Bu hafta üç Amerikalı, Kasım 2022’deki SIM değiştirme saldırısında 400 milyon dolardan fazla para çalmakla suçlandı. ABD hükümeti kurban organizasyonun adını vermedi ancak paranın artık kullanılmayan kripto para borsasından çalındığına dair her türlü gösterge mevcut. FTXAynı gün iflas başvurusunda bulunan.
11-12 Kasım 2022’de FTX’ten çalınan 400 milyon dolardan fazla kripto para akışını gösteren grafik. Resim: Elliptic.co.
Bu hafta açıklanan ve ilk olarak Ars Technica tarafından haber yapılan bir iddianamede Chicago’lu bir adamın Robert Powell, diğer adıyla “R”, “R$” ve “ElSwapo1”, “Powell SIM Değiştirme Ekibi” adı verilen bir SIM değiştirme grubunun elebaşıydı. Colorado’da ikamet eden Emily “Em” Hernandez iddiaya göre grubun Mart 2021 ile Nisan 2023 arasında SIM değiştirme saldırılarında kullanılan kurban cihazlarına erişmesine yardımcı oldu. Indiana’da ikamet eden Carter Rohndiğer adıyla “Carti” ve “Punslayer”ın, cihazların güvenliğinin ihlal edilmesine yardım ettiği iddia ediliyor.
SIM değiştirme saldırısında dolandırıcılar, hedefin telefon numarasını kontrol ettikleri bir cihaza aktararak, kimlik doğrulama için tek seferlik şifreler veya SMS yoluyla gönderilen şifre sıfırlama bağlantıları da dahil olmak üzere kurbana gönderilen tüm kısa mesajları veya telefon çağrılarını ele geçirmelerine olanak tanıyor.
İddianamede, bu soygunun faillerinin, sahte bir kimlik kullanarak bir perakende mağazasında bir AT&T müşterisinin kimliğine bürünerek SIM değişimi yaptıktan sonra 11 Kasım 2022’de 400 milyon dolarlık kripto para birimini çaldıkları belirtiliyor. Ancak belgede bu vakada mağdurdan yalnızca “Mağdur 1” ismiyle bahsediliyor.
Kablolu Andy Greenberg yakın zamanda FTX’in 11 Kasım akşamı meydana gelen 1 milyar dolarlık kripto soygununu durdurmak için tüm gece süren yarışı hakkında şunları yazdı:
“FTX personeli şirketin kısa ömründeki en kötü günlerden birini çoktan atlatmıştı. Yakın zamanda dünyanın en büyük kripto para borsalarından biri olan ve yalnızca 10 ay önce değeri 32 milyar dolar olan borsa kısa süre önce iflas ilan etmişti. Yöneticiler, uzun süren bir mücadelenin ardından şirketin CEO’su Sam Bankman-Fried’i, dizginleri John Ray III’e devretmeye ikna etmişti; bu, çoğu borç gibi görünen kabus gibi bir borç yığınında şirkete yön vermekle görevli yeni bir yöneticiydi. ödeme imkânının olmaması.”
“FTX dibe vurmuş gibi görünüyordu. Ta ki birisi (bir hırsız ya da kimliği henüz belirlenemeyen hırsızlar) işleri daha da kötüleştirmek için o anı seçene kadar. O Cuma akşamı, bitkin FTX çalışanları, Ethereum blok zincirini takip eden Etherscan web sitesinde halka açık olarak ele geçirilen ve gerçek zamanlı olarak yüz milyonlarca dolar değerinde kripto paranın çalındığını temsil eden, şirketin kripto para biriminin gizemli çıkışlarını görmeye başladı.”
İddianamede 400 milyon doların 11-12 Kasım 2022 tarihleri arasında birkaç saat içinde çalındığı belirtiliyor. Tom RobinsonBlockchain istihbarat firması Elliptic’in kurucu ortağı, FTX soygunundaki saldırganların, yerel saatle 11 Kasım 2022 akşamı FTX cüzdanlarını boşaltmaya başladığını ve 12 Kasım’a kadar devam ettiğini söyledi.
Robinson, Elliptic’in o tarihte meydana gelen bu büyüklükte başka bir kripto soygunundan haberdar olmadığını söyledi.
