Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Yetkili, Cronos Operasyonunun Suçluların Gruba Güvenini Sarsmaya Öncelik Verdiğini Söyledi
Mathew J. Schwartz (euroinfosec) •
25 Ekim 2024
Büyük bir fidye yazılımı operasyonunu engellemek için ne gerekir? 10 ulusal emniyet teşkilatından oluşan Cronos Operasyonu, çeşitli yaklaşımlar kullanarak LockBit hizmet olarak fidye yazılımı grubunu hedeflemeye devam ediyor.
Ayrıca bakınız: Copilot destekli Windows 11 Pro ile İş Başarınızı Hızlandırın
Europol’ün Avrupa Siber Suç Merkezi adli tıp destek ekibi başkanı Donatas Mazeika Cuma günü yaptığı konuşmada, “Bu soruşturmanın amacı özellikle suç topluluğunun bu fidye yazılımı ailesine ve fidye yazılımı ailesinin sağlayıcılarına olan güvenini sarsmaktı” dedi. Amsterdam’daki Hardware.io konferansı.
Cronos Operasyonu, gruba kurşun geçirmez bir barındırma sağlayıcısı olduğu iddia edilen bir kişinin İspanya’da gözaltına alınması da dahil olmak üzere çok sayıda tutuklamayla sonuçlandı. Polis düzinelerce sunucuya el koyarken, mali yetkililer üye olduğu iddia edilen kişilere yaptırımlar uyguladı ve 200 kripto para birimi hesabını dondurdu. ABD, Rus uyruklu Dmitry Yuryevich Khoroshev’i – “LockBitSupp” olarak anılan – grubun lideri olmakla suçladı ve tutuklanmasını veya mahkum edilmesini sağlayacak bilgiler için 10 milyon dolara kadar ödül ilan etti.
2021’de başlatılan kolluk kuvvetleri operasyonu, Britanya Ulusal Suç Teşkilatı’nın LockBit’in altyapısına sızmasına yol açtı; bu kurum, 2.500 şifre çözme anahtarının yanı sıra kurban ödemeleriyle bağlantılı tüm LockBit bağlı kuruluş kullanıcı adlarının ve Bitcoin adreslerinin bir listesini aldı (bkz.: Birleşik Krallık Yetkilisi, Cronos Operasyonunun LockBit’i Bozduğunu Söyledi).
Mazeika, yetkililerin grubun fidye yazılımını alan ve bunu kurbanlara bulaştırmak için kullanan ve ödenen her fidyeden büyük bir kesinti karşılığında kullanan 200’den fazla kişiden oluşan bir “bağlı kuruluş sürüsünü” kovalamasıyla LockBit’i kaldırma çabalarının devam ettiğini söyledi. “Bu suça karışanların bulunup tutuklanması için henüz yapılacak çok iş var.”
Mazeika daha önce Litvanya Ulusal Kriminal Polisi’nde soruşturmacı ve dijital adli tıp müfettişi olarak görev yaptı, daha sonra 2019’da Hollanda’nın Lahey kentindeki Europol’e katılmadan önce siber suç soruşturmalarının başına geçti.
Siber suçlar gelişmeye devam ederken (2010’ların sonlarındaki kripto-kilitleme fidye yazılımı saldırılarının ve buna eşlik eden suç gelirlerinin artmasının da gösterdiği gibi), polislik yetenekleri de gelişmeye devam ediyor. Mazeika, meslektaşlarından birinin sözleriyle şunları söyledi: “Eğer işin içinde bir blockchain varsa çözülmemiş vakalar diye bir şey yoktur.” “Bu ünlü hack olaylarından bazılarının üzerinden 10 yıl geçmesine rağmen hâlâ parayı bulup suçluların izini sürebiliyoruz” diye ekledi.
Kanıt toplamak için dijital adli bilişimin kullanılması birçok vakanın temel bileşeni olmaya devam ediyor. Europol, 2013’ten bu yana kendi “şifre çözme platformunu” işletiyor ve 2021’de büyük bir yeni yineleme devreye giriyor. Avrupa Komisyonu’nun İtalya’nın Ispra kentindeki Ortak Araştırma Merkezi’nin ev sahipliği yaptığı platform, tüketici GPU’larını çalıştıran büyük “kapsüllerden” oluşuyor ve Sıcaklıklarını düşük tutan ve güç tüketimini en aza indiren mineral yağ. EC3 bu platformu yılda yaklaşık 40 araştırmayı desteklemek için kullanıyor ve genellikle bu yeteneğe sahip olmayan Avrupalı üye devletlerle çalışıyor.
