Hydra Pazarı Polis Tarafından Kapatıldığından beri Rus Rakipler Pazar Payı İçin Mücadele Ediyor
Mathew J. Schwartz (euroinfosec) •
20 Ocak 2023
Geçen Nisan ayında pazar lideri Hydra’nın çok uluslu bir kolluk kuvvetleri operasyonu tarafından devirilmesinin ardından, Rusça dilli darknet pazarları arasındaki rekabet şiddetli olmaya devam ediyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Söz konusu olan, yasa dışı uyuşturucular ve kötü amaçlı yazılımlardan sahte kimlik ve çalınan ödeme kartı verilerine kadar her şeyin akışını kolaylaştıran platform için milyarlarca dolara varan pazar payıdır. Yalnızca Hydra, kısmen sunduğu kara para aklama hizmetleri nedeniyle 2020’de 1,3 milyar dolardan fazla kazandı.
Darknet uyuşturucu ticaretinin tahminen %25’ini kontrol eden darknet pazarı Solaris ile ilgili en son gelişme dikkate alınacak bir şeyse, rekabet yoğun olacağa benziyor. Geçen hafta, düşmanca bir ele geçirmenin karanlık ağ eşdeğerini yaşadı: Saldırıya uğradı.
Blockchain istihbarat firması Elliptic’in bildirdiğine göre, görece yeni gelen Kraken – aynı adı taşıyan meşru kripto para borsasıyla hiçbir ilişkisi yok – Solaris’in zayıf “operasyonel güvenliğinin” sadece 72 saat içinde hacklemeyi kolaylaştırdığını iddia ediyor.
Kıdemli Eray Arda Akartuna, 13 Ocak’ta pazara erişmeye çalışan Solaris kullanıcılarının “Solaris’in siber altyapısını, GitLab deposunu ve proje kaynaklarını başarıyla ele geçirdiğini bildiren bir bildirimle Kraken’e yönlendirilen bir mesajla karşılaştıklarını” bildiriyor. Elliptic’te kripto tehdit analisti. “WayAway Forum’daki Kraken’e bağlı birçok satıcı grubu” – Kraken’e bağlı – “eski Solaris yasa dışı mal ve hizmet satıcılarını işe almak için yarışıyor.”
Geçmişe bakıldığında, yazı Solaris için birçok cephede duvardaydı.
Siber güvenlik firması Resecurity’in bildirdiğine göre Solaris, geçen yılın sonlarında 3.480 sanal mağaza sahibine WayAway ve Kraken’de satış yapan herkesi kara listeye alacağını söyleyerek rekabeti ortadan kaldırmaya çalıştı. Sonraki bir “Solaris düşmanları” listesi, rakip pazarları ekledi OMG!OMG! ve Rutor, bir tür hesaplaşmanın habercisi olarak yasaklı listeye alındı.
KillNet ile Bağlar
Solaris’in sorunları, dolaylı olarak, 2022’nin başında başlatılan ve Kremlin yanlısı dağıtılmış hizmet reddi saldırılarına bağlanan bilgisayar korsanlığı grubu KillNet ile olan ilişkisinden de kaynaklanıyor.
Bağımsız ve tarafsız bir sivil toplum kuruluşu olan CyberPeace Institute, KillNet’in bilinen 84 saldırıyla bağlantılı olduğunu bildirdi. Hedefler arasında AB Parlamentosu, ABD havaalanı web siteleri, Ukrayna ve müttefikleri ve hatta Eurovision şarkı yarışması yer aldı.
Ancak ZeroFox Intelligence’ın geçen Ekim ayında bildirdiğine göre KillNet, Solaris adına Rutor uyuşturucu pazarının peşine düşmüş gibi görünüyor.
ZeroFox, “KillNet, Solaris’in rakiplerine saldırıyor ve Solaris büyük ihtimalle KillNet’e sağlanan hizmetler için ödeme yapıyor” dedi. Eylemlerini döndürmeye çalışan KillNet, çeşitli zamanlarda Rutor’un Ukrayna Güvenlik Servisi, SBU tarafından yönetildiğini iddia etti – tamamen asılsız bir iddia – ve ayrıca Rutor’u Ruslara yasadışı uyuşturucu sattığı için hedef aldığını iddia etti. ZeroFox, “KillNet, Rutor yöneticisinden elde ettiği gelirin %50’sinin Rusya Federasyonu’ndaki yetimhanelere yardıma gönderildiğini de iddia etti” dedi. Bu iddiayı destekleyecek kanıt yayınlanmadı.