Robinson, “Çalınan kripto varlıkların değerini 477 milyon dolar olarak belirledik” dedi. FTX yöneticileri, “yetkisiz üçüncü taraf transferleri” nedeniyle 413 milyon dolarlık genel kayıp bildirdiler; bu tutarsızlık büyük olasılıkla çalınan varlıkların bir kısmına daha sonra el konulması ve iade edilmesinden kaynaklanıyor. Her iki durumda da, kesinlikle 400 milyon doların üzerinde bir rakam ve şu anda kripto borsalarında bu ölçekte başka bir hırsızlık olayının farkında değiliz.”
400 milyon dolarlık kripto hırsızlığından sorumlu olduğu iddia edilen SIM takasçılarının tamamı ABD’de ikamet ediyor. Ancak Rusya merkezli organize siber suçlulardan yardım aldıklarına dair bazı göstergeler var. Ekim 2023’te Elliptic, FTX’ten çalınan paranın Rusya merkezli suç gruplarıyla bağlantılı takaslar yoluyla aklandığını ortaya koyan bir rapor yayınladı.
Elliptic, “Rusya bağlantılı bir aktör daha güçlü bir olasılık gibi görünüyor” diye yazdı. “ChipMixer aracılığıyla izlenebilen çalıntı varlıkların önemli bir kısmı, borsalara gönderilmeden önce fidye yazılımı çeteleri ve darknet pazarları da dahil olmak üzere Rusya bağlantılı suç gruplarından gelen fonlarla birleştiriliyor. Bu, Rusya’da bir bağlantı noktası olan bir komisyoncunun veya başka bir aracının dahil olduğuna işaret ediyor.”
Nick BaxKripto para cüzdanı kurtarma firması Unciphered’in analitik direktörü, çalınan FTX fonlarının akışının, ekibinin ABD merkezli SIM takasçılardan gördüklerine çok, Doğu Avrupa ve Rusya merkezli gruplardan gördüklerine benzediğini söyledi.
“Bu gelişme beni biraz şaşırttı ama CISA’nın raporlarıyla tutarlı görünüyor [the Cybersecurity and Infrastructure Security Agency] ve “Scattered Spider”ın birlikte çalıştığı diğerleri [ransomware] ALPHV/BlackCat gibi gruplar,” dedi Bax.
CISA’nın Dağınık Örümcek hakkındaki uyarısı, bunların büyük şirketleri ve onların sözleşmeli bilgi teknolojisi (BT) yardım masalarını hedef alan bir siber suçlu grubu olduğunu söylüyor.
CISA, grubun imzası olan “Taktikler, Teknikler ve Prosedürler”e atıfta bulunarak, “Dağınık Örümcek tehdit aktörleri, güvenilen üçüncü taraflara göre genellikle gasp amacıyla veri hırsızlığı yapmaktadır ve ayrıca olağan TTP’lerinin yanı sıra BlackCat/ALPHV fidye yazılımını da kullandıkları bilinmektedir” dedi. .”
Nick Bax, Kasım 2022’de Twitter/X’te 400 milyon dolarlık FTX soygunuyla ilgili araştırması hakkında paylaşım yapıyor.
Bu haftanın başlarında KrebsOnSecurity, yakın zamanda SIM değiştirme komplosunun bir parçası olmakla suçlanan Floridalı bir adamın, Scattered Spider olarak da bilinen bir bilgisayar korsanlığı grubu olan Scattered Spider’ın önemli bir üyesi olduğunun düşünüldüğünü belirten bir hikaye yayınladı. 0 kat. Bu grup, 2022 yazında büyük ABD teknoloji şirketlerine yapılan bir dizi siber saldırıdan sorumlu tutuldu.
FTX’in iflas işlemleriyle ilgili mali talepler, finans ve risk danışmanlığı devi tarafından ele alınıyor Kroll. Ağustos 2023’te, bir Kroll çalışanının SIM’i değiştirildikten sonra Kroll kendi ihlaline maruz kaldı. Kroll’a göre hırsızlar, iflas işlemlerini yürütmek için Kroll hizmetlerine dayanan birden fazla kripto para birimi platformunun kullanıcı bilgilerini çaldı.
KrebsOnSecurity bu hikaye için Kroll’dan yorum istedi. FBIsavcılar ve Sullivan ve CromwellFTX’in iflasıyla ilgilenen hukuk firması. Herhangi birinin yanıt vermesi durumunda bu hikaye güncellenecektir.
Bay Powell’ın avukatları, hükümetin bu bilgiyi henüz paylaşmaması nedeniyle iddianamede yer alan 1. Kurban’ın kim olduğunu bilmediklerini söyledi. Powell’ın bir sonraki duruşma tarihi 2 Şubat 2024’teki gözaltı duruşması.