Dünya çapındaki en büyük bilgi hırsızlığı operasyonlarından birini çökerten “Magnus Operasyonu”nun cömert bir başarısı belki de RedLine bilgi hırsızlığı operasyonunu yürüttüğü iddia edilen kişinin izini sürebilmektir.
Hollanda polisi üç sunucuyu çökertirken ve Belçikalı meslektaşları Redline ve Meta bilgi hırsızlarıyla bağlantılı çeşitli iletişim kanallarını ele geçirirken, ABD Adalet Bakanlığı Pazartesi günü hırsız operasyonlarının belki de ana sorumlularından birine yönelik suçlamaları açıkladı.
Adalet Bakanlığı’nın suçlamalarına göre Maxim Rudometov, RedLine Infostealer’ın geliştiricilerinden ve yöneticilerinden biri. Şikayette, Rudometov’un RedLine Infostealer’ın altyapısına düzenli olarak eriştiği ve yönettiği belirtildi.
Rudometov’un kendisine bağlı birkaç kripto para birimi hesabı var ve bunları RedLine bilgi hırsızının müşterisinden alınan ödemeleri almak ve aklamak için kullandı. Hırsızlık yapan kötü amaçlı yazılım, müşterilere yalnızca Hizmet Olarak Kötü Amaçlı Yazılım olarak bilinen yalnızca 100 ila 150 ABD Doları tutarında bir kiralama modeli karşılığında satıldı.
Rudometov, erişim cihazı dolandırıcılığı, bilgisayara izinsiz giriş yapmak için komplo kurmak ve kara para aklama da dahil olmak üzere çok sayıda suçla suçlanıyor. Rudometov, tüm suçlamalardan suçlu bulunması halinde en fazla 35 yıl hapis cezasıyla karşı karşıya kalacak.
Magnus Operasyonu Hakkında
DOJ, FBI, Hollanda, Belçika ve Europol ile işbirliği içinde, RedLine ve META’nın komuta ve kontrol ağlarını hedef alan Ortak Siber Suç Eylem Görev Gücü (JCAT) aracılığıyla bu çabaya öncülük etti.
Magnus Operasyonu olarak adlandırılan bu operasyon, bilgi hırsızlarının operatörleri tarafından kullanılan sunucular, alanlar ve Telegram hesapları da dahil olmak üzere önemli varlıkların ele geçirilmesiyle sonuçlandı. Yetkililer, bu ağı kesintiye uğratarak, dünya genelindeki kuruluşları ve bireyleri hedef alan üst düzey bir hizmet olarak kötü amaçlı yazılım (MaaS) operasyonuna önemli bir darbe vurduklarına inanıyor.
Ayrıca Okuyun: Magnus Operasyonu RedLine ve Meta Bilgi Hırsızlarını Düşürüyor
RedLine ve META Neden Öne Çıkıyor?
RedLine ve Meta, bir MaaS modeli üzerinden çalışarak siber suçluların kötü amaçlı yazılımı lisanslamasına ve mağdurlara bulaşmasını sağlayacak kampanyaları bağımsız olarak yürütmesine olanak tanıyor. Geleneksel kötü amaçlı yazılımların aksine, bu merkezi olmayan yaklaşım, RedLine ve Meta’yı son derece uyarlanabilir ve geniş çapta dağıtılmış hale getirdi.
RedLine ve Meta, bilgi hırsızlığını veya ek kötü amaçlı yazılımları önce yükleyip ardından dağıtan kötü amaçlı yazılım yükleyicileri kullanarak sistemlere gizlice sızıyor. Bu yükleyiciler genellikle kırık yazılımlar, yasa dışı indirmeler ve sahte güncellemeler yoluyla yayılır. Kimlik avı e-postaları, kötü amaçlı reklamlar ve yama yapılmamış yazılım açıkları da bunda rol oynuyor.
Bu bilgi hırsızları etkinleştikten sonra benzersiz işaretleyiciler yerleştirerek yakın zamanda sistemde bulunup bulunmadığını kontrol ederler. Örneğin RedLine, “Windows”ta Kiril alfabesindeki “o”yu kullanarak “%LOCALAPPDATA%\Microsoft\Windows” konumunda bir klasör oluşturur. Meta, varlığını “%LOCALAPPDATA%\SystemCache” içindeki bir klasörle işaretler. Kötü amaçlı yazılım, bu işaretçileri ve zaman damgalarını doğrulayarak yeniden bulaşmanın gerekli olup olmadığını belirler.
