainment çalışanları 2014 yılının Kasım ayında bilgisayarlarını açtıklarında kırmızı bir kurukafa ve üzerinde “Guardians of Peace” (Barışın Koruyucuları) yazan bir ekranla karşılaştılar. İlk başta fark etmedikleri durum ise, şirket sunucularının yarısından fazlasına bulaşmış olan bu malware yazılımın depolanan verileri sildiğiydi. Sony o dönemde “The Interview” isimli bir komedi filminin yapımcısıydı ve filmde iki ABD’li genç, Kim Jong-un’a yapılacak bir suikast planının içinde çeşitli şapşallıklar sergiliyorlardı. Kuzey Kore’nin siber savaş ortamlarında en popülerleştiği dönem de bu saldırı sonrası başladı.
Aslında Kuzey Kore’nin bu güce ulaşmasının temelleri 90’lu yıllara dayanmakta. Kim Jong-un’un babası Kim Jong-il, ABD’nin Kosova ve Irak savaşlarındaki üstünlüğünün temel nedenlerinin başında ABD ordusunun internet erişimini üst seviyede kullanması olduğunu fark etmişti. Zaten daha önceleri ülkedeki propaganda araçlarının başına koyduğu televizyon ve yayın alanında çeşitli yurtdışı kaynakları takip edip, ülkesinde kullandığı bilinen bir gerçekti. Bu vizyon ile ilk siber ordunun temellerinin atıldığı biliniyor. Ancak asıl gelişim, oğlu Kim Jong-un göreve geldikten sonra başladı.
Kuzey Kore, her sene 50’den fazla askerini bilişim ve siber savaş konularında eğitim için çeşitli ülkelere göndermeye başladı. Bu askerler, eğitimlerinden sonra ülkelerinde hizmet ve eğitim vermeye devam ettiler. Ve bugüne geldiğimizde Kuzey Kore’nin bu konuda 7000’den fazla eğitimli siber saldırı konularında uzman istihdam ettiği söyleniyor. Günümüzde siber saldırı ve savunma olgusunun askeri operasyonlarda önemi aşikar. Ve Kuzey Kore kendi açısından gayet mantıklı hamlelerle, dezavantajlarını gidermeyi hedefliyor. Ki bu yeteneklerini çeşitli siber saldırılar ve WannaCry gibi fidye yazılımlarını global ağlara yaymaları ile gösterdiler.
Kuzey Koreli hack grupları Lazarus Group, Bluenoroff, AndAriel, DarkHotel gibi çeşitli adlarla karşımıza çıksa da, bu yanıltıcı bir bilgi denebilir. Çünkü tüm bu gruplar ve kullandıkları taktikler, saldırılar neredeyse aynıdır. Tek bir merkez tarafından yönetildiklerini söylemek mantığa daha uygun gelebilir. Sonuçta, Kuzey Kore’de bu durumun aksini düşünmek zor. Bu grupların saldırılarına bakarsak, Kuzey Kore için siber savaş, diplomasi ve ekonomi kaygıları taşımaktan ziyade, bir güç gösterisi gibi görünebilir. Tıpkı internette göreceğiniz pseudo-hack grupları gibi davranış gösterebilirler, ama onlardan çok daha eğitimli ve teknik konuda uzman oldukları da bir gerçektir. Kişisel ihtiraslar için gereksiz bir kaynak, hiçbir kar elde etmeyecek bir saldırıya harcanabilir, ve hızlı, kesin ve sonuç odaklı çalışmaları dikkat çekicidir. Yine de genel tabloya bakacak olursak, taktik ve prosedürleri oldukça pragmatiktir. Bir çok paravan şirket üzerinden “zero day” açıklarını satın aldıkları, ve bu açıkları bir çok internet sitesinde, site sahiplerinin haberi bile olmadan yaydıkları durumlarla karşılaşılmıştır.
Kuzey Kore’nin ekibinin eğitim aldığı ülkeler arasında Çin ve Rusya’nın olduğunu söylemem şaşırtıcı değildir herhalde. Tıpkı eğitim gibi, altyapı desteklerini de bu ülkelerden almaya devam etmektedirler. Siber operasyonlarında Çin, Hindistan, Rusya, Belarus ve Malezya’dan ekiplerle çalıştıkları da bilinir. Bu tür çalışmalarla da kendi ekiplerinin gelişimlerinde yol alırlar. Altyapı konusunda da genellikle kendi IP aralıklarında gezinmemeye özen gösterirler.
