Julius “Zeekill” Kıvimäki, Yerel bir çevrimiçi psikoterapi uygulamasını zorla almak ve 22.000’den fazla hastanın terapi notlarını çevrimiçi olarak sızdırmakla suçlanan 25 yaşındaki Finlandiyalı bir adam, bu hafta Fransa’da tutuklandı. On binlerce siber suç işlemekten hüküm giymiş kötü şöhretli bir bilgisayar korsanı olan Kivimäki, mahkemeye çıkmadığı ve Finlandiya’nın tutuklanması için uluslararası bir tutuklama emri çıkardığı Ekim 2022’den beri saklanıyordu.
Ekim 2022’nin sonlarında Kivimäki, Finlilere göre “gıyabında tutuklandı”. Kabul Psikoterapi Merkezi. Ekim 2020’de meydana gelen bu ihlalde, “Ransom Man” adını kullanan bir bilgisayar korsanı, Vastaamo’nun altı rakamlı bir fidye talebi ödememesi halinde hasta psikoterapi notlarını yayınlamakla tehdit etti.
Vastaamo reddetti, bu yüzden Ransom Man hastaları tek tek zorla almaya yöneldi – onlara hedefli e-postalar göndererek 500 avroluk bir fidye ödenmediği takdirde terapi notlarını yayınlamakla tehdit etti.
Ransom Man, hastalardan doğrudan şantaj almakta çok az başarı yakalayınca, çalınan Vastaamo hasta kayıtlarının tümünü içeren büyük bir sıkıştırılmış dosyayı karanlık ağa yüklediler.
Ancak Kasım 2022’de KrebsOnSecurity tarafından belgelendiği üzere, güvenlik uzmanları kısa süre sonra Ransom Man’in yanlışlıkla kendi ana klasörlerinin tam bir kopyasını eklediğini keşfetti ve burada müfettişler Kivimäki’nin işin içinde olduğuna dair birçok ipucu buldu. O hikayeden:
“Veritabanının bir kopyasını ele geçirenler arasında Anti Kurittubir ekip lideri Kar Şirketi ve eski bir suç müfettişi. 2013 yılında Kurittu, Kivimäki’nin Hack the Planet (HTP) hacker grubunun bir üyesi olarak gerçekleştirdiği diğer faaliyetlerin yanı sıra Kivimäki’nin Zbot botnet’i kullanmasını içeren bir soruşturma üzerinde çalıştı.”
“Büyük bir operasyondu [operational security] Kurittu KrebsOnSecurity’ye, müfettişlerin ele geçirdiği kanıtların ayrıntılarını tartışmayı reddederek, başarısız oldu, çünkü orada pek çok şey vardı – kullanıcının özel SSH klasörü ve çok iyi inceleyebileceğimiz birçok bilinen ana bilgisayar dahil. “Başka projeler ve veritabanları da vardı.”
Fransız haber sitesi actu.fr’ye göre Kivimäki, Courbevoie’deki yetkililerin bir aile içi şiddet raporuna yanıt vermesinin ardından 3 Şubat sabahı saat 7 civarında tutuklandı. Kivimäki daha önce yerel bir gece kulübünde bir kadınla çıkmıştı ve daha sonra ikisi evine döndü, ancak bildirildiğine göre hararetli bir tartışmaya girdi.
Olay yerine müdahale eden polis, başka bir kadın – muhtemelen bir oda arkadaşı – tarafından içeri alındı ve içerideki adamı uzun bir gece boyunca hala uyurken buldu. Onu uyandırıp kimliğini sorduklarında, 1,85 boyundaki sarışın, yeşil gözlü adam Romanya uyruklu olduğunu belirten bir kimlik gösterdi.
Fransız polisi şüpheliydi. En çok aranan suçluların kayıtlarına baktıktan sonra, adamın Kivimäki olduğunu çabucak teşhis ettiler ve onu gözaltına aldılar.
Kivimäki başlangıçta, DDoS saldırılarında uzmanlaşmış, çoğunlukla düşük vasıflı bir bilgisayar korsanı grubu olan Lizard Squad’ın kendi kendini iddia eden bir üyesi olarak ün kazandı. Ancak Amerikalı ve Finli müfettişler, Kivimäki’nin siber suçlara karışmasının en az 2008 yılına, yakında HTP’ye dönüşecek olan bir kuruluşun kurucu üyesiyle tanıştırıldığı zamana dayandığını söylüyor.
Fin polisi, Kivimäki’nin “Ryan”, “RyanC” ve “Ryan Cleary” takma adlarını da kullandığını söyledi (Ryan Cleary aslında, bilgisayar korsanlığı yapmaktan hapis cezasına çarptırılan rakip bir bilgisayar korsanı grubu olan LulzSec’in bir üyesiydi).
Kivimaki ve diğer HTP üyeleri, bilinen güvenlik açıklarını kullanarak çok sayıda güvenliği ihlal eden web sunucularına dahil oldular ve 2012’de Kivimäki’nin takma adı Ryan Cleary, bu sunuculara erişimi bir kiralık DDoS hizmeti biçiminde satıyordu. Kivimäki o sırada 15 yaşındaydı.
