“Rusya’nın suç sorunu hiçbir yere gitmiyor. Aslında, artık güvenlik hizmetleriyle muhtemelen her zamankinden daha yakınız,” diyor Google Cloud’un Mandiant Intelligence baş analisti John Hultquist. “Aslında saldırılar gerçekleştiriyorlar ve güvenlik hizmetlerine fayda sağlayacak şeyler yapıyorlar, dolayısıyla güvenlik hizmetlerinin onları korumakta her türlü çıkarı var.”
Analistler defalarca Rusya’da çalışan siber suçluların Kremlin ile bağlantıları olduğu sonucuna vardı. Ve bu bağlantılar giderek daha net hale geldi. İngiltere ve ABD Şubat ayında Trickbot ve Conti üyelerine yaptırım uyguladığında, her iki ülke de üyelerin “Rus istihbarat servisleri” ile ilişkili olduğunu söylemişti. Eylemlerinden bazılarının Rus hükümeti tarafından yönlendirildiğinin “muhtemelen” olduğunu ve suçluların kurbanlarından en azından bazılarını “daha önce Rus istihbarat servisleri tarafından yürütülen hedeflemeye” dayanarak seçtiğini eklediler.
Trickleaks verilerine dahil edilen sohbet kayıtları, bu bağlantıların doğasına dair nadir bilgiler sunuyor. 2021 yılında, Trickbot üyesi olduğu iddia edilen iki kişi Alla Witte ve Vladimir Dunaev, siber suçlarla suçlanarak ABD mahkemelerine çıkarıldı. Nisos’un analizine göre Kasım 2021’de Trickleaks sohbetleri, üyelerin güvenlikleri konusunda endişelendiğini ve kendi kripto para cüzdanlarına artık erişilemediğinde paniğe kapıldığını gösteriyor. Ancak Silver’ı kullanan biri (sözde kıdemli bir Trickbot üyesi) güvence verdi. Rusya İçişleri Bakanlığı onlara “karşı” iken, istihbarat teşkilatlarının “bizden yana veya tarafsız” olduğunu söylediler. Şunu eklediler: “Patron doğru bağlantılara sahip.”
Aynı ay, Galochkin’le bağlantısı olan Manuel Hand, Nisos analizine göre Trickbot lideri Stern’ün “2000 yılından beri” siber suçlara karıştığına inandığını söyledi. Angelo olarak bilinen başka bir üye, Stern’ün “bizim ile FSB’deki rütbeler/bölüm başkanları arasındaki bağlantı” olduğunu söyledi. Önceki Conti sızıntıları aynı zamanda Rusya’nın istihbarat ve güvenlik servisleriyle bazı bağlantılara da işaret ediyordu.
Her zamanki işler
Yaptırımlar ve suçlamalar yoluyla Rusya’nın siber suç faaliyetlerini engellemeye yönelik küresel çabalara rağmen Trickbot gibi çeteler gelişmeye devam ediyor. IBM’in X-Force güvenlik grubunda kıdemli analistlerden Ole Villadsen, “Göründüğünden daha az şey değişti” diyor. Pek çok Trickbot ve Conti üyesinin hâlâ aktif olduğunu, kendi aralarında iletişim kurmaya devam ettiklerini ve saldırıları başlatmak için ortak altyapıyı kullandıklarını belirtiyor. Villadsen, grubun gruplarının “perde arkasında işbirliği yapmaya devam ettiğini” söylüyor.
Chainalytics’ten Burns Koven, firmanın aynı uzun süredir devam eden ilişkilerin kripto para cüzdanı verilerine de yansıdığını gördüğünü söylüyor. “Conti diasporasından bu yana, eski muhafızlar arasındaki finansal bağlantıyı hâlâ görebiliyoruz” diyor. “Hala bazı simbiyotik ilişkiler var.”
Siber suçları caydırmak, farklı yetki alanlarında ve çeşitli jeopolitik koşullar altında zordur. Ancak Batılı kanun uygulayıcılarının bireyleri tutuklama ve iade etme şansının çok az olduğu Rusya’da sınırlı nüfuza sahip olsa bile, siber suçluların adını verme ve utandırma çabaları etkili olabilir. Uzun süredir Trickbot araştırmacısı olan Holden, Trickbot üyelerinin maskesinin düşürülmesine karışık tepkiler verdiğini söylüyor. Holden, “Bazıları emekli oldu, bazıları takma adlarını değiştirdi; bazıları ise bunu umursamadı çünkü topluluk önemli ölçüde etkilenmedi” diyor. Ancak, insanların kimliklerini ifşa etmenin onların topluluklarında “istenmeyen” hale gelmeleri anlamına gelebileceğini de ekliyor.
Cybernite Intelligence CEO’su Vasoviç, Trickleaks hesabı Twitter’da ilk kez paylaşım yapmaya başladığında kimliğini açığa çıkarmak için Galochkin’in resimlerini de yayınladığını söylüyor. Fidye yazılımı suçlularına seslenen diğer siber güvenlik araştırmacılarının yanı sıra Vasoviç de, yaptığı açıklamaların ardından şiddet ve çevrimiçi taciz tehditleri aldı. WIRED ile paylaştığı e-postalar ve özel sohbet mesajlarında, birden fazla isimsiz siber suç grubu için çalıştığını iddia eden bilinmeyen bir kişinin sadece Vasoviç’i değil aynı zamanda çocuğunu da tehdit ettiği görülüyor.
“Korku yaratmaya çalışıyorlar. Ve eğer işe yararsa, işe yarar. Ve eğer değilse, değildir” diyor Vasoviç. Hatta tehditleri yapan kişi Vasoviç’e, hakkında zaten dava açıldığını ve artık karısını ve kızını yurt dışına tatile götüremeyeceklerini iddia etti. Kişi ayrıca bir noktada Rus müfettişler tarafından özellikle Trickbot hakkında iki saat boyunca sorguya çekildiklerini ve daha sonra serbest bırakıldıklarını iddia etti. Ancak kişi yine de Vasoviç’i Rusya sınırları içerisinden ceza almadan tehdit edebileceklerinden emin görünüyordu. “Kimse Amerika’ya gönderilmeyecek” diye övündüler. “Burada risk yok.”