Amerika Birleşik Devletleri Adalet Bakanlığı (DoJ) dün, Scattered Spider siber saldırılarına karıştıkları iddiasıyla aralarında Tyler Robert Buchanan adında 22 yaşındaki İngiliz vatandaşının da bulunduğu beş kişiye karşı suç duyurusunda bulundu.
Çete, suça yönelik saldırıları sırasında kurbanlarını, genellikle BT yardım masalarıyla ilgili hayati önem taşıyan kimlik bilgilerinden vazgeçmeye ikna etmek için sosyal mühendislik tekniklerini kullandı. En ünlüsü, Las Vegas eğlence endüstrisinin iki ana dayanağına, Caesars Entertainment ve MGM Resorts’a saldırdılar.
Haziran 2024’te İspanya’da tutuklanan Buchanan, elektronik dolandırıcılık, komplo, elektronik dolandırıcılık ve ağır kimlik hırsızlığı için komplo kurmak suçlamalarıyla karşı karşıya. Kendisi, 2023 yılında İskoçya’daki evine düzenlenen ve polisin kendisini çetede önemli bir oyuncu olarak gösteren delilleri ele geçirdiği baskının ardından zaten yetkililerin radarındaydı.
Adı geçen dört ABD vatandaşı şunlardır: Ahmed Hossam Edin Elbadaway, diğer adıyla AD, 23 yaşında; Noah Michael Urban, diğer adıyla Sosa ve Elijah, 20 yaşında; Evans Onyeaka Osiebo, 20 yaşında; ve Joel Martin Evans, diğer adıyla joeleoli, 25 yaşında.
Evans, 19 Kasım Salı günü Kuzey Carolina’da tutuklanırken, bu yılın başlarında ayrı bir davada tutuklanan Urban da gözaltında.
Adamlar toplu olarak bir kez elektronik dolandırıcılık yapmak için komplo kurmak, bir kez komplo kurmak ve bir kez de ağırlaştırılmış kimlik hırsızlığıyla suçlanıyor.
ABD’li avukat Martin Estrada, “Bu siber suçlu grubunun, on milyonlarca dolar değerindeki fikri mülkiyeti ve özel bilgileri çalmak ve yüz binlerce kişiye ait kişisel bilgileri çalmak için karmaşık bir plan gerçekleştirdiğini iddia ediyoruz” dedi.
“Bu vakanın gösterdiği gibi, kimlik avı ve bilgisayar korsanlığı giderek daha karmaşık hale geldi ve çok büyük kayıplarla sonuçlanabiliyor. Aldığınız metin veya e-postayla veya görüntülediğiniz web sitesiyle ilgili bir şeyler yanlış görünüyorsa, muhtemelen öyledir.”
FBI’ın Los Angeles Saha Ofisi’nden sorumlu direktör yardımcısı Akil Davis şunları ekledi: “Sanıkların bu kimlik avı planında şüphelenmeyen kurbanları avladıkları ve kişisel bilgilerini, kripto para birimi hesaplarındaki milyonları çalmak için bir geçit olarak kullandıkları iddia ediliyor.
“Bu tür dolandırıcılık talepleri her yerde mevcut ve Amerikalı kurbanların zorlukla kazandıkları paralarını bir fare tıklamasıyla çalıyorlar. Çalışmalarıyla, suçlu bulunmaları halinde önemli miktarda hapis cezasıyla karşı karşıya kalacak olan entrikacı olduğu iddia edilenlerin tespit edilmesini sağlayan muhteşem siber ajanlarımızla gurur duyuyorum.”
Sanıkların her biri suçlu bulunması durumunda yasal olarak en fazla 27 yıl hapis cezasıyla karşı karşıya kalırken, Buchanan elektronik dolandırıcılık suçundan ilave 20 yıl hapis cezasıyla karşı karşıya kalacak.
Dağınık Örümcek İçinde
Bu hafta açıklanan belgeler, 2021’in sonlarında başlayan ve 2023’e kadar devam eden kapsamlı bir kötü niyetli faaliyet kampanyasını ortaya koyuyor, ancak çete yakın zamana kadar revize edilmiş bir taktik kitabıyla faaliyet göstermeye devam etti.
