Devlet destekli siber saldırıların hedefinde Türkiye var

• 2025’te APT grupları saldırılarını hem taktik hem kapsam açısından ileri taşıdı.
• Türkiye, hükümet ve savunma alanlarında yoğun hedef ülkeler arasında.
• Yapay zekâ destekli saldırılar ve mobil istismarlar öne çıkıyor.
• Siber paralı askerler, YouTube’u gizli iletişim için kullandı.

Devlet destekli gelişmiş kalıcı tehdit (APT) grupları, 2025 itibarıyla küresel ölçekte daha da etkili hale geldi. Kaspersky tarafından yayımlanan verilere göre, bu gruplar yalnızca veri çalmakla kalmayıp, aynı zamanda kritik altyapılara zarar vermeyi hedefleyen operasyonlar da yürütüyor.

2024 yılında hükümet, telekom, finans, enerji ve savunma sektörlerini hedef alan gruplar; 2025’te saldırılarını daha karmaşık ve yaygın hale getirdi. En aktif APT aktörleri arasında SideWinder, Kimsuky, Lazarus, Salt Typhoon, APT42 ve TetrisPhantom dikkat çekti. SideWinder iki yıl üst üste en etkin grup olurken, APT42 ve TetrisPhantom ilk kez bu yıl listeye girdi.

Türkiye META bölgesinde ilk sırada

Kaspersky'nin 2025’in ilk çeyreğine dair verileri, Türkiye’deki kullanıcıların yüzde 26,1’inin çevrim içi tehditlerden etkilendiğini ortaya koydu. Türkiye bu oranla Orta Doğu, Türkiye ve Afrika (META) bölgesinde en yüksek risk seviyesine sahip ülke oldu. Kenya (%20,1), Katar (%17,8) ve Güney Afrika (%17,5) ise Türkiye’yi izledi.

Bölgede SideWinder, Origami Elephant ve MuddyWater gibi 25 APT grubunun aktif şekilde izlendiği belirtildi. Özellikle mobil cihazlara yönelik gelişmiş istismar teknikleri ve gizlenme becerileri, tehditlerin daha sofistike hale geldiğini gösteriyor.

Stratejik bilgi peşindeler

Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Baş Güvenlik Araştırmacısı Maher Yamout, APT gruplarının klasik siber suçlulardan farklı olarak para değil, stratejik bilgi peşinde olduğunu vurguladı. Yamout’a göre bu grupların öncelikli hedefleri devlet kurumları.

“Bu gruplar Dışişleri Bakanlığı gibi kurumlara sızarak, hassas bilgileri ele geçirmeye çalışıyorlar. Maddi kazançtan çok, ekonomik çıkarlar veya askeri teknolojiler gibi stratejik verilere odaklanıyorlar.” dedi.

Yamout, Türkiye, Mısır ve Pakistan’ın son yıllarda yoğun siber casusluk faaliyetlerinin hedefi olduğunu belirtti. Bunun arkasında ise jeopolitik konumları ve bazı ülkelerle yürütülen askeri-teknolojik iş birlikleri yer alıyor.

“Bazı ülkeler askeri teknoloji desteği veriyor, üretim altyapısı sağlıyor. Bu da onları APT gruplarının radarına sokuyor. Bu gruplar, o ülkelerin teknolojik kapasitesini anlamak istiyor.” açıklamasında bulundu.

Youtube bağlantılı saldırılar

Yamout’un aktardığına göre, şimdiye kadar karşılaştığı en dikkat çekici saldırı, siber paralı askerler tarafından gerçekleştirildi. Saldırganlar, kurbanın cihazına bulaştırdıkları zararlı yazılımın komut almasını sağlamak için YouTube’u kullandı.

Görünürde sıradan bir video olan içerikte, açıklama veya yorum kısmına zararlının komuta sunucusunun adresi gizlendi. Yazılım, önce bu videoya bağlanarak bilgi alıyor ve ardından gerçek sunucuyla iletişime geçiyordu. Yamout, bu tekniğin tespit edilmesinin oldukça zor olduğunu belirterek, "Bu saldırı benim için öğretici ve sıradışı bir örnek oldu." dedi.