Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Rockstar, Uber, Okta, Microsoft ve Diğer Büyük İsimli Oyuncular Grubun Saldırılarına Düştü
Mathew J. Schwartz (euroinfosec) •
23 Ağustos 2023
Londra’daki bir jüri, iki İngiliz genci, ergenlik çağındaki hack grubu Lapsus $’ın çekirdek üyeleriyken işlenen bir dizi bilgisayar suçu, şantaj ve dolandırıcılıktan mahkum etti. Kurbanlar arasında milyarlarca dolarlık ve çok uluslu şirketler Nvidia, Uber ve Rockstar Games vardı.
Savcılar, Oxfordshire’da yaşayan 18 yaşındaki “Beyaz” veya “Breachbase” lakaplı Arion Kurtaj ile yaşı nedeniyle adı verilmeyen 17 yaşındaki bir çocuğun şu anda aktif olmayan Lapsus$ hırsızlık ve gasp çetesinin “kilit oyuncuları” olduğunu söyledi .
Her biri, kurumsal ağlara uzaktan erişim, sosyal mühendislik ve SIM değişimini içeren planlarla bağlantılı suçlamalarla karşı karşıya kaldı. Her ikisi de Ocak 2022’de Londra Şehri Polisi tarafından tutuklandı ve soruşturma devam ederken serbest bırakıldı. Nisan 2022’de suçlandılar ve kefaletle serbest.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Sanıkların kefaletle serbest kaldıkları süre boyunca hacklemelerinin devam ettiği iddia edildi. Savcılar 17 yaşındaki çocuğu Londra Şehri Polis sunucularına sızmakla suçladı. Ayrıca Kurtaj’ı, kendisi ve ailesinin kimlikleri hackerlar tarafından internette ortaya çıktıktan sonra yaşadığı Travelodge otel odasında saklandığı sırada Rockstar’ın henüz yayınlanmamış Grand Theft Auto 6 video oyunundan düzinelerce video klibini sızdırmakla suçladılar. BBC’nin haberine göre savcılar, Kurtaj’ın internete girmesini yasaklayan kefalet koşullarını ihlal ettiğini ve polisin otel odasında yaptığı arama sırasında bir Amazon Fire Stick ve yeni bir akıllı telefon bulması üzerine “suçüstü yakalandığını” söyledi.
Psikiyatristler, otistik olan Kurtaj’ın yargılanmaya uygun olmadığını değerlendirdi. İfade vermek için mahkemeye çıkmadı.
BBC’nin haberine göre, Southwark Kraliyet Mahkemesi’ndeki yedi haftalık duruşmaya başkanlık eden yargıç, jüriye Kurtaj’ın suç kastının olup olmadığına değil, sadece suçları işleyip işlemediğine karar vermesi talimatını verdi.
Dokuz saatten fazla süren müzakerelerin ardından jüri, oybirliğiyle Kurtaj’ın kendisine yöneltilen 12 suçun tamamını işlediğine karar verdi; bunlar arasında bilgisayarın işleyişine zarar vermek üzere tasarlanmış altı yetkisiz erişim, üç şantaj, iki dolandırıcılık suçu da vardı. Independent’ın haberine göre, ayrıca şüphelinin cep telefonuna ait elektronik verilere erişim sağlayan bir şifre veya kodu açıklamasını gerektiren Bölüm 49 bildirimine uymamak da söz konusu.
Jüri, kendisi de otistik olan 17 yaşındaki çocuğu birden fazla Lapsus$ saldırısına katılmaktan suçlu buldu. Independent’ın haberine göre Kurtaj, çip üreticisi Nvidia’ya karşı bilgisayara izinsiz erişim, dolandırıcılık ve şantaj suçlarından suçlu bulundu.
Londra Şehri Polisi’nden Dedektif Müfettiş Richard Waight, “Bu, çok kurumlu bir müdahaleyi içeren karmaşık ve hassas bir soruşturmaydı ve polis soruşturması ve adli süreç boyunca bir takım zorluklar yaşandı” dedi.