Sanıklar, hedeflenen kurbanların çalışanlarına toplu SMS mesajları kullanarak, kurban şirketten veya sözleşmeli bir BT hizmetleri tedarikçisinden (çoğunlukla çetenin de acımasızca mağdur ettiği Okta) geldiği iddia edilen, yaygın kimlik avı saldırıları düzenlemekle suçlanıyor ve bir süreliğine 0ktapus olarak da markalanmıştır.
Bu SMS mesajları sıklıkla çalışanın hesabının kilitlenmek veya devre dışı bırakılmak üzere olduğunu belirtiyor ve “uygun bir şekilde” bu sorunu çözmelerine yardımcı olacak bir bağlantı sağlıyordu. Doğal olarak bu bağlantı, farkında olmadan kurbanların oturum açma bilgilerini kolayca girdiği ve birçoğunun kimliklerini çok faktörlü kimlik doğrulama (MFA) kullanarak doğruladığı sahte bir web sitesine yönlendirdi.
Elde edilen bu kimlik bilgileri ile Scattered Spider, kurban şirketlerin çalışanlarının hesaplarına erişebildi ve buradan kurbanlarının BT sistemlerine daha derin erişim elde ederek gizli verileri ve kişisel olarak tanımlanabilir bilgileri (PII) çaldı.
Çete zaman zaman kurbanları üzerinde fidye yazılımı da kullandı ve ALPHV/BlackCat operasyonunun bir parçası olarak hareket etti.
Yetkililer, Scattered Spider’ın elde ettiği verileri sıklıkla çok sayıda kripto para birimi hesabına ve cüzdanına yetkisiz erişim sağlamak için kullandığına ve milyonlarca dolar değerindeki sanal para birimini çalmış olabileceğine inanıyor.
Scattered Spider, çekirdek üyelerinin anadili İngilizce olan kişiler olması nedeniyle Birleşik Krallık ve ABD’deki kurbanlara karşı özellikle etkili olabildi. Bu, onların, İngilizce konuşurken belirgin artikelin yanlış kullanımı veya ihmal edilmesi gibi çeşitli dilsel tuhaflıklar sayesinde sıklıkla maskelenebilen Rusça konuşanlarla karşılaştırıldığında, mesajlaşmalarında ve etkileşimlerinde daha ikna edici görünmelerini sağladı.
Çete aynı zamanda kurallara uymayan mağdurlara karşı gerçek dünyada misilleme tehdidinde bulunmasıyla da tanınıyordu; insanlar kendilerine işlerini kaybedeceklerinin ya da kendilerine ve ailelerine karşı fiziksel şiddet içeren cezalarla karşı karşıya kalacaklarının söylendiğini bildirdi.
İskoçya merkezli Kapalı Kapı Güvenliği CEO’su William Wright, “Saldırganlar, temel e-posta kimlik avı yöntemini kullanmak yerine, saldırılarını daha inandırıcı göstermek için işleri bir adım daha ileri götürdü” dedi.
“LinkedIn’de bir çalışanı takip ettiler ve ardından bir BT yardım masası çalışanıyla temasa geçerek şifre sıfırlama talebinde bulundular. Yeni şifre güvence altına alındıktan sonra, sisteme erişim izni vermek için yeterli olan bir MFA yorgunluk saldırısı gerçekleştirdiler. Tek saldırı oldukça hedefliydi, ancak getirisi çok büyüktü.
“Saldırı, sosyal mühendislik söz konusu olduğunda suçluların pek çok hileye başvurduğunu ortaya çıkardı. Bu tehditlere karşı koymak için kuruluşların, çalışanlar veya dijital mimari arasındaki zayıflıkları tespit etmek amacıyla ağlarında güvenlik testleri yapması gerekiyor” dedi.
Sonuçlar
Google Cloud’un sahibi olduğu Mandiant’ın baş teknoloji sorumlusu Charles Carmakal, “Bu kişiler ve iş birliği yaptıkları diğer aktörler, yıkıcı müdahaleleri yoluyla kuruluşlara çok fazla acı ve mali zarara neden oldu” dedi.
“Bu, zamanla grubun bu yılki hızlı temposunu önemli ölçüde sekteye uğratan kolluk kuvvetleri açısından güzel bir kazanç. Bunun, işbirliği yaptıkları diğer aktörlere, sonuçlara karşı bağışık olmadıklarına dair bir mesaj göndermesini umuyoruz.”