Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç
Polisler Redline’ı ve Meta Bilgi Hırsızı Verilerini Kurtardı; Suçlu Kullanıcılara Söz Ver: ‘Yakında Görüşürüz’
Mathew J. Schwartz (euroinfosec) •
28 Ekim 2024
Hollanda Ulusal Polisi, bilgi çalan iki önemli kötü amaçlı yazılım hizmetine sızdı ve suçlu kullanıcılarıyla ilgili bilgileri elde etti.
Ayrıca bakınız: İsteğe Bağlı | 2024 Kimlik Avı Analizleri: 11,9 Milyon Kullanıcı Davranışı Riskiniz Hakkında Neleri Ortaya Çıkarıyor?
Magnus Operasyonu kod adlı bir görev gücünde FBI ve diğer kurumlarla birlikte çalışan Hollanda Ulusal Polisi, Pazartesi günü yaptığı açıklamada, her bir hizmete güç sağlayan sunuculara “tam erişim” elde ettikten sonra “Redline ve Meta bilgi hırsızlarının operasyonlarını aksattıklarını” ve onlara izin verdiklerini söyledi. Her iki operasyona bağlı büyük miktarda veriyi ele geçirin.
Hollanda Ulusal Polisi tarafından özel bir operasyon-magnus.com web sitesinde yayınlanan animasyonlu, bilgilendirici bir videoda “İlgili taraflar bilgilendirilecek ve yasal işlemler başlatılacak” sözü veriliyor. AB’nin kolluk kuvvetleri istihbarat teşkilatı Europol operasyonu doğruladı.
Bilgi hırsızlarının altyapısına sızılarak elde edilen bilgiler arasında kullanıcı adları, parolalar, IP adresleri, zaman damgaları ve kayıt ayrıntıları yer alıyordu. Ayrıca elde edilenler: her iki bilgi hırsızı için tam kaynak kodu, sunucu lisansları, Rest API sunucuları, kontrol panelleri ve hırsızlar ile ilgili ayrıntılar ve Telegram botlarına erişim.
Eğlenceli müzik için hazırlanan şakacı polis videosunda ayrıca “Heijs”, “Admin12”, “dogvile”, “Jerry_Gogen”, “Sheol” ve “Cryptoghost” dahil olmak üzere sözde kullanıcılara bağlı çok sayıda takma ad ve etiketler de listeleniyor her biri VIP olarak kabul ediliyor, “burada VIP ‘polis için çok önemli’ anlamına geliyor.”
Video şunu ekliyor: “Sizi yakında görmeyi sabırsızlıkla bekliyoruz.”
” RussianPanda9xx ” adını taşıyan ABD merkezli güvenlik araştırmacısı, videonun doğrudan bilgi hırsızlarının ve kardeş hizmetlerin sözde kullanıcılarına özel Telegram kanalları aracılığıyla dağıtıldığını söyledi. Hollandalı emniyet teşkilatından, “Redline ve Meta için ana şifreleme hizmetlerinden biri” olan Spectrum botu için Telegram kanalına gönderilen bir mesaj gördü.
Tehdit istihbaratı şirketi Intel 471, kötü amaçlı yazılım şifreleme hizmetleri veya ‘şifreleyiciler’in, “kötü amaçlı yazılımları şifrelemek, gizlemek ve manipüle ederek güvenlik yazılımlarını ve kontrollerini atlayabilmesini sağlamak için tasarlanmış” yazılım veya hizmetleri ifade ettiğini söyledi. Pek çok kötü amaçlı yazılım kullanıcısı bu şifrelemeye güveniyor – diğer bir deyişle, yeniden paketleme – hedeflere güvenilir bir şekilde bulaşabilmelerini sağlayacak hizmetler.
İngiltere’deki Surrey Üniversitesi’nden bilgisayar bilimi profesörü Alan Woodward, sosyal platform X’e gönderdiği bir gönderide, “Polis, kullanıcı veri tabanındaki mesajlara mesaj gönderirken, dışarıda birkaç endişeli insan olacak” dedi.
Redline ve Meta gibi bilgi hırsızları, virüs bulaşmış bir sistemden (diğer adıyla “bot”) veri sızdırmak ve bu verileri, özel pazarlarda ve otomatik Telegram kanalları aracılığıyla satılan, diğer suçlular için değerli bilgiler içeren “günlükler” halinde toplamak üzere tasarlanmıştır.
Europol Avrupa Siber Suç Merkezi (EC3) ekip başkanı Tobias Wieloch, “Bu araçlar, oturum açma ayrıntılarından (kullanıcı adları ve parolalar) tuş vuruşlarını kaydeden tuş kaydedicilere kadar sistemlerden hassas bilgiler toplamak üzere tasarlandı” dedi. LinkedIn Magnus Operasyonu ile ilgili.
Tehdit istihbarat firması Kela, çalınan günlük verilerinin genellikle “şifreler, çerezler, kredi kartı bilgileri, kripto cüzdan verileri ve daha fazlası” dahil olmak üzere tarayıcılarda saklanan oturum açma bilgilerini içerdiğini söyledi.
Siber güvenlik derecelendirme şirketi Bitsight’ın kıdemli tehdit araştırmacısı André Tavares yakın tarihli bir raporunda, bazı suçluların Telegram kanallarını “bilgi hırsızlığı yapan kötü amaçlı yazılımlar için veri sızdırma sunucusu olarak” kullandığını söyledi.
Siber suçlular ayrıca günlüklerin özel satışı için Telegram’ı kullanıyor. Birden fazla grup, abonelere özel “günlük bulutu” hizmetine Telegram tabanlı erişim sunarak sık sık güncellenen bir günlük deposu sağlar (bkz.: Bilgi Çalan Kötü Amaçlı Yazılımlar ‘Günlük Bulutu’ Tekliflerini Dolduruyor).
Bu, Hollanda polisinin bir bilgi hırsızlığı operasyonunu çökertmek için yaptığı ilk sefer değil. Mart 2022’de gerçekleştirilen ortak bir Hollanda-İtalyan polis operasyonu, o dönemde kurbanların bilgisayarlarından düzinelerce uygulamadan oturum açma bilgileri, finansal bilgiler ve oturum çerezleri de dahil olmak üzere kişisel verileri çalmak için kullanılan Raccoon bilgi hırsızlığı altyapısını çökertti (bkz.: Ukraynalı, Raccoon Stealer Zararlı Yazılımındaki Rolünden Suçunu İtiraf Etti).