Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Araştırmacıların Raporuna Göre En Az 7 Uyuşturucu Odaklı Rusça Pazarında Kullanılan M-Club
Mathew J. Schwartz (euroinfosec) •
11 Ocak 2023
Yasa dışı maddeler, dijital kaçak mallar, dolandırıcılık araçları ve diğer suç malları sunan e-ticaret pazarları gelişmeye devam ediyor.
Ayrıca bakınız: Kimlik Avının Anatomisi: Gelişmiş Kimlik Avı Saldırılarını Önlemek İçin En İyi Kimlik Doğrulama Uygulamaları
Bu tür mal ve hizmetlerin birçok alıcısı ve satıcısı, karanlık ağ pazarlarına güveniyor. Ancak hiçbir pazar sonsuza kadar yaşamaz ve ne zaman büyük bir oyuncu bozulsa, kullanıcılar dağılır. Bazıları rakip hizmetlere akın ediyor, diğerleri yeni seçenekler başlatıyor ve gizli sohbetler, şifreli sohbet uygulamaları veya hizmetleri kullanılarak etkinliklerin nasıl daha iyi kamufle edileceği konusunda yoğunlaşıyor (bkz:: Darknet Piyasaları Neden Devam Ediyor?).
Yöneticileri ve kullanıcıları yasa uygulamalarından daha iyi korumak için, çok sayıda uyuşturucu odaklı darknet pazarı geçen yıl yeni stratejileri test etmeye başladı: Yalnızca önceden incelenmiş üyelere satılık öğeleri göstermek ve onlara M-Club motoru kullanılarak oluşturulmuş Android uygulamaları sağlamak. Şimdiye kadar bu motoru kullanan yedi eczane sayıldı; hepsi aynı geliştiriciyle çalışıyor olabilir.
Geçen yıl boyunca, siber güvenlik firması Resecurity, çok sayıda “yer altı uyuşturucu dükkanının” bu stratejileri izlediğini gördüğünü bildirdi.
Resecurity, M-Club’ın “özellikle uyuşturucu kaçakçıları için geliştirildiğini ve şu anda büyük yeraltı topluluklarında pazarlandığını” bildirdi. “Bu mobil uygulamalardan bazıları yakın zamanda uzmanlarımız tarafından kolluk kuvvetleri tarafından ele geçirilen mobil cihazlarda gözlemlendi – bunlar uyuşturucu kaçakçılığı ve diğer yasa dışı operasyonlara karışan çok sayıda şüpheliye ait.”
Tehdit istihbaratı firması Kela tarafından izlenen yeraltı sohbetine göre, M-Club tartışması geçen Nisan ayında siber suç forum sohbetlerinde görünmeye başladı. Geçen hafta itibariyle, Rus dili forumu Legalize’da sözde araştırma kimyasalları, namı diğer RC ile ilgili bir reklam yayınlanıyordu. M-Club’ın “7/24 kullanıcı desteği”, kuryeler – diğer adıyla uyuşturucu kuryeleri – için maaşları hesaplama yeteneği ve ayrıca müşteri deneyimini geliştirmek için tasarlanmış “çok işlevli Telegram botu” lanse ediliyor.
Uygulamalar, Rusça dil pazarını desteklemek için oluşturulmuştur. “Mobil uygulamalar, başarılı ilaç siparişleriyle ilgili ayrıntıları aktarma olanağı sağlıyor ve ayrıca kurye tarafından bırakılan” paketin “coğrafi koordinatlarını daha fazla teslim almak için gönderebiliyorlar”, bu genellikle metin olarak değil, bir resim olarak gönderilir. Resecurity, paketin yerin ne kadar altına gömülebileceği gibi ilgili notlarla birlikte.
Blockchain istihbarat firması TRM Labs, Batılı muadillerinden farklı olarak, Rusya dili darknet pazarlarının siparişleri genellikle uluslararası veya yerel posta veya kurye hizmetlerini kullanarak yerine getirmediğini, bunun yerine malları önceden belirlenmiş bir ölü bırakma konumuna bırakarak yerine getirdiğini bildirdi.
Pek çok Batı teklifinden farklı olarak, birçok Rusça karanlık ağ pazarı yalnızca bitcoin’i ve nadiren moneroyu kabul eder. TRM Labs, Batılı karanlık ağ piyasası operatörlerinin “bu tür bir hakimiyetin getirebileceği sonuçta ortaya çıkan baskı, dikkat ve yasa uygulama eylemi riskinden dolayı” kaçındıkları yerel hakimiyete doğru çabalamaktan da çekinmiyorlar.
Rus Sahnesi Parçalanmış Kaldı
Android uygulamalarının kullanımı, daha geniş Rusça karanlık ağ pazarı sahnesinin parçalı kaldığı bir zamanda ortaya çıkıyor. Tehdit istihbarat firması Flashpoint’e göre baskın oyuncu, daha önce 2015 yılında Rusça narkotik forumları WayAWay ve LegalRC’nin birleşmesi olarak kurulan Hydra pazarıydı. TRM Labs, Rusya merkezli hizmetin tüm darknet pazar etkinliğinin %80’ini oluşturduğunu ve yılda 1 milyar dolar gelir elde ettiğini söylüyor.
Blockchain istihbarat firması Chainalysis, “Hydra yalnızca uyuşturucu satışını kolaylaştırmakla kalmadı, aynı zamanda fidye yazılımı saldırganları da dahil olmak üzere siber suçlulara kara para aklama hizmetleri de sundu” diyor.
Gizli bir kaynak Resecurity’e şunları söylüyor: “Hydra bir ekosistem yarattı. İhtiyacınız olan her şey orada bulunabilir.” Ancak Hydra, Alman polisinin önderliğindeki uluslararası bir yasa uygulama operasyonu nedeniyle geçen Nisan ayında karanlığa gömüldükten sonra, kaynak artık “mal fazlası” olduğunu söyledi.
Flashpoint’in geçen Ağustos ayında bildirdiği gibi: “Hydra’nın ölümü, tahmin edilebileceği gibi, yeraltında Rusça dilinde sismik kaymalara neden oldu.” Rakip RuTor, pazar yeri OMGOMG – diğer adıyla OMG!OMG! tarafından desteklenen popülaritesini artırdı. – Ukrayna yanlısı bir eğilimle, geçen Mayıs ayında Rusya yanlısı bir hizip, WayAWay tarafından desteklenen Kraken çevresinde birleşmeye başlarken, bu destekçilerin Hydra’nın yerini alacak yalnızca uyuşturucu pazarı olarak hizmet edeceğine söz verdi.
TRM Labs, bu dört Rusça teklifin şu anda tüm darknet pazar gelirinin %80’ini oluşturduğunu bildiriyor: Blacksprut, Mega Darknet, OMGOMG ve Solaris.
Kraken henüz başlamadı. Ancak bir kez serbest bırakıldığında, güvenlik uzmanları, hizmete yönelik geniş destek ve kullanıcı talebinin, karanlık ağ pazarındaki tekel emellerini gerçekleştirmeye yardımcı olabileceğini söylüyor.