Pazartesi günü Europol, şüpheli yöneticinin tutuklandığını duyurdu. Xss.is (Eski adıyla Damagelab), Rusça konuşan bir siber suç platformu.
222 Temmuz 2025’te Ukrayna’nın Kiev kentinde gerçekleşen tutuklama, Ukrayna yetkilileri ve Europol ile işbirliği içinde Fransız polisi ve Paris savcısı tarafından yönetildi. Eylem, Temmuz 2021’de Fransız polisi tarafından başlatılan bir soruşturmanın sonucudur.
Tutuklama ile birleştiğinde, kolluk kuvvetleri de XSS.is’in ClearNet alanının kontrolünü ele geçirdi. Ziyaretçileri nöbet bildirimi ile selamladı, “Bu alan, SBU Cyber Departmanının yardımıyla La Brigade de Lutte Contre La Cybercriminalité tarafından ele geçirildi.”
Kolluk kuvvetleri, “50.000’den fazla kayıtlı kullanıcısı olan forum, çalıntı veriler, hackleme araçları ve yasadışı hizmetler için kilit bir pazar olarak hizmet etti.” Dedi. Diyerek şöyle devam etti: “Uzun zamandır koordine etmek, reklam vermek ve işe almak için kullanılan en aktif ve tehlikeli siber suçlu ağlardan bazıları için merkezi bir platform olmuştur.”
Forumun yöneticisinin, hizmetin teknik operasyonlarına katılmanın yanı sıra, suçlular arasındaki anlaşmazlıkları tahkim etmek ve işlemlerin güvenliğini garanti etmek için güvenilir bir üçüncü taraf olarak hareket ederek cezai faaliyet sağladığı söyleniyor.
İsimsiz bireyin, siber suçluların ihtiyaçlarını karşılamak için özel olarak inşa edilmiş özel bir mesajlaşma platformu olan Thesecure.biz’i çalıştırdığına inanılıyor. Bu yasadışı girişimlerle, şüphelinin reklam ve kolaylaştırma ücretlerinden elde edilen karlarda 7 milyon € (8.24 milyon $) kazandığı tahmin ediliyor.
Europol, “Müfettişler, siber suç ekosisteminde yaklaşık yirmi yıldır aktif olduğuna inanıyor ve yıllar boyunca birkaç büyük tehdit aktörüyle yakın bağlar sürdürüyorlar.”
Paris savcısına göre, XSS.IS 2013’ten bu yana aktif, tüm bu siber suç için bir merkez görevi görüyor, erişimden ödün verilen sistemlere ve fidye yazılımı ile ilgili hizmetlere kadar değişiyor. Ayrıca, siber suçluların anonim olarak iletişim kurmasına izin veren şifreli bir Jabber mesajlaşma sunucusu sundu.
XSS.IS, istismarla birlikte, Rusça konuşan siber suçlu ekosistemin omurgası olarak hizmet etti ve bu forumlardaki tehdit aktörleri öncelikle Rusya konuşmayan ülkeleri seçti. Kela tarafından paylaşılan veriler, XSS’nin şu anda 48.750 kayıtlı kullanıcıya ve 110.000’den fazla iş parçacığına sahip olduğunu göstermektedir.
Kela, “Yasadışı işlemleri kolaylaştırmak için forumun yerleşik bir itibar sistemi var.” Dedi. “Üyeler, forum tarafından atanan bir emanet hizmeti kullanabilirler, anlaşmaların dolandırıcılık olmadan tamamlanmasını sağlamak ve bir depozito ekleyerek itibarlarına katkıda bulunabilir.”
Geliştirme, Europol liderliğindeki bir operasyonun, Nonam057 (16) olarak bilinen Rus yanlısı bir hacktivist grupla ilişkili çevrimiçi altyapıyı ve iki kişinin Ddosia adı verilen go-tabanlı bir araç kullanan Ukrayna ve müttefiklerine karşı dağıtılmış bir hizmet (DDOS) saldırıları yürütmesi için tutuklanmasından bir hafta sonra geliyor.
Kaydedilen Future’s InKt Group, bu hafta yayınlanan bir raporda, grubun 1 Temmuz 2024 ve 14 Temmuz 2025 arasında, öncelikle hükümet, kamu sektörü, ulaşım, teknoloji, medya ve finansal varlıklar arasında Rusya’nın Ukrayna’yı istila etmesine karşı olan 3.776 benzersiz ev sahibi hedeflediğini söyledi.
Ukrayna örgütleri hedeflerin en büyük payını (%29.47), ardından Fransa (%6.09), İtalya (%5.39), İsveç (%4.60), Almanya (%4.50), İsrail (%4.50), Çekya (%4), Polonya (%4) ve Birleşik Krallık (%3.30) izledi. Ukrayna’ya verdiği desteğe rağmen Amerika Birleşik Devletleri dikkate değer bir dışlama.
Nonam057 (16) ‘nın altyapısının kapsamlı bir analizi, yukarı akış erişimi sınırlamak ve güvenilir C2 işlevselliğini korumak için erişim kontrol listeleri (ACL’ler) ile korunan hızla döndürülmüş Tier 1 komut ve kontrol (C2) sunucularından ve Tier 2 sunucularından oluşan esnek, çok katmanlı bir mimariyi çıplak bırakmıştır. Zaman diliminde 275 benzersiz kademe 1 tanımlanmıştır.
Mastercard’a ait siber güvenlik şirketi, “Tehdit grubu, Ukrayna’daki jeopolitik ve askeri gelişmelerle ilişkili yoğun faaliyet patlamaları ile günlük 50 benzersiz hedefin ortalaması alan yüksek operasyonel bir tempoyu sürdürüyor.” Dedi.
“Nonam057 (16), sunucu kaynaklarını ezmek ve kullanılabilirliği bozmak için tasarlanmış yöntemleri seçerek ağ ve uygulama katmanı DDOS saldırılarının bir karışımını kullanır. Tehdit grubunun saldırı metodolojisi açık ancak etkilidir, yüksek hacimli sellere ve kaynak tükenme tekniklerine öncelik verir.”