Bir güvenlik sağlayıcısının, Reuters’teki araştırmacı gazeteciler tarafından elde edilen kamuya açık olmayan verileri 11 ay boyunca incelemesi, Hintli bir hack-for-kira grubunu dünya çapında bireylere ve kuruluşlara yönelik çok sayıda – bazen yıkıcı – siber casusluk ve gözetleme olayıyla ilişkilendiren önceki raporları doğruladı.
Appin olarak bilinen Yeni Delhi merkezli şaibeli grup artık mevcut değil; en azından orijinal haliyle veya markasıyla. Ancak 2009’dan başlayarak birkaç yıl boyunca, Appin’in görevlileri küstahça ve bazen de beceriksizce dünya çapındaki işletmelere ve şirket yöneticilerine, politikacılara, yüksek değere sahip bireylere ve hükümet ve askeri yetkililere ait bilgisayarlara saldırdı. Ve üyeleri bugüne kadar yan ürünlerde aktif olmaya devam ediyor.
Küresel Ölçekte Hackleme
Firmanın müşterileri arasında özel dedektifler, dedektifler, devlet kurumları, kurumsal müşteriler ve çoğunlukla ABD, İngiltere, İsrail, Hindistan, İsviçre ve diğer bazı ülkelerdeki büyük dava savaşlarına katılan kuruluşlar yer alıyordu.
Appin’in faaliyetlerini araştıran Reuters’teki gazeteciler, Appin’in “MyCommando” adlı sitesine bağlı günlükler de dahil olmak üzere birçok kaynaktan operasyonları ve müşterileri hakkında ayrıntılı bilgi topladı. Appin müşterileri siteyi, Reuters’in hedeflenen kuruluşların e-postalarına, telefonlarına ve bilgisayarlarına izinsiz girme seçenekleri menüsü olarak tanımladığı hizmetlerden sipariş vermek için kullandı.
Reuters soruşturması, Appin’in yıllar içinde bazen daha önce rapor edilen çok çeşitli bilgisayar korsanlığı olaylarıyla bağlantılı olduğunu gösterdi. Bunlar arasında, New York’taki küçük bir Kızılderili kabilesi için kazançlı bir kumarhane anlaşmasını raydan çıkaran özel e-postaların sızmasından, 2012 futbol dünya kupasını Avustralya’ya getirmeye çalışan Zürih merkezli bir danışmanın dahil olduğu bir izinsiz girişe kadar her şey vardı. Reuters’in raporunda bahsettiği diğer olaylar arasında Malezyalı siyasetçi Mohamed Azmin Ali, Rus girişimci Boris Berezovsky, New York’lu bir sanat tüccarı, Fransız elmas mirasçısı ve Norveçli telekomünikasyon firması Telenor’a 60.000 e-postanın çalınmasıyla sonuçlanan bir izinsiz giriş yer alıyor.
Reuters’in raporunda bahsettiği önceki soruşturmalar, Appin’in Telenor’da yaşananlar ve Zürih merkezli danışmanın dahil olduğu olaylar gibi bazı olaylarla bağlantılı olduğunu ortaya çıkardı.
Kesin Kanıta Yakın
Bu tür bağlantılar, Reuters tarafından görevlendirilen SentinelOne tarafından yapılan veriler incelemesiyle daha da doğrulandı. Siber güvenlik firmasının Reuters gazetecilerinin topladığı verilere ilişkin kapsamlı analizi, Appin ile çok sayıda veri hırsızlığı olayı arasında neredeyse kesin bağlantılar olduğunu gösterdi. Bunlar arasında Appin tarafından Pakistan ve Çin hükümet yetkililerinden e-posta ve diğer verilerin çalınması da vardı. SentinelOne ayrıca Appin’in Hindistan’daki Sih dini azınlık topluluğuyla bağlantılı sitelere tahrifat saldırıları düzenlediğine ve terörist olduğundan şüphelenilen bir Sih bireyin Gmail hesabına sızmaya yönelik en az bir talep olduğuna dair kanıtlar da buldu.
SentinelLabs’ın baş tehdit araştırmacısı Tom Hegel, “Organizasyonun mevcut durumu on yıl önceki durumundan önemli ölçüde farklı” diyor. “Araştırmamızda yer alan ilk varlık ‘Appin’ artık mevcut değil ancak günümüzde birçok hack-for-hire girişiminin ortaya çıktığı öncül olarak kabul edilebilir” diyor.
Yeniden markalaşma, çalışan geçişleri ve becerilerin yaygınlaştırılması gibi faktörlerin, Appin’in Hindistan’da öncü hack-for-hire grubu olarak tanınmasına katkıda bulunduğunu söylüyor. Şirketin eski çalışanlarının birçoğu şu anda faaliyette olan benzer hizmetleri yaratmaya devam etti.
