ABD New Jersey Bölge Savcılığı, 40 yaşındaki Ürdünlü bir adamın en az 50 şirketin bilgisayar ağlarına izinsiz erişim sattığını itiraf ettiğini duyurdu.
Feras Khalil Ahmad Albashiti geçen Perşembe günü erişim cihazlarıyla bağlantılı dolandırıcılık ve ilgili faaliyetlerden suçunu kabul etti.
Basın bülteninde, “Mayıs 2023’te kolluk kuvvetleri, kötü amaçlı yazılımların ve kötü amaçlı kodların satışa sunulduğu çevrimiçi bir forumu araştırıyordu. Albashiti, ‘r1z’ adlı çevrimiçi takma adı kontrol ediyordu ve bunu çevrimiçi forumda kullanıyordu” deniyor.
“19 Mayıs 2023’te Albashiti, kripto para birimi karşılığında en az 50 mağdur şirketin ağlarına yetkisiz erişimi gizli görevdeki bir kolluk kuvvetine sattı.”
Mahkeme belgelerinde bu forumun adı belirtilmese de bazı siber güvenlik şirketlerinin daha eski raporları, r1z’nin, Temmuz 2025’te şüpheli yöneticisinin Ukrayna’da tutuklanmasıyla kapatılan kötü şöhretli Rusça XSS Forumunda reklam veren “güvenilir” bir tehdit aktörü olduğunu gösteriyor.
Kela tehdit araştırmacılarına göre, tehdit aktörünün Haziran 2022’de XXS Forum’da ‘çalışan bir istismar’ ile 30 SonicVPN ve 50 Microsoft Exchange erişimi sunduğu görüldü.
“İlginç bir şekilde, üç ay önce r1z, Microsoft Exchange güvenlik açığı olarak bilinen ‘CVE-2021-42321 uygulamasını’ satabileceklerini iddia etti. Bu nedenle, r1z’nin bu CVE için daha sonra kullanılan, çalışan bir özel istismara sahip olması mümkündür. [r1z] erişim elde etmek için” dedi araştırmacılar.
“Aynı ay, r1z’nin ‘Confluence’ aracılığıyla 50 Amerikan şirketine erişim sattığı gözlemlendi. Aktör ayrıca 10.000 savunmasız makineden oluşan bir liste satmayı da teklif etti. Aktör tarafından paylaşılan bir ekran görüntüsünde görüldüğü gibi, bilgisayar korsanı, Confluence Sunucusu ve Veri Merkezini etkileyen, CVE-2022-26134 olarak takip edilen kritik bir RCE güvenlik açığını kullanarak sunuculara erişim sağlamayı başardı. Satışa sunulan liste muhtemelen aynı kusurdan yararlanılabilecek makineleri içeriyordu.”
CloudSEK, Şubat 2023’te r1z’nin kalıcı bir arka kapı, kimlik bilgisi toplayıcı, kötü amaçlı yazılım düşürücü ve olay günlüğü kaldırıcı olarak da işlev görebilecek EDR/AV kötü amaçlı yazılımlarını teşvik ettiğini tespit ettiklerini bildirdi.
OpSec hataları r1z’nin kimliğini ortaya çıkardı
İmzalı bir FBI beyanına göre r1z, 2023’te iki ticari güvenlik duvarı ürününün kullanılması ve ticari bir sızma testi aracının izinsiz yazılım değişikliği yoluyla yaklaşık 50 mağdur şirketin bilgisayar ağlarına erişimi satışa sundu.
Gizli görevdeki bir FBI çalışanının temasa geçtiği r1z, önce onlara yukarıda bahsedilen 50 kurban şirkete erişim sattı, ardından da belirli bir EDR çözümünü atlayacak bir istismar sattı. Ne yazık ki onun için (bilmeden) FBI tarafından işletilen ve izlenen bir sunucuda etkinliğini gösterdi.
Bu, FBI’ın r1z’nin (gizlenmemiş) IP adresini keşfetmesine olanak tanıdı; bu adres, daha sonra ABD’li bir üretim şirketine karşı 50 milyon dolardan fazla hasarla sonuçlanan bir fidye yazılımı saldırısıyla ilişkilendirildi.
Son olarak, artık kullanılmayan XSS Forum’a el konulmasının ardından elde edilen kayıtlar, r1z’nin hesabıyla ilişkili Gmail adresinin 2016 yılında Albashiti tarafından ABD Dışişleri Bakanlığı’na ABD vizesi başvurusunda bulunmak için kullanıldığını ve bu e-posta hesabının “Firas K. Bashiti” ve “Firas Bashiti” isimli bir Google Pay Hesabına ve kredi kartlarına bağlı olduğunu ortaya çıkardı.
Albaşiti tutuklandığı sırada Gürcistan Cumhuriyeti’nde ikamet ediyordu. Temmuz 2024’te ABD’ye iade edildi.
Cezası, en fazla 10 yıl hapis ve en fazla 250.000 dolar para cezası veya “suçtan kaynaklanan brüt kazanç veya kaybın iki katı” tutarında para cezası alabileceği 11 Mayıs 2026’da planlanıyor.