Şarkı ve dans rutini (canlı gerçekleştirilen), şık bir kullanıcı arayüzü (karanlık modlu!) ve açıkça düşünülmüş bir iş modeliyle tamamlanmış yeni bir Rus hack grubunu her gün keşfetmezsiniz. Ancak güvenlik araştırma ekibimizin, bilgisayar korsanlarını eğiten ve daha sonra özel bir ortaklık programı aracılığıyla hizmetlerinden para kazandıran bir “giriş testi eğitim organizasyonu” olan “AlphaLock” ile keşfettiği şey tam olarak budur.
Grubunu ilk başta halka açık bir Telegram kanalı aracılığıyla keşfettik ve artık özel hale geldi. Bu yazı, 2023’te ortaya çıkacak en küstah, tuhaf ve en iyi pazarlanan siber suç gruplarından birinin ayrıntılı bir araştırması ve açıklaması olacaktır.
AlphaLock’un İş Modeli ve Lansmanı
2023’teki en belirgin siber suç trendlerinden biri, suçlular arasında meydana gelen çeşitlilik ve rol uzmanlaşması oldu. Siber suçlular için ölçek ekonomisi yaratan ayrıntılı ve karmaşık tedarik zincirleri mevcuttur.
AlphaLock, gelir elde etmek için kendi uçtan uca iletişim hattını oluşturmaya çalışan bir tehdit grubunun gördüğümüz ilk ve ilginç örneklerinden biri olarak hizmet ediyor.
İş modelleri iki bölüme ayrılmış gibi görünüyor: Bazooka Code Pentest Eğitimi ve ALPentest Hacking Marketplace.
AlphaLock İş Modeli Birinci Bölüm: Bazuka Kodu Sızma Testi Eğitimi
Tehdit aktörleri için bile kimse kötü adam olduğuna inanmak istemez. AlphaLock, fidye yazılımı grup mesajlaşmasına ve “gerçekten sonra sızma testi” iddialarına aşina olan tüm güvenlik araştırmacılarının aşina olduğu bir fenomen olan “pentester’ları” eğittiklerini iddia etmek için önlemler alıyor.
AlphaLock’un iş modeli iki bölüme ayrılmış gibi görünüyor. İlk bölüm, özelleştirilmiş çevrimiçi kurslar aracılığıyla bir bilgisayar korsanları “ordusunun” eğitilmesini içeriyor.
Tehdit aktörleri Telegram kanallarında detaylı bir şekilde açıklıyor:
“Bugün ilk grup parasını büyük ölçüde geri aldı. En iyiler hemen işe koyuldu; geri kalanların becerilerini geliştirmelerini bekliyoruz.
İki ay içerisinde çok güçlü bir kadro topladık ve onları kendimize yetiştirdik.
Bu dönemin sona ereceği zaman gelecek ve en iyiler ortadan kaybolacak ve artık onları duymayacaksınız; torunlarının ve torunlarının çocuklarının geçimini sessizce sağlayacaklar.
Büyük olasılıkla, insanlara giriş parasını kazanmak için değil, başka nedenlerle aldığımızı kanıtlayabildim. 100’e yakın kişiden oluşan ekibimiz birçok Telegram sohbetinde yaş sınırını aşmaktadır.
Büyük ihtimalle bir gün beyaz olacağız ve büyük şirketlerin analizi ve korunması üzerinde çalışacağız. En iyilerin hepsi karanlık bir geçmişten geçer ve bu bir gerçektir.
Tüm meslektaşlarımıza sabır göstermelerini ve PenTesting konusunda çaba göstermelerini tavsiye ediyorum.
PenTesting gelecek.
Sevgilerle, AlphaLock”
Ama belki bunu okuduktan sonra hâlâ çekinceleriniz vardır.
Bazuka Kodu kursu gerçekten geçiminizi sağlamanıza ve 185 dolarlık bir masrafı haklı çıkarmanıza yardımcı olabilir mi? AlphaLock işin matematiğini yaptı.
“Lomonosov Moskova Devlet Üniversitesi’nde eğitim fiyatları yıllık 383.550 ruble ile 540.000 ruble arasında değişmektedir. Ortalama olarak eğitimin maliyeti yılda yaklaşık 395.375 ruble veya dönem başına 197.687 ruble’dir. Orada 4 ila 6 yıl eğitim göreceksiniz – matematik, fizik sibernetik, kimya, biyoloji, toprak bilimi, jeoloji, coğrafya, tıp, tarih, filoloji, felsefe, ekonomi, hukuk, gazetecilik, psikoloji, alan çalışmaları, sosyoloji, yönetim, siyaset ve siyaset bilimi vb.
Rusya’da iyi sayılan en kötü seçeneği ele alalım: Gazeteci olarak mezun olmak için 395.475*4 = 1.581.660 ruble. GorodRabot’a göre Rusya’da bir gazetecinin 2023 yılı ortalama maaşı 46.161 ruble. Bir ayda maaş %11,4 oranında değişti – 40.915’ten 46.161 rubleye. Çoğu zaman, açık iş pozisyonları 30.000 ruble (modal) maaş sunmaktadır.
