Hırsızlık amaçlı kötü amaçlı yazılımları çevreleyen siber suç ekosistemi, tehdit aktörlerinin artık her gün milyonlarca çalıntı kimlik bilgisini gelişmiş dağıtım ağları aracılığıyla işlemesiyle benzeri görülmemiş bir ölçeğe ulaştı.
Güvenlik araştırmacıları yaklaşık bir yıldır bu operasyonları izliyor ve Telegram, forumlar ve sosyal medya siteleri gibi platformlar aracılığıyla endüstriyel hacimlerdeki kurban verilerini işleyen endişe verici bir altyapıyı ortaya çıkarıyor.
Hırsız kütük ekosistemi son yıllarda önemli bir dönüşüm geçirerek dağınık operasyonlardan son derece organize suç örgütlerine dönüştü.
Bu platformları izlemeye başlayan araştırmacılar, kimlik bilgileri tehlikeye giren kişileri uyarmak için Have I Be Pwned ile ortaklık kurarak mağdurlara yardım etmek için tasarlanmış kapsamlı bir veri alma sistemi uyguladı.
İzleme altyapısı, benzersiz verileri yakalamaya ve neredeyse gerçek zamanlı uyarı yetenekleri elde etmeye odaklanarak en büyük tehdit istihbaratı platformlarıyla rekabet edecek şekilde oluşturuldu.
Araştırma, Telegram’ın hırsız ekosisteminde birincil veri sürücüsü olarak ortaya çıktığını ve tek bir gün içinde milyonlarca benzersiz kimlik bilgilerine katkıda bulunabildiğini ortaya çıkardı.
Faaliyetin en yoğun olduğu zamanlarda, tek bir Telegram hesabı 24 saat içinde 50 milyona kadar kimlik bilgisini işleyebilir. Bu şaşırtıcı hacim, kimlik bilgileri hırsızlığı operasyonlarının artık işlediği endüstriyel ölçeği vurguluyor ve siber suç yeteneklerine ilişkin önceki tahminlerin çok ötesine geçiyor.
Kriminal Piyasa Yapısı
Hırsız günlük ekosistemi, farklı roller ve sorumluluklara sahip hiyerarşik bir yapı üzerinden çalışır.
Birincil satıcılar, tipik olarak hem örneklerin paylaşıldığı genel kanalları hem de müşterilerin yeni hırsız günlüklerine erişim satın aldığı ücretli özel kanalları yöneterek temel operasyonları yönetir.
Bu operatörler, çeşitli bulaşma vektörleri yoluyla kötü amaçlı yazılım dağıtan trafik sağlayıcılarla koordineli çalışır, toplayıcılar ise günlükleri birden fazla kanalda toplayıp yeniden dağıtır.
Toplayıcılar bu ekosistemde özellikle ilgi çekici bir rol oynuyorlar; genellikle suç topluluklarında dikkat çekmek ve itibar kazanmak için verileri kamuya sızdırıyorlar.
Birden çok kaynaktan gelen dosyaları birleştirerek izleme çabalarını zorlaştıran benzersiz derlemeler oluştururlar.
Birincil satıcılar, toplayıcıların kredi talep etmesini önlemek için arşivlerini kanallarına bağlantılarla sık sık şifreyle korur ve veri dağıtım sürecine ek karmaşıklık katmanları ekler.
Araştırmacılar, Telegram’ın MTProto kablo formatını kullanarak karmaşık bir izleme altyapısı geliştirdiler ve yaklaşık 20 premium Telegram hesabını, kanalları izlemeye ve ayıklamaya adanmış çalışanlar olarak kullandılar.
Bu çalışanlar, gelen mesajları işlemcilere ileten, daha sonra davet bağlantılarını çıkaran, ekleri tanımlayan ve dosyaları çıkarma ve işleme için ayrıştırılmış bir indirme motoruna ileten mesaj dinleyicilerini çalıştırıyordu.
Sistem, büyük hacimli yedek verileri işlemek için birden fazla veri tekilleştirme mekanizmasını birleştirdi.
Dosyalar, indirmeden önce Telegram’ın FileHash’ı kullanılarak kontrol edildi ve ReplacingMergeTree mimarisi kullanılarak ClickHouse aracılığıyla ikinci bir tekilleştirme katmanı uygulandı.
Bu yaklaşım, araştırmacıların, depolama kısıtlamalarını yönetirken belirli kimlik bilgilerinin suç ekosistemi genelinde ne kadar geniş bir alana dağıtıldığını izlemelerine olanak tanıdı.
İşleyici, mesajları çalıntı veri göstergeleri açısından inceleyerek çalışanlara ilgili kanallara otomatik olarak katılmaları talimatını verdi.
İndirilen dosyalar, analiz için ClickHouse veritabanlarına toplu olarak eklenen verilerle, ayrıştırmadan önce formatlarını belirlemek için analiz edildi. Başarıyla işlenen dosyalar, işlenen devasa günlük hacimler göz önüne alındığında, depolama alanından tasarruf etmek için hemen silindi.
Kötü Amaçlı Altyapının Belirlenmesi
Araştırma ekibi, bilinen kötü amaçlı Telegram kanallarından başlayıp bunları tohum verileri olarak kullanarak özellikle düşman altyapısına odaklandı.
Birden fazla kötü amaçlı kaynak tarafından başvurulan kanallar, daha yüksek kötü amaçlı olasılık sıralaması aldı ve tarama için önceliklendirildi.
Bu yaklaşım, araştırmacıların meşru kanallardan gelen yanlış pozitifleri önlerken birbirine bağlı kimlik bilgisi hırsızlığı operasyonları ağının haritasını çıkarmasına olanak tanıdı.
Farklı kötü amaçlı yazılım aileleri ve taşıyıcılar farklı çıktı yapıları kullandığından, veri formatlarının çeşitliliği önemli zorluklar yarattı.
Birincil satıcıların, toplayıcıların ve tacirlerin her biri, ekosistem genelinde tutarlılık olmaksızın benzersiz biçimlendirme kuralları kullandı. Bu, karşılaşılan çok çeşitli dosya formatlarından kimlik bilgilerini çıkarmak için esnek ayrıştırma yetenekleri gerektiriyordu.
Araştırma ekibi, kredi kartı olan herkesin uygun doğrulama olmadan kurban ayrıntılarına erişmesine izin veren platformlarla ilgili endişeleri gerekçe göstererek, sonunda topladığı verileri paraya dönüştürmek yerine Have I Been Pwned’e bağışladı.
Araştırmacılar, veri setini Have I Been Pwned’e sağlayarak, çalınan kimlik bilgisi verilerinin kötüye kullanılmasına karşı yeterli güvenlik önlemlerine sahip olmayan tehdit istihbaratı platformlarının daha fazla istismarına maruz kalmadan mağdurların hesaplarını güvence altına almalarına yardımcı olmayı amaçladı.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.