Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Sosyal Mühendislik
FBI, Erkekleri En Az 45 Saldırı ve Milyonlarca Değerinde Kripto Para Hırsızlığıyla Bağlantılandırdı
Prajeet Nair (@prajeetspeaks), Mathew J. Schwartz (euroinfosec) •
21 Kasım 2024
ABD hükümeti Çarşamba günü, çok sayıda yüksek profilli ve yıkıcı hack saldırısıyla bağlantılı “gevşek organize olmuş, mali motivasyona sahip bir siber suç grubunun” beş şüpheli üyesine yönelik suç duyurusunda bulundu.
Ayrıca bakınız: İsteğe Bağlı | 2024 Kimlik Avı Analizleri: 11,9 Milyon Kullanıcı Davranışı Riskiniz Hakkında Neleri Ortaya Çıkarıyor?
8 Ekim’de mühürlü olarak sunulan mühürsüz bir federal büyük jüri iddianamesi, beş kişiyi bir bilgisayar korsanlığı grubunun parçası olarak faaliyet gösterirken işlenen komplo, elektronik dolandırıcılık ve kimlik hırsızlığı suçlarıyla suçluyor.
Davanın yürütüldüğü Kaliforniya Merkez Bölgesi ABD Başsavcısı Martin Estrada, “Bu siber suçlu grubunun on milyonlarca dolar değerindeki fikri mülkiyet ve özel bilgileri çalmak için karmaşık bir plan gerçekleştirdiğini iddia ediyoruz” dedi.
Şüphelilerin, “kurumsal çağrı merkezlerini hedef alan sosyal mühendislik tekniklerini, kapsamlı SMS kimlik avı kampanyalarını ve büyük organizasyonları tehlikeye atmak için diğer çeşitli daha karmaşık teknikleri” kullanan saldırılarla bağlantılı olan “Dağınık Örümcek” olarak bilinen suç grubunun bir parçası olduğu iddia ediliyor. Google Cloud’un Mandiant olay müdahale grubuna göre.
İddianamede adı geçen şüpheliler: Teksaslı Ahmed Hossam Eldin Elbadawy, 23, namı diğer “AD”; Noah Michael Urban, 20, diğer adıyla “Sosa” ve “Elijah”, Florida’dan; Dallas’tan Evans Onyeaka Osiebo, 20; ve Joel Martin Evans, 25, namı diğer “joeleoli”, Kuzey Carolina’dan.
FBI Salı günü Kuzey Carolina’da Evans’ı tutukladı; Urban zaten ayrı bir federal davanın parçası olarak gözaltına alınmıştı. Hükümet, Elbadawy ve Osiebo’nun serbest kalıp kalmadığını belirtmedi. İddianame dışında Perşembe günü itibarıyla diğer tüm dava kayıtları mühürlü kaldı.
Yetkililer Çarşamba günü ayrıca, 22 yaşındaki İskoçyalı Tyler Robert Buchanan’a karşı 25 Mayıs tarihli, kısmen düzeltilmiş bir suç duyurusunu da açıkladı. Kendisi elektronik dolandırıcılık, komplo, elektronik dolandırıcılık ve ağırlaştırılmış kimlik hırsızlığı yapmak için komplo kurmakla suçlanıyor.
İspanyol polisi 31 Mayıs’ta Buchanan’ı tutukladı. 21 Haziran’da ABD Başsavcılığı onun iadesi için talepte bulundu.
Scattered Spider’ın çoğunlukla sosyal mühendislik yoluyla 130’dan fazla farklı kuruluşa yönelik saldırıları olduğu tespit edildi. Grup ayrıca, çoğu zaman Batılı kurbanları hedef alan Rusya merkezli fidye yazılımı grubu Alphv, diğer adıyla BlackCat ile de çalıştı.
Google Cloud’un Mandiant Consulting grubunun CTO’su Charles Carmakal, “Bu kişiler ve birlikte çalıştıkları diğer aktörler, yıkıcı müdahaleleri nedeniyle Kuzey Amerika’daki kuruluşlara çok fazla acı ve mali zarara neden oldu” dedi.
Carmakal, “Bu, zamanla grubun bu yılki hızlı temposunu önemli ölçüde sekteye uğratan kolluk kuvvetleri açısından güzel bir kazanç” dedi.
FBI Şüphelileri En Az 45 Saldırıyla Bağlantılandırdı
FBI, bu beş şüphelinin ABD ve Kanada, İngiltere ve Hindistan da dahil olmak üzere yurt dışında bulunan en az 45 şirketin hedef alınmasıyla bağlantılı olduğunu söyledi. Mahkeme belgelerine göre, grubun kurbanları veya kurban girişiminde bulunanlar arasında ABD’de sosyal medya, risk sermayesi, interaktif eğlence, telekomünikasyon ve teknoloji, danışmanlıklar, bulut sağlayıcıları ve sanal para birimleri de dahil olmak üzere çok sayıda sektörü kapsayan “düzinelerce şirket” yer alıyor.
