Türkiye devlet destekli siber saldırıların hedefinde Bilim Haberleri

Kaspersky verilerine göre, APT grupları 2024'te özellikle hükümet, telekomünikasyon, finans, enerji ve savunma sektörlerini hedef aldı. Aynı yıl en çok hedef alınan 12 ülke arasında Türkiye de yer aldı.

Gelişmiş kalıcı tehdit (APT) grubu olarak tanımlanan devlet destekli siber saldırganlar, 2025'te küresel ölçekte daha da etkili hale gelirken, veriler, bu grupların taktiksel yeteneklerini geliştirdiğini ve hedef alanlarını genişlettiğini ortaya koyuyor.

En aktif APT grupları arasında, Lazarus, HoneyMyte, Kimsuky, Charming Kitten ve SideWinder öne çıktı.

Kaspersky uzmanlarına göre, saldırıların hem kapsamı hem de karmaşıklığının artış gösterdiği 2025'in en aktif APT grupları, SideWinder, Kimsuky, Lazarus, Salt Typhoon, APT42 ve TetrisPhantom oldu.

Bu gruplar, yalnızca veri hırsızlığı veya casusluk değil, aynı zamanda kritik altyapılara zarar vermeyi de hedefleyen gelişmiş operasyonlar yürütüyor.

Yapay zeka destekli saldırı tekniklerinin daha sık kullanılmaya başlanması ve bazı grupların etkinliğindeki artış, APT tehdidinin boyutlarını genişletti. SideWinder, iki yıl üst üste öne çıkan aktör olurken, TetrisPhantom ve APT42 ise 2025'te ilk kez listeye girdi.

Türkiye çevrim içi tehditlerde META bölgesinde ilk sırada

Kaspersky'nin 2025'in ilk çeyreğine ilişkin verilerine göre, Türkiye'deki kullanıcıların yüzde 26,1'i çevrim içi tehditlerden etkilendi. Türkiye bu oranla Orta Doğu, Türkiye ve Afrika (META) bölgesinde en yüksek risk seviyesine sahip ülke oldu. Türkiye'yi, yüzde 20,1 ile Kenya, yüzde 17,8 ile Katar, yüzde 17,5 ile de Güney Afrika izledi.

Bölgede, SideWinder, Origami Elephant ve MuddyWater gibi 25 APT grubu aktif şekilde izleniyor. Mobil cihazlara yönelik istismar teknikleri ve gelişmiş gizlenme kabiliyetleri, APT saldırılarının daha sofistike hale geldiğini gösteriyor.

APT grupları maddi kazanç değil, stratejik bilgi peşinde

Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Baş Güvenlik Araştırmacısı Maher Yamout, AA muhabirine, Türkiye'nin jeopolitik konumu sebebiyle bölgede en çok saldırı alan ülkeler arasında yer aldığını söyledi.

Yamout, özellikle devlet kurumlarını hedef alan APT gruplarının, klasik siber saldırılardan farklı olarak maddi kazanç yerine stratejik bilgi peşinde olduğunu belirtti.

Geleneksel siber suçluların kullanıcı adı, parola ve kredi kartı gibi verileri çalıp karanlık ağda satmayı amaçladığını ifade eden Yamout, APT gruplarının ise ekonomik çıkarlar veya askeri bilgiler gibi kritik verileri ele geçirmeye odaklandığını vurguladı.

Yamout, "Bu gruplar, hedef ülkelerdeki sistemlere sızarak hassas bilgileri çalmayı ve bu verileri analizlerinde kullanmayı amaçlıyor. Bu grupların çoğu devlet kurumlarını hedef alıyor. Dışişleri bakanlığı gibi çeşitli devlet kurumları ve bakanlıklar genellikle bu tehdit aktörlerinin öncelikli hedefleri arasında yer alıyor." dedi.

Türkiye, Mısır ve Pakistan, jeopolitik nedenlerle hedefte

Geçen yıl Türkiye, Mısır ve Pakistan'ın, siber casusluk faaliyetlerinin yoğunlaştığı ülkeler arasında yer aldığını kaydeden Yamout, bunun temelinde bölgedeki jeopolitik ve ekonomik gelişmelerin yattığını söyledi.

Yamout, "Ayrıca teknolojik bir boyut da var. Bazı ülkeler, başka ülkelere askeri teknolojiler veya üretim desteği veriyor. Bu durum, diğer APT gruplarının bu ülkeleri daha yakından anlamak istemesine neden oluyor. Bu nedenle o ülkelerin sistemlerine sızarak hassas bilgileri ele geçirmeye çalışıyorlar. Hangi teknolojileri kullanıyorlar, ne üretiyorlar gibi soruların cevabını öğrenmek istiyorlar." diye konuştu.

YouTube üzerinden gizli bağlantı kuran virüs saldırısı

Yamout, bugüne kadar karşılaştığı en ilginç siber saldırının, siber paralı askerler tarafından düzenlenen ve klasik yöntemlerden çok farklı yol izleyen bir saldırı türü olduğunu anlattı.

Saldırının teknik açıdan karmaşık olmadığını ancak bugüne kadar karşılaştığı en dikkat çekici saldırı olduğunu kaydeden Yamout, söz konusu olay hakkında şu bilgileri paylaştı:

"Siber paralı askerler tarafından gerçekleştirilen bu saldırıda, kurbanın cihazına bir zararlı yazılım yüklendi. Genellikle saldırganların, bu tür zararlılarla veri çalmak için doğrudan iletişim kurması gerekirken, bu vakada alışılmadık bir yöntem tercih edilmişti. Saldırganlar, zararlı yazılımın komuta sunucusuyla doğrudan bağlantı kurmak yerine, aracı olarak bir YouTube videosunu kullandı. Görünürde sıradan bir video olan içerikte, açıklama ya da yorum bölümüne gizlenmiş şekilde virüsün komuta sunucusunun adresi yerleştirilmişti. Zararlı yazılım önce bu videoya bağlanıyor, ardından ilgili bilgiyi alarak asıl sunucuyla iletişime geçiyordu. Bu dolaylı ve son derece gizli iletişim yöntemi, ilk bakışta yalnızca YouTube'a yapılan sıradan bir bağlantı gibi göründüğünden, tespit edilmesi oldukça zordu. Bu saldırı tekniği, benim için özellikle ilginç ve öğretici bir örnek oldu."