Reuters’in raporu ve SentinelOne’un incelemesi, hack-for-hire hizmetlerinin karanlık dünyasına yeni bir ışık tuttu; bu, başkalarının da endişeyle vurguladığı bir pazar nişidir. Geçen yıl Google tarafından hazırlanan bir rapor, bu hizmetlerin Hindistan, Rusya ve Birleşik Arap Emirlikleri gibi ülkelerde nispeten verimli bir şekilde kullanılabilirliğine dikkat çekiyor. SentinelOne geçen yıl Void Balaur adlı böyle bir grubun Rusya dışında faaliyet gösterdiğini bildirmişti.
Altyapı Kaynak Kullanımı
Reuters’in elde ettiği verilerin incelenmesi sırasında, SentinelOne’daki araştırmacılar, Appin görevlilerinin Akşamdan Kalma Operasyonu’nu (daha sonra Telenor’daki bir casusluk operasyonu olarak adlandırılacaktı) ve diğer kampanyaları gerçekleştirmek için bir araya getirdiği altyapının parçalarını bir araya getirmeyi başardılar.
SentinelOne’un incelemesi, Appin’in müşterileri adına saldırılar gerçekleştirirken kullandığı altyapıyı satın almak ve yönetmek için sıklıkla üçüncü taraf bir dış yükleniciyi kullandığını gösterdi. Appin operatörleri temel olarak yüklenicinin belirli teknik gereksinimlere sahip sunucular almasını isteyecektir. Yüklenicinin Appin için edineceği sunucu türleri arasında, sızdırılan verileri depolamak için olanlar da vardı; Komuta ve kontrol sunucuları, kimlik avı amaçlı Web sayfalarını barındıran sunucular ve özel olarak hedeflenen kurbanları cezbetmek için tasarlanmış siteleri barındıran sunucular. Örneğin böyle bir sitenin İslamcı cihadçılarla ilgili bir teması vardı ve bu da ziyaretçileri kötü amaçlı yazılımlarla dolu başka bir web sitesine yönlendiriyordu.
Appin yöneticileri, kötü amaçlı yazılımları ve açıkları kodlayacak programcıları bulmak için şirket içi programcıları ve Kaliforniya merkezli serbest portal Elance’i (şimdiki adı Upwork) kullandı. Örneğin, kiralık hack grubunun Telenor’a saldırısında kullandığı bir USB yayma aracı, Elance’in serbest çalışanlarından birinin eseriydi. Appin, 2009’daki iş ilanında aradığı aracı “gelişmiş veri yedekleme aracı” olarak tanımlamıştı. Şirket ürün için 500 dolar ödedi.
Appin, Elance’deki diğer iş ilanları aracılığıyla, Windows sistemleri için bir ses kayıt aracı, CC ve Visual C++ için bir kod gizleme aracı ve Microsoft Office ve IE için güvenlik açıkları da dahil olmak üzere çeşitli diğer araçları aradı ve satın aldı. Office, Adobe ve Internet Explorer ile Firefox gibi tarayıcılardaki çeşitli güvenlik açıklarına yönelik açıklardan yararlanma geliştirme veya mevcut açıkların özelleştirilmesine yönelik reklamlar gibi bazı reklamlar küstahçaydı. SentinelOne’ın gözlemine göre, Appin’in zar zor gizlenen kötü niyetli niyeti ve düşük ödeme teklifleri (örneğin, ayda iki istismar için aylık 1.000 dolar) sıklıkla serbest çalışanların şirketin iş tekliflerini reddetmesiyle sonuçlandı.
Appin ayrıca araç setini özel casus yazılım, takip yazılımı ve istismar hizmetleri satanlar da dahil olmak üzere başkalarından da temin etti. Hatta bazı durumlarda bu ürün ve hizmetlerin bayisi bile olmuştur.
Basit Ama Etkili
SentinelOne, “On yıldan fazla bir süre önce müşterilere sağlanan saldırgan güvenlik hizmetleri, genellikle dahili olarak ‘müdahale’ hizmetleri olarak adlandırılan, birçok teknoloji türünde veri hırsızlığını içeriyordu.” dedi. “Bunlar arasında keylogging, hesap kimlik bilgileri avı, web sitesi tahrifatı ve SEO manipülasyonu/dezenformasyon yer alıyor.”
Appin ayrıca isteğe bağlı olarak çalınan belgelerdeki şifrelerin kırılması gibi müşteri taleplerini de karşılayabilecek.
Hegel, incelenen dönemde, Hindistan’ın özel sektöründeki kiralık hack endüstrisinin, o dönemde belirli bir teknik gelişmemiş olmasına rağmen, dikkate değer derecede bir yaratıcılık sergilediğini belirtiyor.
“Bu dönemde sektör girişimci bir şekilde faaliyet gösterdi ve genellikle uygun maliyetli ve karmaşık olmayan saldırı yeteneklerini tercih etti” diyor. “Operasyonlarının dikkate değer ölçeğine rağmen, bu saldırganlar, özellikle köklü gelişmiş kalıcı tehditler (APT’ler) veya suç örgütleriyle karşılaştırıldığında, genellikle çok karmaşık olarak sınıflandırılmıyor” diyor.