Karanlık web’de sızdırılan bilgi hırsızlığı amaçlı kötü amaçlı yazılım kayıtları aracılığıyla, çocuk cinsel istismarı materyallerini (CSAM) indirip paylaşan binlerce pedofili tespit edildi ve bu durum, kolluk kuvvetlerinin soruşturmalarında çalıntı kimlik bilgilerinin kullanılmasının yeni bir boyutunu gözler önüne serdi.
Veri setinin yenilikçi kullanımı, CSAM dağıtımıyla bilinen yasa dışı portallara erişen 3.324 benzersiz hesabı nasıl tespit ettiklerini açıklayan bir rapor paylaşan Recorded Future’ın Insikt Group tarafından gerçekleştirildi.
Hedeften çalınan diğer verilerden yararlanarak Insikt analistleri, bu hesapları çeşitli platformlardaki kullanıcı adlarına kadar takip edebilir, IP adreslerini ve hatta sistem bilgilerini bile elde edebilir.
Insikt Group tarafından toplanan bu bilgiler, söz konusu kişilerin kimliklerinin ortaya çıkarılması ve tutuklamaların yapılması amacıyla kolluk kuvvetleriyle paylaşıldı.
Hırsız günlüklerini iyi amaçlar için kullanmak
Hırsız günlüğü, Redline, Raccoon ve Vidar gibi bilgi çalan kötü amaçlı yazılımların, virüslü sistemlerden belirli bir kişiden çaldığı verilerin bir koleksiyonudur.
Bu tür kötü amaçlı yazılımlar bir cihazda çalıştırıldığında kimlik bilgilerini, tarayıcı geçmişini, tarayıcı çerezlerini, otomatik doldurma verilerini, kripto para cüzdanı bilgilerini, ekran görüntülerini ve sistem bilgilerini toplar.
Daha sonra bilgiler “log” adı verilen bir arşive paketlenir ve tehdit aktörünün sunucularına geri iletilir.
Tehdit aktörleri daha sonra bu çalınan kimlik bilgilerini kullanarak daha fazla hesaba erişebilir, kurumsal saldırılar gerçekleştirebilir veya bunları karanlık web, Telegram ve diğer platformlardaki diğer siber suçlulara satabilir. Boyutları ve sayıları nedeniyle bu günlükler nadiren incelenir ve kategorize edilir, bunun yerine toplu olarak satılır.
Daha önce yapılan analizler, bilgi hırsızı kayıtlarının, özel bilgileri ifşa edebilecek kritik işletme hesabı verilerini veya hesaplara ait kimlik bilgilerini içerebileceğini göstermiştir.
Bu tür kötü amaçlı yazılımlar genellikle korsan yazılımlar, kötü amaçlı reklamlar ve sahte güncellemeler yoluyla dağıtıldığından, kurbanın farkına varmadan uzun süreler boyunca enfekte olmuş sistemlerden veri sızdırabilir.
Bu, CSAM kullanıcılarının bilgisi dışında, çevrimiçi bankacılık, e-posta ve diğer meşru hesaplarının tüm kimlik bilgilerini ve kayıt gerektiren CSAM sitelerine erişim için kullanılan hesap kimlik bilgilerini ifşa etmesini içerir.
CSAM tüketicilerinin belirlenmesi
Insikt analistleri, Şubat 2021 ile Şubat 2024 arasında yakalanan bilgi hırsızı kayıtlarını kullanarak, çalınan kimlik bilgilerini bilinen yirmi CSAM alan adıyla çapraz referanslayarak CSAM tüketicilerini tespit etti.
Daha sonra sonuçları 3.324 benzersiz kullanıcı adı-şifre çiftine daraltmak için yinelenenleri kaldırdılar.
Kaynak: Kaydedilen Gelecek
Bilgi çalan kötü amaçlı yazılım, tarayıcıda kayıtlı tüm kimlik bilgilerini çaldığından, araştırmacılar CSAM hesap sahiplerini e-posta, bankacılık, çevrimiçi alışveriş, mobil operatörler ve sosyal medya gibi yasal çevrimiçi hesaplarına bağlayabildiler.
Daha sonra, bu kullanıcılar hakkında daha açıklayıcı bilgiler toplamak için açık kaynaklı istihbarat (OSINT) ve dijital eserler kullandılar. Bu ipuçları şunları içerir:
- Kripto para cüzdan adresleri ve işlem geçmişleri.
- CSAM dışı web hesapları ve tarama geçmişi.
- Tarayıcı otomatik doldurma verilerinden çıkarılan fiziksel adresler, tam adlar, telefon numaraları ve e-posta adresleri.
- Sosyal medya hesapları, hükümet web siteleri ve iş başvuru portalları gibi çeşitli çevrimiçi hizmetlerle ilişkiler.
Recorded Future’ın raporunda tanımlanan üç bireyle ilgili özetler şu şekilde:
- “D****” – Cleveland, Ohio sakini, daha önce çocuk istismarından hüküm giymiş ve cinsel suçlu olarak kayıtlı. En az dört CSAM sitesinde hesap tutuyor.
- “öğrendi” – Çocuk hastanelerinde gönüllü olarak çalışan ve perakende hırsızlık suçundan sabıkalı Illinois sakini. Dokuz CSAM web sitesinde hesap tutuyor.
- “Berty” – Muhtemelen en az beş CSAM sitesinde hesabı olan Venezuelalı bir öğrenci. Kripto para işlem geçmişi, kullanıcıyı CSAM içeriğinin potansiyel satın alınması ve dağıtımıyla ilişkilendiriyor.
Kaynak: Kaydedilen Gelecek
Insinkt’in analizi, bilgi hırsızı verilerinin kolluk kuvvetlerinin çocuk istismarı takibini yapma ve kişileri yargılama konusunda yardımcı olma potansiyelini vurguluyor.