4 Ocak 2017’de Cleveland, Ohio’da bulunan Case Western Reserve Üniversitesi (CWRU), 100’den fazla bilgisayarında bir enfeksiyon olduğunun farkına vardı. Üniversite, ekibin kötü amaçlı yazılımı bulmasına ve tanımlamasına yardımcı olacak bilgileri sağlayan, adı açıklanmayan bir üçüncü taraf tarafından bilgilendirildi.
CWRU, sistemlere birkaç yıldır virüs bulaştığını belirleyen FBI ile çalışmaya başladı. CWRU ve FBI birlikte, kötü amaçlı yazılımın iletişim kurduğu IP adresinin aynı zamanda Phillip Durachinsky adlı bir adamın mezunlar e-posta hesabına erişmek için kullanıldığını tespit edebildiler.
10 Ocak 2017’de devam eden bu soruşturmadan habersiz olan Malwarebytes, kötü amaçlı yazılımın FruitFly olarak anılacak Mac sürümünün farkına vardı. Araştırmamızı Apple ile paylaştık ve Apple’ın FBI ile çalıştığını ve kötü amaçlı yazılıma şirket içinde “FruitFly” adını verdiğini öğrendik.
25 Ocak 2017’de Durachinsky, FruitFly kötü amaçlı yazılımına bulaştığı gerekçesiyle tutuklandı. 7 Aralık 2023’te (yaklaşık 7 yıl sonra) bir yargıç, Durachinsky’nin mahkemeye çıkma ehliyetinin olmadığına karar verdi.
Phillip Durachinsky kimdir?
Kuzeydoğu Ohio’da yaşayan Durachinsky, ilkokul ve üniversite yıllarında akranları tarafından “garip ve eksantrik” olarak görülüyordu. Buna rağmen ders dışı faaliyetlerde aktifti. Lisede bir bilgisayar kulübüne katıldı. Kulübün bir üyesi olarak yerel bir programlama yarışmasında yarıştı ve takımın hem 2005 hem de 2006’da kazanmasına yardımcı oldu. Bu galibiyetlerden birinin ardından yerel bir gazete muhabiriyle röportaj yapan Durachinsky şunları söyledi: “Bu, takım çalışmasıyla, güçlü yönlerinizi bilmekle ve Takıma yardımcı olmak için zayıf yönlerimiz var.”
CWRU’daki üniversitede, “matematiğin arkasındaki felsefeyle ilgilendiği” bir felsefe kulübüne katıldı. 2012 yılında, yakında fizik diplomasıyla mezun olacak son sınıf öğrencisi olarak, öğretim üyesi Robert W. Brown ile nanoparçacık davranışıyla ilgili bir proje üzerinde çalıştı ve davranışı 3 boyutlu olarak görselleştirmeye yönelik yazılımlara yardımcı oldu.
Ancak Durachinsky’nin diğer bilgisayar faaliyetleri nedeniyle başı sık sık dertteydi. Lisesinin bilgisayar sistemine sızdığı söyleniyordu, ancak bu söylentiler hiçbir zaman doğrulanmadı. CWRU’dayken bir CWRU ağında “şifreleri kırmakla” suçlandı. Yerel bir kolluk kuvvetleri temsilcisi, 2017’de tutuklanmasının ardından verdiği röportajda Durachinsky’nin “yetkililer tarafından bilinmediğini” söyledi.
FruitFly kötü amaçlı yazılımı
FruitFly kötü amaçlı yazılımına ilişkin ilk araştırma çok ilginç bir şeyi ortaya çıkardı: Kötü amaçlı yazılımdaki bazı kodlar oldukça eskiydi. Geçmişi Macintosh’un ilk günlerine kadar uzanan ve macOS’ta yıllardır kullanımdan kaldırılan işlevlere birçok gönderme vardı. (Bu, Malwarebytes’in başlangıçta kötü amaçlı yazılım için, düşman kabilelerine sızan eski Aztek casuslarının adından sonra “Quimitchin” adını kullanmasına yol açtı. Bu isim pek tutulmadı.)
FruitFly, dosya sızdırma, ekran yakalama, rastgele komutların yürütülmesi ve web kamerasına ve mikrofona uzaktan erişim dahil olmak üzere çok sayıda güçlü özelliğe sahipti. FBI, Durachinsky’nin evinde el konulan donanımdaki kurban makinelerden toplanan 20 milyondan fazla dosya buldu.
Etkilenen kuruluşlara 27 Mart 2017’de yayınlanan bir FBI Flash belgesine göre, makinelere, zayıf parolalar veya diğer sistemlerin ihlallerinden kaynaklanan parolalar kullanılarak kaba kuvvet saldırıları yoluyla FruitFly bulaştı. (İkincisine “kimlik bilgisi doldurma” denir.)
“Saldırı vektörü, hedeflenen Apple Dosyalama Protokolü (AFP, bağlantı noktası 548), RDP, VNC, SSH (bağlantı noktası 22) ve Mac’ime Geri Dön’ü (BTMM) içeren, dışarıdan bakan Mac hizmetlerinin taranmasını ve tanımlanmasını içeriyordu. zayıf şifreler veya 3. taraf veri ihlallerinden elde edilen şifreler.”
FBI Flaş
Bu şekilde, on yıldan fazla bir süre içinde binlerce bilgisayara virüs bulaştı.
