Yaklaşık bir yıl önce, ABD güvenlik firması Palo Alto Networks, siber suçlular için norm olmayan şekillerde saldırıya uğrayan bir dizi şirketten haber almaya başladı.
Ana dili İngilizce olan bilgisayar korsanları, hedef şirketin BT yardım masasını bir çalışan gibi göstererek arayacak ve kendilerininkileri kaybetmiş gibi davranarak oturum açma ayrıntılarını arayacaktır.
İkna edici görünmek için gereken tüm çalışan bilgilerine sahiptiler.
Ve erişime sahip olduklarında, bu verileri gasp amacıyla çalmak için hızla şirketin en hassas depolarına girmenin yolunu buluyorlardı.
Fidye yazılımı saldırıları yeni değil, ancak bu grubun sosyal mühendislik ve çok faktörlü kimlik doğrulamayı atlama konusunda olağanüstü yetenekli olduğunu söyleyen güvenlik firması Palo Alto Networks’ün Birim 42 tehdit istihbarat ekibinin kıdemli başkan yardımcısı Wendi Whitmore, çeşitli izinsiz girişlere yanıt verdi gruba.
“Birçok siber suç aktöründen çok daha bilgililer. Saldırılarında disiplinli ve organize görünüyorlar” dedi. “Ve bu, siber suçlulara kıyasla genellikle ulus devlet aktörlerinde daha sık gördüğümüz bir şey.”
Güvenlik sektöründe Scattered Spider, Muddled Libra ve UNC3944 gibi çeşitli isimlerle bilinen bu bilgisayar korsanları, bu ayın başlarında dünyanın en büyük kumar şirketlerinden ikisi olan MGM Resorts ve Caesars Entertainment’ın sistemlerini ihlal ettikleri için ilgi odağı haline geldi.
İzinsiz girişleri takip eden analistlere göre perde arkasında çok daha fazla şirket etkilendi ve siber güvenlik uzmanları saldırıların devam etmesini bekliyor.
FBI, MGM ve Caesars’ın ihlallerini araştırıyor ve şirketler bunların arkasında kimin olabileceği konusunda yorum yapmadı.
Şirketin tehdit istihbaratından sorumlu kıdemli başkan yardımcısı Adam Meyers, güvenlik firması CrowdStrike’ın Mart 2022’den bu yana grup tarafından Kanada’dan Japonya’ya kadar dünya çapında 52 saldırıyı takip ettiğini söyledi. Google’ın sahibi olduğu istihbarat firması Mandiant, son iki yılda 100’den fazla izinsiz giriş kaydetti.
Telekomünikasyondan finansa, konaklama ve medyaya kadar neredeyse her sektör darbe aldı. Reuters, bilgisayar korsanlarının gasp ettiği paranın miktarını belirleyemedi.
Ancak bu grubu öne çıkaran yalnızca saldırıların ölçeği veya genişliği değil. Mandiant’ın kurucusu Kevin Mandia, yaptıkları işte son derece iyi olduklarını ve kurbanlarla olan etkileşimlerinde “acımasız” olduklarını söyledi.
Mandiant, şirket sistemlerinden verileri ihlal etme ve sızdırma hızının, güvenlik müdahale ekiplerini bunaltabildiğini ve mağdur kuruluşların personeli için sistemlerine tehdit edici notlar bıraktıklarını ve geçmişte onlarla kısa mesaj ve e-posta yoluyla iletişime geçtiklerini tespit etti.
Bazı durumlarda (Mandia hangileri olduğunu söylemedi) Scattered Spider’a bağlı bilgisayar korsanları, ağır silahlı polis birimlerini hedef alınan şirketlerin yöneticilerinin evlerine çağırmak için sahte acil durum çağrıları yaptı.
SWATing adı verilen tekniğin “kurban olarak yaşanması son derece korkunç bir şey” olduğunu söyledi. “Bu müdahalelerin parayla ilgili olduğunu bile düşünmüyorum. Güç, nüfuz ve kötü şöhretle ilgili olduğunu düşünüyorum. Bu da yanıt vermeyi zorlaştırıyor.”