1.581.660 ruble bölü 40.915 ruble = 38 ay, yani 3 yıl boyunca hiçbir şey yemeden, herhangi bir mülk sahibi olmadan vs. talihsiz üniversitedeki eğitiminizin karşılığını ödeyeceksiniz.
Bazuka kodu kursunun maliyeti şu anda 185 dolar ve eğitim 2 ay sürüyor, bir ekip, bilgi ve iş için araçlar alıyorsunuz, onlar size tavsiyelerde bulunuyor ve yardımcı oluyor, sanki coşku içindeymiş gibi hızlı bir şekilde öğreniyorsunuz. En kötü senaryoda ortalama yoksul bir kartçı ayda 1.000$ kazanıyor, ağlardan ve yerleşik işlerden bahsetmiyorum bile, yine de kendi işinizi kurmayı başardıysanız eğitimin geri ödemesi için ne kadar zamana ihtiyacınız olduğunu hesaplayalım. ve iş?”
Yukarıda da söylediğimiz gibi, benzersiz bu grubu tanımlamakla başlar.
İş modeli ise sadece Pentest kurslarını 185 dolara satmayı içeriyordu, ancak bu kurs için oldukça eşit olurdu. Ancak bu, AlphaLock’un planlarının yalnızca birinci aşamasını temsil ediyor.
Bir sonraki adım, karanlık web forumu XSS’yi ve kârlarının çoğunu elde etmeyi planladıklarını düşündüğümüz bir ortaklık programını içeriyor.
AlphaLock İş Modeli İkinci Bölüm: ALPentest Hacking Pazarı
Bu iş planının ikinci kısmı, ilkinin doğrudan devamı niteliğindedir: Tehdit aktörlerinin belirli bir kuruluşu hedef alan “sızma testi hizmetlerini” satın alabilecekleri bir pazar oluşturmak için yeni eğitilmiş bilgisayar korsanlarını kullanmak.
Aşağıda AlphaLock ortaklık programının oluşturulduğunu duyuran yakın zamanda yayınlanan dans videolarından bir ekran görüntüsü var:
Bazuka Kodu açıklıyor:
“Bir müşterinin çevrimiçi modda, icracının müşteri sorunlarını uygulama ve çözümleme sürecini şifreli bir anahtar kullanarak izleyebildiği dünyanın ilk platformunu hazırlıyoruz.
Müşteri için uygun
Sanatçı için finansal açıdan faydalı
Bu platformda sanatçı, Red-team formatı da dahil olmak üzere çeşitli penetrasyon testleri gerçekleştirebilecek. Klasik harici ve dahili penetrasyon testleri.”
Bazooka Code, yeni hackleme pazarının “beta” sürümünün ekran görüntülerini paylaştı. Tehdit aktörleri “sızma testi” yapmak istedikleri hedefleri listeleyebilecek ve diğer tehdit aktörleri daha sonra şirketlere saldırabilecek, kanıt yayınlayabilecek ve ödül parasını toplayabilecek.
Muhtemelen saldırıları gerçekleştiren bilgisayar korsanlarının kadrosunda Bazuka Kodu kursuna katılanlarla aynı kişiler olacak.
Ne yazık ki Bazuka Kodu son zamanlarda çok fazla ilgi görmüş gibi görünüyor.
Birkaç gün önce bu uzun mesajı yayınladılar ve tüm programın yeni, daha az bilinen ve merkezi olmayan bir sohbet uygulaması olan Matrix’e taşınacağını duyurdular.
Değerli dostlarım, meslektaşlarım ve okurlarımız, uzun bir açıklama yapacağım ve sonuna kadar okumanızı rica edeceğim. Seyirci akınıyla birlikte pek çok olumsuzlukla karşı karşıya kalıyoruz. Bunun doğru yöne gittiğimiz anlamına geldiğini ve herkesi memnun etmenin imkansız olduğunu biliyoruz. Ekibimiz, eğer durum gerçeklikle örtüşmüyorsa, kendimizi haklı çıkarmaya asla çalışmadık ve çalışmayacağız; Zamanımız, “bize göre yanlış konumlarını” empoze etmeye çalışan insanlarla ilişkileri netleştirmekten daha değerlidir. Aynı zamanda her biriniz için her zaman bir alternatif bulmaya çalışıyoruz ve halihazırda AL’nin bir parçası olan ve eğitim oturumlarında olan üyelerimiz aldıkları bilgilerin kalitesini doğrulayacaktır. Bu mesaj hakkında yorum yapmamanızı rica ediyoruz ve AL üyeleri gelecekte bunu yapmaktan kaçınmalıdır. Ağızdan ağza söz memnuniyetle karşılanır, ancak lütfen yorum yapmaktan kaçının. Bunu bugün anladık. Hesap sahibinin profiline farklı IP’lerden erişmek için birkaç girişimde bulunuldu; bu da muhtemelen sağlıksız çıkarlara sahip biri tarafından izlendiğimiz anlamına geliyor. Acil meseleyi tartışalım: Kurslarımızı alanlar zaten zayıf noktalardan yararlanmayı öğrendiler ve bu yönün genişliğini kavramaya başlıyorlar. Büyük ihtimalle bu bireylere, hiç bizimle birlikte olmamış kişilerden daha çok değer veriyoruz ve umarım bizi doğru anlarsınız. Sadakatimizin kanıtları şunları içerir:
- Foruma para yatırma
- AL üyelerinin görüşleri
- Ve bu yeterli
Telegram’daki kaliteli içerik büyümemizi destekledi ancak şu andan itibaren daha önce de duyurduğumuz gibi bu platformu bırakıp Matrix’e geçmek zorunda kaldık.
