Herkese merhaba,
Bugün bilinmezler ülkesi olan Kuzey Kore hakkında dilim döndükçe bir şeyler yazacağım. Burada yazılanlar araştırmalar, tecrübeler ve Güney Kore’de yaşayan bazı arkadaşlarımın bilgi birikimlerinin aktarılması ile oluşturulmuştur. Başlamadan önce Kuzey Kore’nin tamamen kapalı kutu olduğunu düşünürsek bunların doğrulanması ne yazık ki zordur, bu yüzden kesin doğrudur bunlar diyemiyoruz.
Aslında biraz da olsa 2021 yılında yazmış olduğum bir blog yazımda Kuzey Kore’nin internet alt yapısı, telefonları vb. hakkında kısa bir bilgi vermiştim. Bu yazımda ise biraz daha derinlemesine dalış yapacağız.
Siber Güvenlikte Kuzey Kore dediğimizde akan sular duruyor. Bunun sebebi ise devlete bağlı olduğu düşünülen Hacker gruplarının yapmış oldukları saldırılardır. Daha yakın bir tarihte Kuzey Kore’nin gizli istihbarat örgütüne bağlı olduğu düşünülen Lazarus grubu 1.46 milyar dolar Etherium çalmıştı. İnanılmaz bir para. Bu gibi saldırıların altında ise nükleer çalışmalarının fonlanması yatıyor. Yani kripto şirketlerini hackleyerek nükleer çalışmalarını fonluyorlar, bedava para. Peki nasıl oluyor da Kuzey Kore bu kadar ses getiren işler yapabiliyorlar? Gelin Kuzey Kore’yi yakından tanımaya çalışalım.
Kuzey Kore’de internet ve telefon nasıl çalışır?
Kuzey Kore’de halkın büyük kısmının erişebildiği internet, aslında gerçek anlamda bildiğimiz internet değildir, devletin kurduğu ulusal intranet ağı “Kwangmyong” (Korece “Parlak Işık”) olarak bilinir. Kwangmyong ağı bilinene göre 2000’lerin başında ülke genelinde faaliyete geçmiştir ve küresel internete tamamen kapalı ayrı bir dijital dünyadır. Bu intranet; .kp uzantılı yerel sitelerden, çevrimdışı kütüphanelerden ve e-posta hizmetlerinden oluşur. İçeriklerin tamamı devlet kurumlarınca sağlanıp onaylanmıştır. Bugün Kwangmyong üzerinde yaklaşık 5.000 kadar devlet onaylı web sitesi bulunduğu tahmin edilmektedir. Bunlar arasında devlet haber ajansı KCNA ve Rodong Sinmun gazetesi, eğitim ve bilimsel arşiv siteleri, bazı e-ticaret siteleri ve hatta isteğe bağlı video hizmeti Manbang gibi yalnızca ülke içinden erişilebilen servisler vardır.
Bir önceki yazımda da bahsettiğim gibi Kuzey Kore’nin küresel internete ayrılmış IP adresi sayısının yalnızca 1024 adet civarında olduğu bilinmektedir. Bu birkaç yüz veya birkaç bin seçkin kullanıcı dışında, 25 milyonluk nüfusun geri kalanına global internet kapalıdır.
Kuzey Kore, bilgisayarların çalışma ortamını da kontrol altında tutmak amacıyla kendine ait Red Star adında bir işletim sistemi geliştirmiştir. Red Star OS, Linux tabanlı bir işletim sistemidir ve Korea Computer Center (KCC) tarafından geliştirilmiştir. Bu sistem, yalnızca ulusal intranet ile çalışacak şekilde yapılandırılmıştır. Örneğin Red Star içindeki tarayıcı, sadece Kwangmyong üzerindeki siteleri çözümleyip görüntüleyecek biçimde ayarlanmıştır. İşletim sistemi düzeyinde de dosya izleme ve içerik doğrulama özellikleri bulunduğu, hatta USB bellekle taşınan dosyalara bile gizli filigran (watermark) ekleyerek kaynağının izini devletin sürebildiği rapor edilmiş. Kısacası Kuzey Kore, kullanılan yazılımları dahi kendi kontrolüne alarak dış bilgi akışının sızmasını engelleyecek bir ekosistem kurmuş.
