Güney Carolina sakinleri, 2012 yılında eyaletin gelir departmanına sızma ve 3,6 milyon kişinin vergi ve banka hesap bilgilerinin çalınmasından kimin sorumlu olduğu konusunda eyalet ve federal soruşturmacılar tarafından neredeyse bir düzine yıldır karanlıkta tutuluyor. Cevap artık bir gizem olmayabilir: KrebsOnSecurity, izinsiz girişin, büyük perakendecilerden milyonlarca ödeme kartı kaydını çalan aynı Rus bilgisayar korsanlığı ekibi tarafından gerçekleştirildiğini öne süren ikna edici ipuçları buldu. Ana Depo Ve Hedef takip eden yıllarda.
Güney Carolina sakinlerinin kabaca dörtte üçüne ilişkin vergi ve mali verileri kimin çaldığına ilişkin sorular, geçen hafta onay duruşmasında gündeme geldi. Mark Keel2011 yılında atanan Vali Nikki Haley eyaletin emniyet teşkilatına başkanlık etmek. Onaylandığı takdirde bu, Keel’in bu görevdeki üçüncü altı yıllık dönemi olacak.
Associated Press Keel’in duruşmasında ihlalle ilgili pek fazla ayrıntı vermemeye dikkat ettiğini, milletvekillerine bunu kimin yaptığını bildiğini ancak kimsenin adını vermeye hazır olmadığını söylediğini bildirdi.
Keel, “Bence çok sayıda insanın bilgilerinin sızdırıldığını tespit edememiş olmamız, insanların bu davada yaptıkları işin bir kanıtıdır” dedi.
2022’de yayınlanan on yıllık retrospektif Posta ve Kurye Columbia’da SC, müfettişlerin ihlalin 13 Ağustos 2012’de eyaletteki bir BT yüklenicisinin e-postadaki kötü amaçlı bir bağlantıya tıkladıktan sonra başladığını tespit ettiğini söyledi. Eyalet yetkilileri, hack olayını 10 Ekim 2012’de federal emniyet teşkilatından öğrendiklerini söyledi.
KrebsOnSecurity, o dönemde düzinelerce siber suç forumundaki gönderileri inceledi ve ihlal tarihini çevreleyen yıl içinde birinin büyük miktarda vergi verisi sattığına dair yalnızca bir örnek buldu.
7 Ekim 2012’de – Güney Carolina yetkililerinin izinsiz girişi ilk kez öğrendiklerini söylemesinden üç gün önce – kötü şöhretli bir siber suçlu “Kurtarıcı“Eyaletlerden birinin vergi dairesine ait bir veri tabanının” satışının reklamını yaptı.
Rescator’un Rusça suç forumundaki satış başlığı “Banka hesap bilgileri, SSN ve diğer tüm bilgiler” Ambargo Okumak. “Veritabanının tamamını satın alırsan sana erişim hakkı vereceğim.”
Bir hafta sonra Rescator, özel Rus forumunda benzer bir teklif yayınladı. Kolay, eyaletin adını vermeden ABD eyaleti vergi veri tabanından bilgi sattığını söyledi. Rescator, ifşa edilen verilerin işveren, isim, adres, telefon, vergiye tabi gelir, vergi iadesi tutarı ve banka hesap numarasını içerdiğini söyledi.
Rescator, Mazafaka üyelerine, “Çok fazla bilgi var, veritabanının tamamını, veritabanına erişimle birlikte ve parçalar halinde satmaya hazırım” dedi. “Kurumlar vergisi mükelleflerine ilişkin de bilgiler var.”
26 Ekim 2012’de devlet bu ihlali kamuoyuna duyurdu. Devlet yetkilileri, soruşturmacılarla birlikte çalıştıklarını söyledi. ABD Gizli Servisi ve daha sonra Güney Carolina Gelir Departmanı tarafından yayınlanan bir olay raporu (PDF) hazırlayan Mandiant’tan dijital adli tıp uzmanları. KrebsOnSecurity, Gizli Servis’ten, Güney Carolina savcılarından ve Bay Keel’in ofisinden yorum istedi. Herhangi biri yanıt verirse bu hikaye güncellenecektir.
18 Kasım 2012’de Rescator forum sakinlerine şunları söyledi: Doğrulandı birkaç küçük bölgesel finans kuruluşunun banka hesap bilgilerini içeren 65.000 kayıttan oluşan bir veritabanı satıyordu. Rescator’ın Verified’daki satış başlığında hesap numarası, ad, adres, telefon, vergi numarası, doğum tarihi, işveren ve meslek dahil olmak üzere bir düzineden fazla veritabanı alanı listeleniyordu.