Telegram artık yalnızca yeni üyelik isteklerini kabul etmek ve haber güncellemeleri için kullanılacak ve tüm sorular yalnızca destek aracılığıyla ele alınacak.
Bu kanaldaki birçok gönderi, ilgisizlikleri nedeniyle silinecek.
Ancak, bir içerik oluşturucu, güzel el yazısına sahip bir tasarımcı, sadece Telegram’ı değil diğer sosyal panoları da yönetebilecek birini aradığımızı duyurmaktan mutluluk duyuyoruz.
Zamanınızı ayırıp önemli deneyimler kazanabileceğiniz bir YouTube kanalını yakında başlatacağız.
Bu aktiviteye katılmaya hazırsanız “buraya yazın” – “Portfolyonuzu hemen gönderin.”
Bununla ilgili daha fazla bağlam veya yardım ister misiniz?
Bütün bunlar ne anlama geliyor?
AlphaLock, Telegram, Matrix ve karanlık web forumu XSS’de en azından nispeten karmaşık ve aktif görünüyor.
AlphaLock’tan daha geniş siber suç ekosistemine dair elde edebileceğimiz birkaç ilginç bilgi var.
- Siber suçların karmaşıklığı ve metalaştırılması büyümeye devam ediyor: Artık bir eğitim programı aracılığıyla kendi yetenek havuzunu yaratmayı amaçlayan, kendisini pazarlamak için büyük çaba harcayan ve kiralık hacker planı aracılığıyla bundan para kazanmayı planlayan bir tehdit grubunun gerçek hayattan bir örneğine sahibiz. Düzeyi teknik Bunu yapmak için gereken gelişmişlik çok yüksek değil, ancak organizasyonel gelişmişlik ve iş zekası seviyesi oldukça ilginç.
- Fidye yazılımı şehirdeki tek oyun değil: Siber suçlular genellikle kârlılık olasılığı en yüksek olan, en az direnç gösteren yolu seçer; siber suç ekosistemi işlevsel bir piyasa ekonomisine dönüştükçe bu durum giderek daha da yaygınlaşıyor. Ancak AlphaLock, siber suçları hem paraya dönüştürmek hem de demokratikleştirmek için başka bir potansiyel yöntemi temsil ediyor. ABD’nin fidye yazılımı ödemelerini yasaklama önerisini yerine getirmesi halinde bu, fidye yazılımı grupları için özellikle ilginç bir model alternatifi olabilir.
- Teknik Tehdit Aktörü Arz Eksikliği mi? AlphaLock ile ilgili en etkileyici şeylerden biri, hacker pazarını doldurmak için bir yetenek hattı oluşturmak istemeleridir. Bu, kendi aktör portföyünü oluşturmaya çalışacak kadar gerekli düzeyde gelişmişliğe sahip yetenekli tehdit aktörlerinin tedarikinde sınırlamalar olabileceğini düşündürmektedir.
- Marka: Araştırmacılarımız, finansal motivasyona sahip tehdit grupları arasında grup “markası” ve kimliğine giderek daha fazla odaklanıldığını fark etti. AlphaLock’un kendine bir marka ve itibar yaratmak için zamana önemli yatırımlar yaptığı açıkça görülüyor. Son gönderide kendilerini Telegram ve sosyal medyada pazarlamak için birini işe almak istediklerinin reklamını bile yaptıklarına dikkat edin.
- Bulanık hatlar: Pek çok güvenlik uzmanı, tehdit aktörlerinin öncelikle karanlık ağda faaliyet gösterdiğini varsaymıştır. Bugün çoğu durumda durum böyle değil. Tehdit aktörlerinin bir araya gelip iletişim kurması için kolay yollar oluşturan net web siteleri, Tor ve Telegram gibi sosyal medya uygulamaları arasında giderek bulanıklaşan çizgiler var.
Yasadışı Telegram Gruplarını ve Diğer Kaynakları Flare ile İzleyin
Flare, farklı sektörlerdeki kuruluşlara yüksek değerli, özel olarak uyarlanmış, sürekli tehdide maruz kalma yönetimi sunar.
SaaS platformumuz yüzlerce karanlık web pazarındaki ve forumundaki, binlerce yasa dışı Telegram kanalındaki ve açık web risk kaynaklarındaki tehditleri tespit eder.
Flare, tehdit odaklı bir siber güvenlik programı oluşturmanıza olanak tanıyan yerel entegrasyonlarla 30 dakika içinde mevcut güvenlik programınıza entegre olur.
Daha fazlasını öğrenmek için ücretsiz denemeye kaydolun.
Flare tarafından desteklenmiş ve yazılmıştır.