2000’lerin sonunda cep telefonu teknolojisi kademeli olarak Kuzey Kore’ye girmiştir. 2008’de Mısır merkezli Orascom şirketiyle ortak kurulan Koryolink, ülkenin ilk geniş ölçekli 3G mobil operatörüdür. Bugün Koryolink ve devlete ait birkaç diğer operatör (örneğin 2013’te kurulan Kang Song/Byol şebekesi) üzerinden milyonlarca Kuzey Koreli cep telefonu kullanmaktadır. Ancak bu cep telefonu servisleri de tıpkı intranet gibi yalnızca ülke içi iletişim ve veri erişimine izin verecek şekilde kısıtlanmıştır. Yani Kuzey Kore vatandaşları telefonlarıyla sadece yurtiçindeki aramaları yapabilir, Kwangmyong intraneti üzerindeki mobil hizmetlere (haber okuma, mesajlaşma, devlet uygulamaları vb.) erişebilir; uluslararası arama yapmaları veya global internet veri trafiğine ulaşmaları teknik olarak engellenmiştir. Mobil veri altyapısı, şehirlerde ve önemli bölgelerde 3G/4G kapsaması sağlayacak biçimde gelişmiştir ancak bunun internete açılan bir kapısı yoktur. Yalnızca ülkedeki yabancı diplomat ve ziyaretçilere özel, küresel internet erişimi sunan ayrı SIM kartlar mevcuttur; bu yabancıların kullandığı mobil ağ dahi Kwangmyong’dan izole edilmiştir. (yabancıların ulusal intranete girmesine izin verilmez)
Son yıllarda akıllı telefon kullanımının artmasıyla birlikte Kuzey Kore, cep telefonlarını intranete bağlamak için “Mirae” adı verilen Wi-Fi ağını devreye almıştır. Mirae (Korece “Gelecek”) adlı bu hizmet ilk olarak 2017’de Pyongyang’ın seçili bölgelerinde başlatılmıştır. Kullanıcılar, telefonlarına ikinci bir Mirae SIM kartı takıp bir Mirae uygulaması yükleyerek halka açık kablosuz erişim noktalarından intranete bağlanabilmektedir. 2023 itibariyle Kuzey Kore nüfusunun yaklaşık %20’sinin Mirae Wi-Fi ağını kullandığı yönünde veriler vardır; bu da yaklaşık 5 milyon kişinin bu kablosuz intranet hizmetinden yararlandığını göstermektedir.
Mirae ağı ve genel olarak tüm mobil internet servisleri, sıkı kimlik doğrulama prosedürleri ile çalışır; her kullanıcı intranete bağlanmak için kayıtlı kimlik bilgileriyle oturum açmak zorundadır ve her bağlantı oturumu loglanır. Özetle, Kuzey Kore’nin dijital altyapısı, kendi içine kapalı fakat içeride modern görünen bir yapıdır: Kendi işletim sistemi, kendi ulusal “internet”i ve kendi mobil hizmetleriyle, vatandaşlara dünyadaki dijital gelişmelerin belirli yönlerini kontrollü biçimde sunarken, küresel bilgi ağıyla aralarına kalın bir duvar örmüştür.
İçeride Bilgi Akışını Denetleme: Sansür ve Gözetim Mekanizmaları
Kuzey Kore yönetimi, halkın eriştiği her türlü bilgi ve iletişimi sıkı bir teknik ve idari denetime tabi tutar. Sansür ve izleme uygulamaları hem altyapı düzeyinde hem de son kullanıcı cihazlarında derinlemesine işleyecek şekilde tasarlanmıştır. Bu sayede, içeride dijital akışı kendi onayladığı içeriklerle sınırlandırırken, istenmeyen bilginin sızmasını veya muhalif faaliyetleri daha oluşmadan engellemeyi amaçlar.
Kwangmyong ağına kullanıcıların kendi içerik yüklemesi veya serbestçe paylaşım yapması yasaktır. İntranette arama yapan, bir bilgiye bakan herhangi bir kullanıcının kimliği ve yaptığı işlem, bağlandığı cihazla ilişkilendirilerek kayda geçer; dolayısıyla anonimlik zorlaşır.
Özellikle 2010’ların ortalarından itibaren, Kuzey Kore yönetimi kişisel bilgisayarlar ve akıllı telefonlar için çeşitli zorunlu yazılımlar ve sistem güncellemeleri devreye sokmuştur. Örneğin 2014 yılında ülke içinde satılan akıllı telefonlara gönderilen bir işletim sistemi güncellemesi ile, cihaza yüklenen her dosyanın dijital sertifika kontrolünden geçmesi şartı getirildi. Bu güncelleme sonrasında telefonda devlet onaylı olmayan herhangi bir video, resim veya doküman açılmak istendiğinde dosya açılmıyor ve “yasak içerik” uyarısı veriliyor.