Sanıklar ayrıca 29 mağdura ait en az 11 milyon dolar değerindeki sanal para birimini çalmakla da suçlanıyor.
Şüpheliler, en az Eylül 2021’den Nisan 2023’e kadar kimlik avı saldırıları düzenlemekle ve çoğu zaman hedeflenen firmaların çalışanlarına toplu SMS mesajları göndermekle suçlanıyor. Mesajlar genellikle şirketten veya güvenilir bir BT veya iş tedarikçisinden geldiği iddia ediliyordu ve “sıklıkla çalışanların hesaplarının devre dışı bırakılmak üzere olduğu belirtiliyordu ve mağdurun meşru web siteleri gibi görünmek üzere tasarlanmış kimlik avı web sitelerine bağlantılar sağlanıyordu Adalet Bakanlığı, şirketlerin veya onların sözleşmeli tedarikçilerinin alıcıyı hesap oturum açma bilgileri de dahil olmak üzere gizli bilgileri sağlamaya ikna ettiğini söyledi.
FBI, kimlik avı araç setlerinin, kurbanları yalnızca kullanıcı adlarını ve şifrelerini değil, iki faktörlü kimlik doğrulama talebinin bir parçası olarak alabilecekleri herhangi bir tek seferlik kodu girmeleri için kandırma yeteneğini de içerdiğini söyledi.
Savcılar şüphelileri, mağdurların ağlarına ve “gizli iş ürünü, fikri mülkiyet ve hesap erişim bilgileri, isimler, e-posta adresleri ve telefon numaraları gibi kişisel tanımlayıcı bilgiler dahil olmak üzere gizli bilgilere” erişmek için çalınan kimlik doğrulama bilgilerini kullanmakla suçladı.
DOJ, grubun ayrıca bu izinsiz girişler, sızdırılan veri setleri ve diğer kaynaklar yoluyla elde edilen bilgileri “çok sayıda kişinin kripto para birimi hesaplarına ve cüzdanlarına yetkisiz erişim sağlamak ve milyonlarca dolar değerindeki sanal para birimini çalmak için” kullandığını söyledi.
İskoçya Şüphelinin Cihazlarına Ele Geçirildi
Savcıların bir davayla ilgili tüm delilleri iddianamede tam olarak detaylandırması gerekmese de, ABD’nin İspanya’ya sunduğu iade talebinde ayrı bir İskoç kolluk kuvvetleri soruşturması sırasında toplanan deliller hakkında ilave ayrıntılar yer alıyor.
İade talebinde, İskoçya Polisi’nin Nisan 2023’te Buchanan’ın Dundee’deki evinde arama yaptığı, masaüstü ve dizüstü bilgisayarlar, harici depolama aygıtları ve telefon da dahil olmak üzere yaklaşık 20 dijital cihaza el koyduğu ve Kasım 2023’ten Ocak 2024’e kadar bunların dijital adli kopyalarını FBI ile paylaştığı belirtildi. .
FBI, İskoçya Polisi tarafından ele geçirilen cihazların tarayıcı arama geçmişinde kimlik avı hizmeti yönetim konsollarına birden fazla ziyaret, kurban şirketlere giriş yapma girişimleri, ABD firmalarının çalışanlarına ait kullanıcı adları ve şifreler ile Telegram sohbetlerinin ekran görüntüleri de dahil olmak üzere mesajlar bulduğunu söyledi. Kurbanlardan en az 3 milyon dolar değerindeki kripto para birimini toplamak için kullanılan “SIM değiştirme ve sosyal mühendislik” planları.
Büro, Buchanan’da ele geçirilen sistemlerden birinin, “kimlik avı web sitesine gelen bilgileri (kullanıcı adları ve şifreler gibi) yakalamak ve daha sonra bu bilgileri başka bir veritabanına iletmek için tasarlanmış bir yazılım programı” olarak tanımlanan bir kimlik avı kiti içerdiğini söyledi. saldırganlar.” Müfettişler, Telegram kanalına isimsiz bir komplocu tarafından erişildiğine inandıklarını söyledi.
Kurulan kimlik avı kitinin, kimlik avı saldırılarını başlatmak için kullanılan sanal özel sunucularda barındırılan kimlik avı kitleriyle aynı hash değerine sahip olduğu belirtildi.
FBI, Buchanan’ın sisteminde bulunan bir blockchain “kısayolunun”, şu anda 30 milyon dolar değerinde olan 391 bitcoin’in Ekim 2022’den Şubat 2023’e kadar transfer edildiği bir kripto para birimi adresine atıfta bulunduğunu söyledi.