Hakim, Kurtaj için 21 Eylül’de bir dava incelemesi planladı. 17 yaşındaki çocuğun 9 Kasım’da mahkemeye dönmesi planlanıyor ve o tarihte hapis cezasına çarptırılabilir.
Düşük Karmaşıklıktaki Saldırılar
Görünüşe göre yalnızca Birleşik Krallık’ta değil Brezilya’da da yerleşik olan Lapsus$, 2021’in sonlarından 2022’nin sonlarına kadar düzinelerce iyi kaynağa sahip kuruluşu tehlikeye atan saldırılar gerçekleştirdi. Grubun adı Latince “hata” kelimesini dolar işaretiyle birleştiriyor.
Grubun yüksek profilli hedefleri arasında video oyunu yayıncısı Rockstar, Ubisoft, araç çağırma uygulaması Uber, üretim devi Samsung, fintech firması Revolut, Okta ve Microsoft yer alıyor.
Lapsus$, Uber’in “grafik görsel” olarak tanımladığı görüntüleri çalışanların gördüğü bazı şirket içi sitelere göndermenin yanı sıra İngilizce ve Portekizce Telegram gönderileri de dahil olmak üzere saldırıları ve mağdurlarla alay etmesiyle düzenli olarak övünüyordu. Bazı durumlarda grup kurbanlardan fidye talep etti veya kripto para birimini çaldı ancak bunu söyledi. fidye yazılımı kullanmadı. Grup ayrıca bir dizi büyük firmadan içeriden personel aldığını da iddia etti.
ABD Siber Güvenlik İnceleme Kurulu bu ayın başlarında yayınlanan bir raporda, grubun “şirketlere ve onların özel verilerine erişim sağlamak için öncelikle cep telefonu numaralarını çalmak ve çalışanların kimlik avı yapmak gibi basit teknikler kullandığını” söyledi (bkz: Siber İnceleme: Gençler Düşük Karmaşıklıktaki Saldırılarla Kaosa Neden Oldu).
Uber’in ihlal araştırması, Lapsus$’ın büyük olasılıkla harici bir yüklenicinin bilgisayarına bulaşan bilgi çalan kötü amaçlı yazılım tarafından çalınan meşru erişim bilgilerini bir ilk erişim komisyoncusundan satın aldıktan sonra ağına erişim sağladığını ortaya çıkardı. Uber, kullanıcının herhangi bir oturum açma isteğini manuel olarak onaylamasını gerektiren iki faktörlü oturum açma onayı isteğini kullanarak erişimi kısıtlasa da, saldırganların birden fazla denemesinden sonra yüklenicinin sonunda isteklerden birini kabul ederek saldırganların uzaktan oturum açmasına izin verdiğini tespit etti.
Ocak 2022’de bilgisayar korsanları Kurtaj’ın kimliğini, kullanıcıların metin gönderebildiği, artık kullanılmayan bir Tor sitesi olan Doxbin’de yayınladı. Kurtaj’ın bu siteyi WhiteDoxbin adıyla çalıştırdığı iddia edildi. Birim 221B’nin baş araştırma görevlisi Allison Nixon, güvenlik muhabiri Brian Krebs’e Kurtaj’ın Doxbin’i satın aldıktan sonra onu sorunsuz bir şekilde çalıştırmayı başaramadığını söyledi. Baskı altında, siteyi bir zarar karşılığında asıl sahiplerine geri satmayı kabul etti. Bunu yapmadan hemen önce, şimdiye kadar yayınlanmamış özel taslaklar da dahil olmak üzere şimdiye kadar yapılmış her Doxbin gönderisini halka açık bir Telegram kanalına sızdırdı; bu da kullanıcıların, balık tutarken çekilmiş fotoğrafları da dahil olmak üzere gerçek kimliğini ifşa ederek misilleme yapmasına yol açtı.