Hemen ardından, 2016-2017 civarında çıkan Kuzey Kore akıllı telefon modellerinde, harici uygulama yüklemeyi tamamen kilitleyen ve kullanıcının dosya sistemini dış medyaya kapatan tedbirler alındı. 2022’de ise hükümet, tüm akıllı telefonlara “Kwangmyong” adlı resmi bir uygulamanın yüklenmesini mecburi kıldı. Bu uygulama görünürde devlet haberlerine, gazetelere kolay erişim sağlayan bir portal gibi çalışsa da arka planda cihazı sürekli izleyen gizli modüller barındırır. Radio Free Asia kaynaklarına göre Kwangmyong uygulaması, kullanıcının konumunu takip edebilmekte ve telefonda bir yabancı medya dosyası açma girişimi olursa bunu tespit edip merkeze raporlayabilmektedir. Böylece akıllı telefon, tabiri caizse cebimizdeki casus haline gelmektedir.
Son yıllarda dış dünyaya kaçırılan bir Kuzey Kore akıllı telefonu üzerinde yapılan incelemeler, bu gözetim mekanizmalarının ne denli uç noktalara vardığını çarpıcı biçimde gösterdi. Cihazın özelleştirilmiş Android işletim sisteminde, yazılan her metni tarayıp sansürleyen bir sözlük olduğu görüldü: Örneğin kullanıcı klavyede “Güney Kore” yazmaya kalktığında, telefon otomatik olarak bunu “kukla devlet” olarak düzeltiyordu (Kukla Devlet, Kuzey Kore’nin Güney Kore’ye taktığı aşağılayıcı tabirdir.) Dahası, telefonda kullanıcının ekran görüntüsünü her 5 dakikada bir gizlice alan bir servis bulunduğu ortaya çıktı. Yani her Kuzey Kore akıllı telefonu aslında sürekli ortam görüntülemesi yapan bir dinleme cihazına dönüştürülmüş durumda denilebilir. Bir kullanıcı tüm bu korumaları aşmak için teknik bir değişiklik yapmaya kalkarsa (örneğin telefonu “root”lamak veya güvenlik yazılımını silmek), telefon bunu da anlıyor ve ağır cezai yaptırımları olabilecek bir ihlal olarak merkezi sisteme bildiriyor. Yetkililerin zaman zaman sokakta veya toplu taşıma araçlarında gençlerin telefonlarını rastgele kontrol ederek yabancı müzik, video olup olmadığını denetledikleri de bilinen bir uygulamadır.
Kuzey Kore’nin Siber Güvenlik Yapılanması: Kurumlar ve Hacker Birimleri
Dış dünyaya kapalı bir ülke olmasına rağmen Kuzey Kore, siber uzayda saldırı ve casusluk faaliyetleri yürüten oldukça organize ekipler oluşturmuştur. Bu ekipler, çoğunlukla ülkenin askeri istihbarat kurumu olan Reconnaissance General Bureau – RGB çatısı altında faaliyet gösterdiği söyleniyor.
Aşağıda, literatürde isimleri sıkça geçen başlıca Kuzey Kore kaynaklı siber tehdit grupları ve bunların muhtemel organizasyon yapıları özetlenmektedir:
Lazarus Grubu: Lazarus adı, siber güvenlik dünyasında Kuzey Kore bağlantılı en büyük hacker grubu olarak bilinmektedir. Lazarus Grubu doğrudan RGB bünyesinde, Bureau 3’e (dış istihbarat operasyonları) bağlı olarak faaliyet gösterdiği söyleniliyor. Uzmanlar, Lazarus’u bir şemsiye örgüt olarak görme eğilimindedir; alt kolları veya yan grupları olarak sayılan bazı birimler vardır (Andariel, Bluenoroff vb .gibi)
Lazarus’un alt operasyonlarından Bluenoroff veya siber güvenlik literatüründeki adıyla APT38, dünya çapında bankalardan ve kripto para borsalarından para çalmak üzere uzmanlaşmıştır. Yine Lazarus bağlantılı bir başka ekip olan Andariel’in ise özellikle Güney Kore’de kurumlara sızma, ATM sistemlerini hack’leme ve askeri hedeflere yönelik saldırılar gibi faaliyetler yürüttüğü raporlanmıştır. Bu grubun saldırılarıyla elde edilen maddi kazançlar, yaptırımlar altındaki ülke ekonomisine adeta can suyu olurken; diğer yandan stratejik sızmalar yoluyla düşman olarak görülen ülkelere gözdağı verilmektedir.