Tıpkı, Edo döneminde Japonya’nın kapılarını dış dünyaya kapattığı gibi otarşi kavramının merkezde olduğu Kuzey Kore, kapalı bir kutu olduğundan, ekonomik konularda da siber saldırılardan fayda sağladığı su götürmez bir gerçektir. Diğer devletlerdeki ekiplerin aksine, alışılmadık bir şekilde bu yeteneklerini piyasalarda büyük vurgunlar yapmak için kullanırlar. Bankaları hacklemek oldukça zor olsa da, saldırıları olduğu bilinmektedir, ancak fidye yazılımları ve kripto para borsalarının hacklenmesi gibi aktiviteleri daha çok kullanırlar. 2017–2018 yıllarında 500 milyon doların üstünde kripto para hırsızlığının içinde olduklarına dair somut deliller bulunmaktadır.
Siber operasyon yeteneklerinin düşük ölçekli teknikler üzerinden bu denli başarı gösterebilmesinde, Juche ideolojisinin (her ne kadar bir demokrasi olduğunu söyleseler de) bir diktatörlük olması fayda sağlamaktadır. Burada kadt ettiğim yönetim sisteminin iyi olduğu değildir, ancak siber operasyon ekiplerinin harekete geçmesi için küçük bir siyasi yapıdan onay alması yeterli olunca, karar verme ve harekete geçme süreleri tahminen birkaç telefon görüşmesine bakacak kadar kısadır. Bu tür bağlar özellikle diktatoryal bir sistemde bir siber operasyon için inanılmaz derecede hızlı hareket yeteneği sağlamaktadır.
Belki de sinemada izlediğiniz filmlerdeki hacker imajı size “tek kişilik ordu” yanılsamasını sağlamış olabilir. Bu teoride mümkün gibi görünse de, pratikte imkansızdır. Siber operasyonlar, bir kişi ve üst düzey donanım ile yapılamayacak kadar komplikedir. Farklı becerilerle donanmış kişilerden oluşan bir kadroya ihtiyaç duyarlar. En azından bir kişinin geliştirici olması, bir kişinin operasyonu idare etmesi, ve bu iki kişinin kullandığı donanımların güvenliği için bir güvenlik uzmanının bulunması bile size orta seviyede bir gücü sağlamaktan uzaktır. Standart bir şirket gibi düşünmeyip bu kişilerin çalışma şartları, maaş, sigorta vb olgularını hesaba katmasak bile, operasyonlar sonucu elde edilecek gelirlerin kayıt altına alınması, bu paranın paravan şirketler üzerinden aklanması ve denetimi gibi olgular karşınıza çıkacaktır. Sonuçta bu ekibin sadece size iş maliyeti yüzbinlerce doları bulacaktır. Diyelim ki tüm bu olguları aşabildiniz, o zaman da çalınan terabaytlar dolusu verinin analiz edilmesi durumu ile karşı karşıya kalırsınız. Bu konuda uzmanlaşmış bir analist kadronuz yoksa, bu veriler bir işe yaramayan data yığınlarından ibaret kalacaktır. Analiz ekibinin maliyetini de ekleyelim listeye. Ayrıca elde edilen bilgilerin çevrilmesi vb durumlar da gerekli olacaktır. Tüm bunların yanısıra, donanımın bakımı, çalışır halde kalması için gerekli kişileri de ekibe eklemek şarttır. Bu ekibin nerede çalışacağı, yaşamak için ihtiyaçları, çalışma alanlarının bakım ve temizliği gibi işlere gereken istihdamdan ve elektrik gibi temel giderlerden bahsetmiyorum bile.
Kuzey Kore’nin “ucuz iş gücü” ve “çalışma şartları” gibi konularda gayet avantajlı olduğunu (çalışan için değil elbette) söyleyebiliriz. Az önce bir paragrafta izah ettiğim üzere, bir siber operasyon ekibi kurmak, hiç de kolay bir iş değil, ve ciddi bir yatırım gerektiren bir iş. Kuzey Kore’de hükümet bu kaynakları sağlarken, ucuz iş gücü havuzundaki gençlere, yabancı ülkede eğitim görmek, dikta rejimine hakim kitlenin desteğini arkalarına almak gibi avantajlar sağlayarak, daha kolay ve masrafsız çözümler bulabilmektedir. Peki Kuzey Kore siber operasyonlar için nasıl bir yapılanma kurmuştur?