Satılık veritabanı hakkında daha fazla bilgi vermesi istenen Rescator, forum üyelerine veritabanının bir ABD eyaletinin vergi beyanlarıyla ilgili mali kayıtları içerdiğini söyledi. Rescator, sosyal güvenlik numaralarını, isimlerini ve adreslerini içeren ancak mali bilgileri içermeyen yaklaşık 80.000 şirketten oluşan ikinci bir veritabanının bulunduğunu da sözlerine ekledi.
AP, Güney Carolina’nın, ihlalden sonra sakinlerinin kimlik hırsızlığına karşı koruma ve kredi takibi için Experian’a 12 milyon dolar ödediğini söyledi.
AP’den “O zamanlar bu, ABD tarihindeki en büyük ihlallerden biriydi ancak o zamandan beri Equifax, Yahoo, Home Depot, Target ve PlayStation’a yapılan saldırılar tarafından büyük ölçüde aşıldı.” Jeffrey Collins yazdı.
Rescator’ın suçlu korsanlık ekibi, 2013’te Target’teki ihlalden ve 2014’te Home Depot’un hacklenmesinden doğrudan sorumluydu. Target’a yapılan saldırıda Rescator’ın siber suç mağazalarının yaklaşık 40 milyon çalıntı ödeme kartı ve Home Depot müşterilerinin 56 milyon kartını sattığı görüldü.
Rescator kimdir? 14 Aralık 2023’te KrebsOnSecurity, Rescator, diğer adıyla Rescator’un kimliğine ilişkin 10 yıllık bir soruşturmanın sonuçlarını yayınladı. Mihail Borisoviç Şefel36 yaşında, Moskova’da yaşayan ve yakın zamanda soyadını Lenin olarak değiştiren bir kişi.
Bay Keel’in, Güney Carolina yetkililerinin ihlali takip eden çabalarının vatandaşlar üzerindeki etkisini bir şekilde azaltmış olabileceği yönündeki iddiası pek olası görünmüyor. Çalınan vergi ve mali veriler, Rus yeraltı örgütünün en agresif ve başarılı hack ekiplerinden biri tarafından siber suç forumlarında açıkça satılmış gibi görünüyor.
Forum gönderilerinin incelenmesinde Rescator’ın verileri sattığı yönünde herhangi bir belirti olmasa da, satış konuları vergi iadesi dolandırıcılığının hızla arttığı bir dönemde geldi.
Vergiyle ilgili kimlik hırsızlığı, birisinin çalıntı bir kimlik ve Sosyal Güvenlik numarasını (SSN) kullanarak hileli geri ödeme talebinde bulunarak kendi adına vergi beyannamesi vermesi durumunda ortaya çıkar. Mağdurlar genellikle suçu ilk olarak dolandırıcıların onları geride bırakması nedeniyle iadeleri reddedildikten sonra öğrenirler. İade beyanında bulunması gerekmeyen kişiler dahi iade dolandırıcılığının kurbanı olabiliyor. aslında geri ödeme borcu olmayanlar gibi itibaren ABD İç Gelir Servisi (IRS).
Hazine Genel Müfettişliği’nin 2013 tarihli bir raporuna göre IRS, 2012’de yaklaşık 4 milyar dolar, 2013’te ise 5,8 milyar dolardan fazla sahte vergi iadesi gerçekleştirdi. Paranın büyük kısmı SSN’leri ve ABD vatandaşlarına ilişkin diğer bilgileri çalan kişilere gönderildi. ve daha sonra büyük bir geri ödeme talep eden ancak farklı bir adresten sahte vergi beyannameleri sundu.
Shefel’in neden Target, Home Depot veya Güney Carolina’daki ihlallere resmi olarak karışmadığı hala belirsizliğini koruyor. Shefel olabilir sahip olmak hakkında suç duyurusunda bulunulduğunu ve bu iddianamelerin bazı nedenlerden dolayı mühürlü kaldığını söyledi. Belki de savcılar Shefel’in Rusya’yı terk etmeye karar vereceğini umuyorlardı; bu noktada kimsenin onu aramadığına inanırsa onu tutuklamak daha kolay olurdu.
Ancak tüm işaretler, Shefel’in Rusya’ya derinden bağlı olduğunu ve ayrılmayı düşünmediğini gösteriyor. Ocak 2024’te Avustralya, ABD ve İngiltere’deki yetkililer 33 yaşındaki Rus adama mali yaptırımlar uyguladı Alexander Ermakov Avustralya sağlık sigortası devi Medibank’ın 10 milyon müşterisinin verilerini çaldığı iddiasıyla.
Bu yaptırımların uygulanmasından bir hafta sonra KrebsOnSecurity, Ermakov hakkında ayrıntılı bir inceleme yayınladı ve Ermakov’un, Mikhail Shefel ile birlikte Moskova merkezli bir BT güvenlik danışmanlığı işini birlikte yürüttüğünü tespit etti. Shtazi-IT.
Shtazi dot ru’nun Google tarafından çevrilmiş bir sürümü. Resim: Archive.org.