İki grup arasındaki bağlara dair anekdotlardan daha fazla kanıt var. Elliptic, görünüşe göre DDoS saldırıları için Solaris’ten KillNet’in cüzdanlarına 44.000 dolardan fazla değere sahip bitcoin fonlarının aktığını bildiriyor.
Geçen Ekim, KillNet Solaris’e herkesin önünde teşekkür edildi “devasa desteği” için. Bu açıklama, Rus hükümetinin propaganda kuruluşu RT’nin “Killmilk” olarak bilinen KillNet’in kurucusuyla röportaj yaptığı zaman geldi.
Killmilk, Solaris hakkında şunları söyledi: “Nereden olduklarını bilmiyorum ama bu profesyonelleri uzun zamandır tanıyorum. Bize gösterdikleri ilgi için teşekkürler, KillNet tüm hızıyla ilerliyor.”
KillNet Sızmayla Karşı Karşıya
KillNet ve Solaris arasındaki bağlantılar, genç yaşlarında Kiev’den ayrılan bir Ukraynalı olan Wisconsin merkezli siber güvenlik uzmanı Alex Holden’ı darknet pazarını bozmaya yöneltti. Holden, geçen yaz Solaris’e başarılı bir şekilde sızdığını ve altyapısının yalnızca yöneticilere özel bölümlerine erişim elde etmek için zayıflıkları aramaya başladığını söylüyor (bkz: Bir Savaş Sırasında, Siber Intel Firması Ukrayna Ofisi Açtı).
Geçen ay, Holden Solaris’e karşı ilk halka açık hamlesini, erişimini karanlık ağ piyasası operatörlerinin sahip olduğu bir cüzdandan – o zamanlar yaklaşık 25.000 $ değerinde – yönlendirmek için kullandığında yaptı. Forbes’in ilk bildirdiğine göre, Bitcoin’i kendi parasından 8.000 dolarla birlikte Enjoying Life adlı Ukraynalı bir insani yardım kuruluşuna gönderdi.
Hold Security, “Siber suçlar ve KillNet ile mücadelemizde büyük bir adım daha atmaktan gurur duyuyoruz.” tweet attı geçen ay. “İçeriden erişilebilen Rus uyuşturucu platformu Solaris aracılığıyla verilerinin çoğunu elde edebildik. Ayrıca uyuşturucu gelirlerinden gelen parayı Ukrayna’daki bir hayır kurumuna yönlendirebildik.”
Hold Security, yanıt olarak Solaris yöneticilerinin “büyük bir yükseltme” olacağını iddia ettikleri için “altyapısının çoğunu kaldırdığını” söylüyor. “Müşterilerine yeni versiyonlarının daha büyük ve daha iyi olacağına dair güvence vererek – para transferi dışında – Forbes hikayesini reddetmek için ellerinden geleni yaptılar. Bunların hepsi bir yalandı.”
Holden, KillNet ile karanlık ağ uyuşturucu pazarı ortağı arasındaki bağlantıları daha fazla vurgulamak ve “hala savunmasız platformuna dikkat çekmek” için 12 Ocak’ta Solaris’e sızarak topladığı büyük miktarda veriyi boşalttı.
Dökülen veriler, sunucu dağıtım komut dosyalarını ve SSH anahtarlarını, Tor tabanlı siteleri için Onion Hidden Service Keys’i, “AntiDDoS Solaris Guard sistemi” için kaynak kodunu, kripto para birimi cüzdan bilgileri çıkarılmış birkaç mağaza için SQL veritabanlarını ve bir MongoDB verisini içerir. piyasadan kamu ve özel iletişim içeren çöplük, diyor.
Ardından Solaris, Forbes raporunun yayınlanmasından sadece 22 gün sonra sona eren üç günlük hack saldırısının Solaris yöneticileri tarafından fark edilmediğini iddia eden Kraken tarafından devralındı, Elliptic’in bildirdiğine göre.
Elliptic’ten Akartuna, Kraken’in sistemlerinin bir siber güvenlik araştırmacısı tarafından ihlal edildiğine dair Aralık 2022’nin ifşa edilmesinin, rakiplerin pazar payını daha iyi ele geçirmek için pazarın sistemlerini istismar edilebilir güvenlik açıkları için araştırmasına yol açtığını söylüyor.
Solaris’in ortadan kaybolması, sadece aşk ve savaşta değil, aynı zamanda Rusça darknet pazarındaki rekabette de her şeyin adil olduğunu hatırlatıyor.