Kiralık DDoS hizmetinin 2012 yılında Kivimäki tarafından işletildiği iddia ediliyor.
2013 yılında, Kivimäki’den ele geçirilen cihazları inceleyen müfettişler, daha önce bilinmeyen bir güvenlik açığını kullanarak 60.000’den fazla web sunucusunu kırmak için kullanılmış bilgisayar kodu buldular. Adobe’nin ColdFusion’ı yazılım.
KrebsOnSecurity, Eylül 2013’te grubun LexisNexis, Kroll ve Dun & Bradstreet içindeki veri simsarları içindeki sunucuları tehlikeye atmasının ardından HTP’nin çalışmalarını ayrıntılı olarak açıkladı.
Grup, aynı ColdFusion kusurlarını kullanarak Ulusal Beyaz Yakalı Suçlar Merkezi’ne (NWC3) girdi. ABD Federal Soruşturma Bürosu (FBI).
O sırada KrebsOnSecurity’nin bildirdiği gibi, veri komisyoncu sunucularından oluşan bu küçük ColdFusion botnet ağı, üzerinde kontrolü üstlenen aynı siber suçlular tarafından kontrol ediliyordu. ssndob[.]HanımSosyal Güvenlik Numarası, doğum tarihleri ve ABD’de ikamet edenler hakkında kredi dosyası bilgileri almak için yeraltının en güvenilir hizmetlerinden birini işleten.
Birden fazla kolluk kuvveti kaynağı KrebsOnSecurity’ye Kivimäki’nin eski bir kişiye Ağustos 2014’te bomba tehdidi yapmaktan sorumlu olduğunu söyledi. Sony Çevrimiçi Eğlence Başkanı John Smedley bir American Airlines uçağını yere indiren olay. Bu olayın Kertenkele Timi’nden bir tweet ile başladığı geniş çapta bildirildi, ancak Smedley ve diğerleri bunun Kivimäki’den gelen bir telefonla başladığını söyledi.
Kivimäki ayrıca çok sayıda sahte bomba tehdidi ve “ezme” olayına dahil oldu – bir adresteki sahte rehine durumlarını bildirerek o yere ağır silahlı bir polis müdahalesi başlattı.
Kivimäki’nin izlerini gizleme konusundaki bariz kayıtsızlığı, Finli ve Amerikalı siber suç müfettişlerinin ilgisini çekti ve kısa süre sonra Finli savcılar onu bir dizi siber suç ihlaliyle suçladı. Duruşmada savcılar, onun çalıntı kredi kartlarını lüks mallar ve alışveriş kuponları satın almak için kullandığını ve Meksika’ya bir geziyi finanse etmek için kullandığı bir kara para aklama planına katıldığını gösteren kanıtlar sundu.
Kivimäki nihayetinde 50.000’den fazla siber suç düzenlemekten suçlu bulundu. Ancak büyük ölçüde o sırada (17) henüz reşit olmadığı için 2 yıl ertelenmiş hapis cezasına çarptırıldı ve 6.558 Euro’yu kaybetmesi emredildi.
2015 yılında Kivimäki’nin davasının ardından yazdığım gibi:
“Böyle bir karardaki tehlike, 18 yaşın altındaki bireyler tarafından işlenen siber suçların hiçbir sonucu olmadığına dair zaten popüler olan görüşü güçlendirerek genç kötü niyetli bilgisayar korsanlarını cesaretlendirmesidir.
Kivimäki şimdi cümle hakkında ötüyor; Twitter profilindeki açıklamayı “Dokunulmaz hacker tanrısı” olarak değiştirdi. Lizard Squad’ın Twitter hesabı, Kivimäki’nin hüküm giymeyeceği haberini muzaffer bir edayla tweetledi: “Hapishanede çürüyeceğimizi söyleyenlerin hiçbiri, en başından beri söylediğimizi anlamak istemiyor, bedava geçiş hakkımız var.”
İçimden bir ses Kivimäki’nin Finlandiya’ya başarılı bir şekilde iade edildiğini varsayarsak, bu sefer o kadar kolay kurtulamayacağını söylüyor. Finlandiya polisi tarafından yapılan açıklamada, Kivimäki’nin iadesini aradıkları ve sürecin sorunsuz ilerlemesini bekledikleri belirtildi.
Yorum için Kivimäki’ye ulaşılamadı. Ancak yasal ilk adını kullanarak Reddit’teki davasını tartışıyor – İskender (birkaç yıl önce yurt dışına taşındığında göbek adı Julius’u kullanmayı bıraktı). 31 Ocak 2022 tarihli bir gönderide Kivimäki, Fince konuşan başka bir Reddit kullanıcısına adaletten kaçtığını söyleyen bir yanıt verdi.
“Aynı şey,” diye yanıtladı Kivimäki. “Bir tür kulüp kuralım mı? Aranan kişiler için bir destek kuruluşu mu?”