Kim Jong-un haliyle Devlet İşleri Komisyonu Başkanlığı yapıyor ve emrindeki iki kurumda siber operasyonlar yürütülüyor. Birisi GSD yani Genelkurmay Başkanlığı, diğeri ise RGB yani Keşif Genel Bürosu olarak adlandırabileceğimiz istihbarat teşkilatı. 2008 yılında kurulana kadar da istihbarat departmanı da askeri birimlere bağlıymış.
Kuzey Kore siber güçlerinin nasıl organize olduğuna daha yakından bakalım. Devlet İşleri Komisyonu Başkanı Kim’in yönetiminde bilmeniz gereken iki ana kurum var: Keşif Genel Bürosu ya da RGB ve Genelkurmay Başkanlığı ya da GSD. 2009’da kurulan RGB, geleneksel olmayan, gizli faaliyetlerden sorumlu bir istihbarat teşkilatıdır. Bu teşkilatın alt birimlerine gelecek olursak, neredeyse tüm siber operasyonlar Büro 121 olarak adlandırılan birimin sorumluluğundadır. Bu büro altında Lab 110 siber operasyonların idaresini gerçekleştirir ve Ofis 98, Ofis 414 ve Ofis 35 olarak üç alt birimde çalışmalarını sürdürür.
Ofis 98, yurtdışındaki Kuzey Koreli sığınmacılar ve onları destekleyen kuruluşları, diğer ülkelerde Kuzey Kore ilgili çalışmalar yapan araştırma enstitülerini ve araştırmacıları ve Güney Kore menşeili üniversite ve profesörleri takip eder. Sızma operasyonları temel alanlarıdır, bilgi toplama ve istihbarat ağırlıklı çalışsalar da, saldırı yapmak için de gerekli eğitimleri vardır. Ofis 414 Kuzey Kore ve Çin’de bulunan elemanları ile diğer hükümetler, finans ağları ve özel şirketler hakkında istihbarat ve operasyon faaliyetleri sürdürür. Ofis 35 ise virüs ve malware gibi yazılımların geliştirilmesi, istismar ve veri sızdırma amaçlı yazılım ve donanım hamlelerinin planlanmasından mesuldür.
Büro 121 dışında, Birim 180 ve Birim 91 olarak adlandırabileceğimiz iki özel birim daha olduğu bilinmektedir. Birim 180 finans sektörlerinde hırsızlık konusunda uzmanlaşmış bir birimdir. Genellikle Kuzey Kore dışında faaliyet gösterirler, ki bu faaliyetler arasında sıklıkla kripto para çalma, kredi kartı dolandırıcılıkları ve bankacılık sistemlerine sızma ön plana çıkar. 2016 yılında Bangladeş merkez bankasının verilerini elde ederek, 100 milyon dolarlık bir zarara yol açtıkları bilinmektedir. Birim 91 ise endüstriyel casusluk konusunda uzmanlaşmıştır. Enerji kontrol sistemleri, enerji santralleri gibi kritik altyapıları hedef alacak siber operasyonlar konusunda çalışırlar.
Kuzey Kore’nin askeri departmanı olan GSD ise siber operasyonların savaş stratejilerinde kullanılmasında Birim 56, Birim 31 ve Birim 32 ekiplerinden faydalanır. Birim 31 malware vb kötü amaçlı yazılım geliştirme ile ilgilenir. Birim 32 askeri yazılım geliştirme birimidir. Birim 56 ise komuta kontrol altyapısında ar-ge çalışmalarını yürütür. Ek olarak Düşman Saldırı ve Sabotaj Bürosu (Tam çevirisi bu olmayabilir, malum Kore dilinden pek anlamıyorum) bilgi edinme ve psikolojik savaş konularında strateji üretme ve uygulama konularında görev alır.
Sonuç olarak Kuzey Kore, internet altyapısı DDOS saldırısı ile sekteye uğrayacak kadar eski yazılım teknolojisine sahip olsa da, siber operasyonlar konusunda hiç de hafife alınacak bir ülke değildir. Farklı işlevsel alanlarda, gerek teknik olarak, gerek saha operasyonu bazında oldukça iyi derecede planlama, koordinasyon ve istihbarat gücüne sahiptir.