Bu bilgi hırsızları indirildikten sonra virüslü sistemle ilgili değerli bilgileri ararlar. Amaç? Çok faktörlü kimlik doğrulama (MFA) güvenlik protokollerini atlayan kullanıcı adları, şifreler, banka bilgileri, kripto para birimi hesapları ve oturum çerezleri gibi hassas verilerin çıkarılması.
Çalınan verilerin bu “günlükleri” siber suç forumlarında satılıyor ve bilgisayar korsanlarına daha fazla yararlanmaları için kazançlı bir hazine sağlıyor. Güvenlik uzmanları, RedLine’ın en güvenli kurumsal ağlara bile sızma ve endüstriler arasında alarm verme yeteneği nedeniyle kötü şöhrete sahip olduğuna dikkat çekiyor.
Taktik Kazanımlar ve Devam Eden Soruşturma
Kolluk kuvvetlerinin taktikleri, etki alanlarına ve sunuculara hedefli olarak el konulmasını ve RedLine ve META’nın virüslü cihazlara erişiminin durdurulmasını içeriyordu. Yetkililer, müşteri desteği ve güncellemeler için kullanılan Telegram kanallarını ele geçirerek kötü amaçlı yazılımın operasyonel can damarını sekteye uğrattı ve yayılmasını engelledi. Bu ele geçirme, iletişim ve koordinasyon için popüler platformlara güvenen tehdit aktörlerine karşı yüksek etkili bir hamleye işaret ediyor.
Ancak bu başarılara rağmen araştırmacılar, bu operasyonun yalnızca yüzeysel olduğunu kabul ediyor. Yetkililer milyonlarca kimlik bilgisinin, kredi kartı numarasının ve diğer hassas kayıtların dolaşımda kaldığını tahmin ediyor. Bir Adalet Bakanlığı temsilcisi, “ABD’nin elinde çalınan verilerin tamamı yok ve soruşturma devam ediyor” yorumunu yaptı.
ABD iki alan adına, Hollanda ise aynı sayıda alan adı ile birlikte operasyonlarda kullanılan üç sunucuyu da ele geçirirken, Avrupa suç koordinasyon kurumu Eurojust, yetkililerin bu hırsızların operasyonlarıyla bağlantılı yaklaşık 1200 sunucu tespit ettiğini söyledi.
Mağdurlar veya potansiyel maruziyetten endişe duyanlar için yetkililer, iyileştirmeye yardımcı olacak ayrıntıları ve kaynakları sunan www.operation-magnus.com adında bir bilgi portalı başlattı. Eş zamanlı olarak, bilgi hırsızlığı operasyonlarını ilk olarak Hollanda polisine bildiren güvenlik firması ESET, potansiyel kurbanların enfeksiyonları kontrol etmesi için tek seferlik bir çevrimiçi tarayıcı yayınladı.
RedLine ve Meta Kalıcı Bir Tehdit Olmaya Devam Ediyor
RedLine ve META en tehlikeli bilgi hırsızları arasında yer alırken, acemi bilgisayar korsanlarının bile dağıtabileceği, erişilebilir, güçlü kötü amaçlı yazılımlara yönelik daha geniş bir eğilimin parçası. Kötü amaçlı yazılım lisanslarının yazılım abonelikleri kadar kolay satıldığı MaaS tabanlı modeller, karanlık web forumlarında gelişen bir pazar yarattı. Siber güvenlik analistleri, bu eğilimin kötü amaçlı yazılım dağıtımını demokratikleştirdiği ve çok daha büyük bir siber suçlu havuzu için karmaşık saldırıları mümkün kıldığı konusunda uyarıyor.
Güvenlik araştırmasına göre RedLine hızla dünya çapında en yaygın kötü amaçlı yazılım türlerinden biri haline geldi ve kurbanları kötü amaçlı yazılımı indirmeye ikna etmek için genellikle COVID-19 uyarıları veya kritik sistem güncellemeleri gibi temalardan yararlanıyor. Sosyal olarak tasarlanmış bu hileler, deneyimli kullanıcıları bile hazırlıksız yakalayan bir inandırıcılık katmanı ekleyerek, sürekli kullanıcı farkındalığına ve güçlü kurumsal savunmalara olan ihtiyacın altını çiziyor.
İlgili