Bureau 121: Bu, Kuzey Kore içinde resmî olarak siber operasyonlardan sorumlu bir askeri istihbarat departmanının adıdır. 1998’de kurulduğu bilinen Bureau 121, fiilen Lazarus yapılanmasıyla örtüşen bir yapıda kabul edilebilir. Bir dönem Pyongyang’dan kaçan Kuzey Koreli sığınmacılar, Bureau 121’i ülkenin elit hacker teşkilatı olarak tanımlamışlardır. Buraya bağlı alt birimlerde bulunmaktadır. Bu alt birimlerin tam görev ayrımları dışarıdan net bilinmemekle birlikte, bazılarının elektronik savaş ve parazit (GPS sinyallerini bozma gibi) birimlerini, bazılarının finansal siber suç ekiplerini (Bluenoroff gibi) barındırdığı Amerikan kaynaklarınca öne sürülmüştür. Bureau 121’de görev yapan hacker sayısı hakkında zaman içinde farklı rakamlar telaffuz edilmiştir: 2014 civarında bu birimde yaklaşık 1.800 uzman olduğu, 2021 itibariyle ise toplamda 6.000’i aşkın siber personel barındıracak şekilde büyüdüğü tahmin edilmektedir. Bu personelin önemli bir kısmı, resmi görevle yurt dışına (ör. Çin, Rusya, Güneydoğu Asya ülkeleri) gönderilerek oralardan operasyon yürütmekte; geri kalanlar ise Pyongyang’da özel yüksek hızlı internet erişimi olan merkezlerde faaliyet göstermektedir.
Bu gruplar Sony Pictures Hack (2014), Dark Seoul Saldırıları (2013), WannaCry Fidye Yazılımı (2017), Bangladeş Merkez Bankası Soygunu (2016) gibi saldırıların arkasında olduğu söylenilmektedir.
Siber Güvenlik Uzmanları Nasıl Yetiştiriliyor? Eğitim ve Kadrolaşma
Kuzey Kore’nin siber dünyadaki becerisi tesadüfi değildir; aksine onlarca yıllık planlı bir eğitimin ve kadro yetiştirme stratejisinin sonucudur. Rejim, 1980’lerin ortalarından itibaren bilgisayar bilimleri ve siber yetenekler konusunda seçilmiş beyinlere yatırım yapmaya başlamıştır. Bu kapsamda özel eğitim kurumları kurulmuş, müfredatlar hazırlanmış ve yetenekli öğrenciler küçük yaşlardan itibaren takibe alınmıştır.
Kuzey Kore’nin hacker yetiştiren okullarının başında Mirim College gelir. 1980’lerin ortasında (1984-86 civarı) Pyongyang yakınlarında kurulan bu kurum, doğrudan ordu kontrolünde “siber savaşçılar” yetiştirmek üzere tasarlanmıştır. Sovyetler Birliği ile işbirliği içinde kurulan Mirim’de ilk yıllarda Sovyet uzmanlar bizzat ders vermiş, Soğuk Savaş sonrasında ise Sovyetlerde eğitim görmüş Kuzey Koreli subaylar buranın eğitmen kadrosunu devralmıştır. 2007’de ülkesinden kaçarak Güney Kore’ye sığınan bir Mirim mezununun anlattıklarına göre, okulda Windows ve Linux sistemlerindeki açıkları bulup kullanma, düşman sistemlerine sızma tatbikatları, zararlı yazılım geliştirme gibi konularda uzmanlaştığını belirtmiştir. ABD kaynaklı istihbarat raporları, 2009-2020 arasında Mirim College’dan yaklaşık 1300 kadar hacker’ın mezun olduğunu ve bunların Kuzey Kore’nin çeşitli siber operasyon birimlerinde görev aldığını kaydetmektedir.
Bu okullara ek olarak Kim Il Sung Üniversitesi ve Kim Chaek Üniversitesi’de söylenmektedir.
Yani anlayacağınız adamlar Siber Güvenliğe yıllar önce yatırım yapmaya başlamış. Kendilerini dış dünyadan izole etmişler. Onlar bizim dünyamızı çok iyi biliyor fakat bizler onların dünyasını bilemiyoruz. Dediğim gibi burada anlatılan konuların kesin doğrulunu bilemeyiz. Fakat bu yazı güvenilir kaynaklardan ve Güney Kore’de yaşayan arkadaşlarımın halk arasında söyledikleri harmanlanarak oluşturulmuştur.
Umarım bir şeyler aktarabilmişimdir, bir sonraki yazımda görüşmek üzere.
Bu yazıda sunulan bilgiler çeşitli güvenilir kaynaklardan derlenmiştir. Konuya ilişkin ayrıntılı okuma yapmak isteyenler için önemli bazı kaynaklar şunlardır:
Bu yazıda sunulan bilgiler çeşitli güvenilir kaynaklardan derlenmiştir. Konuya ilişkin ayrıntılı okuma yapmak isteyenler için önemli bazı kaynaklar şunlardır:
https://asiasociety.org/magazine/article/north-koreas-next-weapon-choice-cyber
https://ts2.tech/en/kwangmyong-inside-north-koreas-national-intranet-service/
https://go.recordedfuture.com/hubfs/reports/cta-nk-2023-0622.pdf