“FETÖ’nün Alamut kalesi ele geçiyor”
24 Kasım’da Rus uçağı vuruldu. Hükümet, Rus jetinin düşürülmesini egemenlik hakları gerekçesiyle Başbakanlık düzeyinde sahip çıksa da jetlerin vurulmasında FETÖ parmağı olup olmadığı çok tartışılmıştı.
Adalet Bakanlığı Mahrem Yapılanması
FETÖ ile mücadele açısından Kasım ayı son derece önemliydi. MİT, FETÖ’nün “Adalet Bakanlığı Mahrem Yapılanması”nda görevili şahıslara yönelik çalışmalarda ciddi mesafe kaydetmişti: “Türkiye Yargı Mahrem İmamı” ve “Ankara’daki “Yargı Mahrem Sorumluları” ile bir araya gelerek faaliyet yürüten FETÖ mensuu hakim ve savcılar MİT birimleri tarafından deşifre edilmişti.
Bylock sunucusu Bastic Servers’a ikinci operasyon
Bylock operasyonu da bu aydan itibaren ivme kazanarak devam edecekti. Kasım ayında MİT tarafından özel olarak seçilmiş 18 kişilik siber tim, Bylock sunucusunun bulunduğu Litvanya’daki hizmet sağlayıcı Bastic Servers’a ikinci saldırıyı düzenledi. İlk saldırı, esasen hizmet sağlayıcının güvenlik duvarlarının ne kadar güçlü olduğunu görmek ve zaaflarını ölçmek amacıyla Ağustos 2015’te düzenlenmişti. Siber tim, güvenlik duvarını aşamasa da sistemin zaaflarını öğrenmişti. Bu zaafların çalışılması üzerine Kasım ayında yapılan ikinci saldırıda güvenlik duvarı aşılmış ve sunucudan kime ait olduğu bilinmeyen rastgele bilgiler çekilebilmişti. Ancak veri trafiğindeki tersliği fark eden şirket yetkilileri bir süre sonra sistemi kapattılar.
Söz konusu iki saldırı, sibet time, güvenlik duvarı aşılsa dahi veriler çekilirken trafikte olağandışı hareketliliğe neden olduğu için yaptıklarının şirket sorumluları tarafından fark edildiğini öğretmişti. Bunun üzerine, şirkette az sayıda personelin bulunacağı ve çalışanların kutlamalardan dolayı dikkatlerinin dağınık olabileceği 2015 Noel’inde Bylok sunucusuna doğrudan saldırı düzenlenebileceğine dair yeni bir plan yapıldı.
Planlandığı gibi 25 Aralık 2015’te siber tim, FETÖ’nün dijital Alamut Kalesi Bylock’un sunucusuna ilk defa doğrudan saldırı düzenledi ve güvenlik duvarını aşarak sistemdeki verileri çekmeye başladı. Ancak bir gün sonra, henüz çok az bilgi çekilebilmişken, şirket görevlileri veri trafiğindeki anormallikten dolayı bağlantıyı keserek verileri korumaya aldılar.
Dahası şirket sorumluları tarafından, sunucuyu satın alan dashjohn@yandex.com isimli hesaba yani “Tilki” kod Atalay Candelen’e bu olağandışı durumu bildiren bir e-posta atılmıştı. Ancak siber tim, şirketin müşterileriyle iletişime geçtiği e-postayı hack’lediği için, dashjohn@yandex.com bir e-posta daha atarak sunucuda sorun olmadığını ve bir önceki e-postanın yanlışlıkla atıldığını belirtti. Ancak bu e-posta Bastic Servers’in sunucuyu korumaya aldığı gerçeğini değiştirmiyordu. Gelgelelim, şirket sorumlularının bilmediği bir şey vardı: Siber tim sunucuya bir backdoor koymuştu ve bu backdoor aracılığı ile veriler Ankara’ya sızmaya başlamıştı.
MİT, önündeki en acil konu olan FETÖ ile mücadele bağlamında Şubat ayında büyük bir adım daha atacaktı. 25 Aralık 2015’ten beri Bylock sunucusundan bilgi çekiliyordu, ancak veri akışı çok yavaştı. Bu sebeple bilgilerin tamamının hızlıca çekilmesi için sunucuya büyük bir saldırı düzenlenmesine karar verildi. Bunun için en uygun yolun, hizmet sağlayıcı şirketin veri güvenliği uzmanının bilgisayarına girerek ekranını dondurmak olduğunu karar verildi.
(Kaynak: Polat Safi, Milli İstihbarat Teşkilatı (1826-20023, İlk Defa Yayınlanan MİT Arşiv Belgeleriyle) s.296-347 /Kronik)