Tutuklama ve duruşma
Apple, hem FBI hem de Malwarebytes ile koordinasyon sağlayan bir aracı görevi görüyordu. 18 Ocak 2017’de her üç örgüt de eş zamanlı eylemler gerçekleştirdi. Apple, kullanıcıları FruitFly’a karşı korumak için bir güvenlik güncellemesi yayınladı, Malwarebytes, kötü amaçlı yazılımla ilgili teknik ayrıntıları içeren bir blog yazısı yayınladı ve FBI, kötü amaçlı yazılımın kullandığı IP adresine bağlı evin kapısını çaldı. (IP adresi, CWRU, Malwarebytes ve AT&T tarafından toplanan veriler kullanılarak kötü amaçlı yazılıma bağlandı.)
Evin, Durachinsky’nin ebeveynlerinin evi olduğu ortaya çıktı; onlar ajanların içeri girmesine izin verdi ve Durachinsky’nin lisedeyken lisesinin web sitesine girip öğretmenlerin e-postalarını hacklediği için başının dertte olduğunu söyledi.
FBI, Durachinsky’nin odasında bir dizüstü bilgisayar buldu. Odaya girdiklerinde dizüstü bilgisayarın kapağı hafif aralıktı ve ajanlar imlecin hareket ettiğini (bu, ona uzaktan erişildiğini gösteriyordu) ve ekranda kötü amaçlı yazılımın kontrol panelinin göründüğünü görebiliyordu. Aracılar daha fazla uzaktan erişimi önlemek için ağ yönlendiricisinin bağlantısını kesti; bu da kanıtların silinmesine yol açabilirdi. Ayrıca çok sayıda sabit disk de bulundu.
19 Ocak’ta bir yargıç, FBI’ın dizüstü bilgisayar ve sabit disklerin içeriğini incelemesine izin veren bir tutuklama emri imzaladı. Bulunan deliller sonucunda Durachinsky, 25 Ocak’ta tutuklandı. Savunmanın çok sayıda talebi ve Durachinsky’nin hukuki temsilinde yapılan değişikliklerin ardından, nihayet yaklaşık bir yıl sonra, 19 Ocak 2018’de mahkemeye çıkarıldı.
Durachinsky, bilgisayarlara izinsiz erişim ve zarar verme, kamuya açık olmayan bir devlet bilgisayarına izinsiz erişme, çocuk pornografisi üretme, üç elektronik dolandırıcılık, dört ağır kimlik hırsızlığı ve beş yasa dışı telefon dinleme dahil olmak üzere 16 suçla suçlandı.
Uzun süren duruşma sırasında savunmayı en çok ilgilendiren konu çocuk pornografisi suçlamasıydı. Uygunsuz el koyma iddiaları nedeniyle delilleri gizleme girişimi, Durachinsky tarafından yapılan bir itirafı gizleme girişimi ve bu suçlamayı diğerlerinden ayırma ve ayrı olarak yargılama girişimi de dahil olmak üzere, kaçmaya yönelik defalarca girişimde bulunuldu.
Yonetmek
Durachinsky’nin tutuklanmasından neredeyse yedi yıl sonra yargıç Solomon Oliver, Durachinsky’nin otizm spektrum bozukluğu (ASD) nedeniyle kendi savunmasına yardımcı olamaması nedeniyle mahkemeye çıkma konusunda yetersiz olduğuna karar verdi. Psikologlar onun “durumunun”, yeterliliğini geri kazandıracak şekilde tedavi edilebileceğini belirlerse deneme devam edecek. Aksi takdirde sivil olarak taahhütte bulunacaktır.
İlginç bir şekilde, hem savcı hem de savunma avukatları yetki kararı konusunda hemfikir olsa da Durachinsky’nin kendisi aynı fikirde değil. Kendisinin, “Otizm bozukluğu teşhisine itiraz etmiyorum, ancak bunun kovuşturulma şekline katılmıyorum” dediği aktarıldı.
Bu karar bilgi güvenliği camiasında bazı endişelere neden oldu. OSB “iyileştirilebilecek” bir şey değildir, ancak terapi, spektrumdaki insanlara sosyal ve iletişim becerilerini nasıl geliştireceklerini öğretmeye yardımcı olabilir. Ancak bu yıllar alabilir.
Bazıları, Durachinsky’nin faaliyetlerinin ve kamuoyuna yaptığı açıklamaların, yüksek işlevli OSB’den etkilenen birçok kişi gibi onun da durumunu tam olarak anlama ve doğru ile yanlış arasındaki farkı bilme yeteneğine sahip göründüğünü ileri sürerek karara ilişkin şüphelerini dile getirdi.
Diğerleri bu davanın gidişatına ilişkin endişelerini dile getirdi. Hiçbir mahkemede suçlu bulunmadan yedi yıl hapis cezası endişe verici. Kanıtlar oldukça ikna edici görünse ve Durachinsky’nin suçlu bulunması tamamen bekleniyor olsa da, ABD adalet sisteminin, suçlu olduğu kanıtlanana kadar bir sanığın masum olduğunu varsayması gerekiyor.
Sırada ne var?
Bay Durachinsky’nin bundan sonra ne olacağı belli değil ama görünen o ki efsane henüz bitmedi. Muhtemelen hapisten çıkacak veya serbest bırakılacak, ancak hâlâ sivil bağlılık sorunu var. Bunun tam olarak ne anlama geleceği belli değil; bunun bir kurumda kalmayı gerektirip gerektirmeyeceği ve eğer öyleyse ne kadar süreyle. Ayrıca mahkemenin, sanığın ehliyetini geri kazanma konusunda başarılı olduğunu düşündüğü herhangi bir tedavinin olup olmayacağı da belli değil; bu durumda duruşma devam edebilir.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.