Reuters yorum yapmak için bilgisayar korsanlığı grubuna hemen ulaşamadı.
17-22 Yaş Arası Çocuklar
Scattered Spider’ın konumu veya kimliği hakkında çok az ayrıntı var.
CrowdStrike’dan Meyers, suçluların mağdurlarla yaptığı sohbetlere ve ihlal araştırmalarından elde edilen ipuçlarına dayanarak, bunların çoğunlukla 17-22 yaş aralığında olduğunu söyledi.
Mandiant, bu kişilerin çoğunlukla Batılı ülkelerden geldiğini tahmin ediyor ancak kaç kişinin olaya karıştığı belli değil.
Analistler, yardım masalarını aramadan önce, bilgisayar korsanlarının şifreler de dahil olmak üzere çalışan bilgilerini sosyal mühendislik yoluyla, özellikle de bir telekom şirketinin müşteri hizmetleri temsilcisini belirli bir telefon numarasını bir cihazdan diğerine yeniden ataması için kandırdıkları bir teknik olan ‘SIM değiştirme’ yoluyla elde ettiğini söylüyor.
Analistlere göre, aynı zamanda hedefleyebilecekleri ayrıcalıklı erişime sahip bireyleri bulmak için satıcıları ve yüklenicileri de dahil olmak üzere büyük kuruluşların nasıl çalıştığını incelemek için çaba sarf ettikleri görülüyor.
Bu, kimlik yönetimi firması Okta’nın güvenlik şefi David Bradbury’nin geçen ay Scattered Spider tarafından ihlal edilen MGM dahil çok sayıda Okta müşterisini keşfettiğinde ilk elden gördüğü bir şey.
Okta, kullanıcıların çevrimiçi uygulamalara ve web sitelerine güvenli bir şekilde erişmesine yardımcı olmak için kullanılan çok faktörlü kimlik doğrulama gibi kimlik hizmetleri sağlar.
Bradbury, “Tehdit aktörleri açıkça çevrimiçi olarak sunduğumuz kurslarımızı aldılar, ürünümüzü ve nasıl çalıştığını açıkça incelediler” dedi. “Bu daha önce görmediğimiz şeyler.”
ALPHV adlı daha büyük bir grup geçen hafta MGM saldırısının arkasında onun olduğunu söyledi ve analistler Scattered Spider tarafından gerçekleştirilecek operasyon için yazılımı ve saldırı araçlarını sağladığına inanıyor.
Okta’dan Bradbury, bu tür işbirliklerinin siber suçlulara özgü olduğunu söyledi. Mandiant’a göre bir “hizmet olarak fidye yazılımı” olan ALPHV, yardım masası, web sayfası ve markalama gibi hizmetler sağlayacak ve bunun karşılığında Scattered Spider’ın hackten yapacağı her şeyden pay alacak.
Pek çok fidye yazılımı saldırısı kamuoyuna açıklanmasa da MGM saldırısı bu tür olayların gerçek dünyadaki etkisinin canlı bir örneğiydi. Oyun makinelerinin durması ve otel sistemlerinin bozulması nedeniyle Las Vegas’ta kaosa neden oldu.
Fidye yazılımı çeteleri genellikle büyük kuruluşlar gibi çalışır ve kuruluşların kullandığı en son güvenlik önlemlerine uyum sağlamak için yöntemlerini geliştirmeye devam eder.
Scattered Spider’ı Okta’ya ve teknoloji devi Microsoft’a yapılan önceki saldırıların ardındaki başka bir grup olan Lapsus$’a benzeten Whitmore, “Bazı açılardan bu, asırlık kedi fare oyununa benziyor” dedi.
İngiliz polisi geçen yıl bu hacklemelerin ardından yaşları 16 ile 21 arasında değişen yedi kişiyi tutuklamıştı.