3. Taraf Risk Yönetimi, Yönetişim ve Risk Yönetimi, Olay ve İhlallere Müdahale
DOJ, Bilgisayar Korsanlarını Kar Tanesi Kurbanlarından Terabaytlarca Veri Çalmakla Suçluyor
Chris Riotta (@chrisriotta) •
13 Kasım 2024
ABD Adalet Bakanlığı Çarşamba günü, bilgisayar korsanları olduğu iddia edilen Connor Moucka ve John Binns’e karşı, onları 165’ten fazla kuruluşu etkileyen ve yaklaşık 50 milyar çağrı ve metin kaydını içeren büyük bir ihlalde bulut platformu Snowflake’ten terabaytlarca veri çalmakla suçlayan bir iddianameyi açıkladı.
Ayrıca bakınız: DFIR Tutucu Hizmetleri için Gartner Pazar Rehberi
Moucka, Binns’in önceki yıl telekom devi T-Mobile’ı hacklemekle suçlanan 2022 tarihli 12 maddelik iddianame nedeniyle Türkiye’de gözaltına alınmasının ardından bu ayın başında Kanada’da tutuklandı (bkz.: Kanada Polisi, Snowflake Saldırılarıyla Bağlantılı Şüpheli Hacker’ı Tutukladı). Google Cloud’un Mandiant olay müdahale ekibi, Haziran ayında Snowflake’e, Scattered Spider olarak da bilinen, yaklaşık 165 müşteriden veri çalan ve milyonlarca kişinin çok faktörlü kimlik doğrulaması olmayan hesaplardan etkilenen UNC5537 grubu tarafından gerçekleştirilen bir ihlalin araştırılması konusunda yardım etmeye başladı.
İddianame, Moucka ve Binns’i “yaklaşık 50 milyar müşteri arama ve mesaj kaydını” çalmakla ve ödeme sırasında yaklaşık 2,5 milyon dolar değerinde olan “en az 36 bitcoin”i başarıyla gasp etmekle suçluyor. İddianamede, iddia edilen bilgisayar korsanlarının “kurbanların çalınan verilerini siber suç forumlarında milyonlarca dolara satma teklifleri yayınlayarak” gelir elde ettiği belirtiliyor.
Federal savcılar, Moucka ve Binns’in Kasım 2023’ten Ekim 2024’e kadar bilgisayar sahtekarlığı yaptığını ve kimlik hırsızlığını ağırlaştırdığını, bulut bilişim hizmetlerine çalınan erişim bilgilerini elde ettiğini ve metin geçmişi kayıtları, bankacılık ve diğer mali bilgiler, Sosyal Güvenlik numaraları ve diğer bilgiler de dahil olmak üzere terabaytlarca özel veriyi indirdiğini söylüyor. diğer kişisel olarak tanımlanabilir bilgiler.
İddianamede “İşbirlikçilerin milyarlarca hassas müşteri kaydına yasa dışı erişim elde ettiği” belirtiliyor. Snowflake saldırısının kamuya açık kurbanları arasında Santander Bank, otomotiv parçası tedarikçisi Advance Auto Parts, Live Nation Entertainment’ın Ticketmaster’ı, Neiman Marcus, Los Angeles Birleşik Okul Bölgesi ve Bausch Health yer alıyor.
Raporlar, Snowflake saldırısının arkasındaki saldırganların haziran ayında kurbanları sarsmaya, fidye talep etmeye ve hassas verileri çevrimiçi yayınlamakla tehdit etmeye başladığını gösteriyor (bkz: Snowflake Veri İhlalinin Kurbanları Fidye Talepleri Aldı). Mandiant, o sırada 300.000 ila 5 milyon dolar arasında değişen fidye taleplerinin hedefi olan 10’a kadar Snowflake müşterisini tespit ettiğini bildirmişti.
İddianamede, bilgisayar korsanlarının kripto para cinsinden ödeme talep ettiği ve “fonlarının kaynağını ve hedefini gizlemek için karmaşık kripto para birimi transferleri gerçekleştirdikleri” ifade ediliyor. Moucka ve Binns’in, işlemlerini gerçekleştirmek için Amerika Birleşik Devletleri de dahil olmak üzere dünyanın dört bir yanında bulunan sanal varlık hizmet sağlayıcılarını kullandıkları iddia ediliyor.