Mazeika, popüler şifre kırma aracına atıfta bulunarak, “Hashcat tarafından desteklenen her şeyin şifresini çözmeye çalışabiliriz” dedi. Europol’ün yaptığı şeyin, şifrelemeyi kırmak gibi teknik olarak şifre çözme olmadığını, bunun yerine teknolojiyi kullanarak insanların şifrelerini tahmin etmek olduğunu, genellikle araştırmacıların olası isabetlerden oluşan “uygun bir kelime listesi” hazırladıktan sonra, sonuçta kazanç elde etme çabası içinde olduklarını açıkladı. Ele geçirilen cihazlarda depolanan verilere erişim.
İlişkilendirme, Altyapı, İzleme
Mazeika, EC3’ün üç ana alana odaklandığını söyledi: İlişkilendirme, yani fidye yazılımı operasyonlarıyla ilişkili takma adların arkasındaki kişilerin maskesinin düşürülmesi ve iş e-postası gizliliğini ihlal eden grupların üyelerinin belirlenmesi; fidye yazılımı ve karanlık ağ pazarları da dahil olmak üzere siber suç operasyonlarını desteklemek için kullanılan altyapının bulunması; ve parayı takip ediyorum.
“Çok, çok, çok yetenekli” insanların dahil olduğu “Kripto izleme konusunda özellikle Europol’de iyiyiz” dedi.
Mazeika, Europol’ün suç altyapısına kümülatif olarak el koymasının, çoğu fidye yazılımı grubunun nispeten düşük düzeyde bilgi ve operasyonel güvenliğe sahip olduğunu ortaya çıkardığını, bunun da “esas olarak alçakta kalan meyvelere” (tipik olarak güvenliği zayıf, orta ölçekli işletmelere) yönelme eğilimlerinin de gösterdiği gibi olduğunu söyledi.
EC3’ün katkıda bulunduğu birçok araştırma kayda değer aksaklıklara yol açmıştır. 2020 yılında polisin, artık kullanılmayan şifreli mesajlaşma hizmeti EncroChat’e sızması, şu ana kadar aktif üye olduğundan şüphelenilen 6.000’den fazla kişinin tutuklanmasına, 200’den fazla iddia edilen üst düzey operatöre yönelik suçlamalara ve uyuşturucu, silah ve daha fazlasına el konulmasına yol açtı. 900 milyon euro (bkz: Şüpheli EncroChat Yöneticisi Fransa’ya İade Edildi).
“Siber soruşturmalar: kolluk kuvvetleri basın bültenlerinin satır aralarını okumak” başlıklı konferans açılış konuşması sırasında Mazeika, her soruşturmanın planlandığı gibi gitmediğini söyledi. Kendisi, Europol’ün 2020 tarihli “Hook, line and platin: siber suç ağı kimlik avı bankası kimlik bilgileri Romanya’da tutuklandı” başlıklı bir basın açıklamasına atıfta bulundu. Bu soruşturma üç şüphelinin tutuklanmasıyla sonuçlanırken, polis tarafından ele geçirilen üç cep telefonunun görüntüsünü yansıttı; şüphelilerin tümü gözaltına alınmadan önce parçalandı ve bu da polisin veri alma çabalarını zorlaştırdı.
“Kötü operasyonel planlama her türlü soruşturmayı mahvedebilir; suçu kimin işlediğini bilmek ve bunu kanıtlamak kesinlikle farklı görevler ve farklı karmaşıklıktaki görevlerdir” dedi. “Bu, kolluk kuvvetleri tarafından, delil içeren cihazlar, bu cihazlardan verileri almanıza izin verecek bir durumdayken ellerinizi aldığınızdan emin olmak için çok fazla yaratıcılık gerektiren bir zorluktur.”
Modern cihazların “çok çok güvenli” olduğunu, dijital adli tıp için “ticari çözüm sağlayıcılarının” ise üreticilerin cihazlarına yerleştirdikleri güvenlik önlemlerinin “oldukça gerisinde kaldıklarını” söyledi. “Bu, karşı karşıya olduğumuz hayatın gerçeğidir ve kolluk kuvvetleri olarak uygun operasyonel planlamayla telafi etmeye çalışmamız gereken hayat gerçeğidir.”