Microsoft’un Dijital Suçlar Birimi (DCU), kendin yap kimlik avı kitlerini bu marka altında satan Mısır vatandaşı (bugün adı Abanoub Nady olarak anılan) tarafından kullanılan 240 sahte web sitesine el koymaya yönelik bir operasyonu yönettikten sonra siber suç yeraltı dünyasına karşı büyük bir zafer elde etti. ONNX’i daha az becerikli dolandırıcılara adlandırın.
MRxD0DER tanıtıcısını kullanan Nady, çeşitli sektörlerdeki Microsoft müşterilerine yönelik birden fazla kampanyada kullanılan hizmet olarak kimlik avı kitlerini hem geliştirdi hem de sattı, ancak en yoğun hedefin finansal hizmetler sektörü olduğu anlaşılıyor.
DCU, ONNX ‘ürün ailesi’nden kaynaklanan e-postaların, Microsoft’un ağlarına her ay yakalanan on ila yüz milyonlarca kimlik avının önemli bir bölümünü oluşturduğuna inanıyor; bu, muhtemelen dünya çapında bu tür ilk beş operasyon arasında yer alıyor.
Redmond, ONNX’i hedef almanın yasadışı siber suçlu tedarik zincirini bozduğunu ve müşterileri dolandırıcılık, veri hırsızlığı ve fidye yazılımı gibi alt tehditlerden koruduğunu söyledi.
Microsoft DCU genel danışman yardımcısı Stephen Masada, “Bu eylem, DCU’nun daha geniş siber suç ekosistemini bozma ve siber suçluların saldırılarını başlatmak için kullandıkları araçları hedefleme stratejisine dayanıyor” dedi.
“Her durumda amacımız, kötü aktörleri faaliyet göstermek için gereken altyapıdan ayırarak müşterileri korumak ve giriş engellerini ve iş yapma maliyetini önemli ölçüde artırarak gelecekteki siber suç davranışlarını caydırmaktır.
“Gerçek kayıtlı ONNX adı ve logosunun ticari marka sahibi olan müdahil davacı LF (Linux Foundation) Projects, LLC de bize katılıyor. ONNX veya Open Neural Network Exchange, daha kolay dağıtım ve ölçeklenebilirlik için farklı donanımlar, çerçeveler ve araçlar arasında birlikte çalışabilirliği mümkün kılan, makine öğrenimi modellerini temsil etmeye yönelik açık standart bir format ve açık kaynak çalışma zamanıdır” dedi.
“Birlikte, kötü niyetli aktörlerin saldırılarının algılanan meşruiyetini artırmak için isimlerimizi ve logolarımızı yasadışı bir şekilde kullanmasına sessiz kalmak yerine, çevrimiçi kullanıcıları dünya çapında korumak için olumlu ayrımcılık yapıyoruz.”
Masada, DCU’nun diğerlerine karşı daha fazla caydırıcı olması için tek taraflı olarak Nady’nin ismini vermeyi seçtiğini söyledi.
Linux Vakfı’nın bir sözcüsü şunları söyledi: “Linux Vakfı olarak, işbirliğinin karmaşık zorlukların üstesinden gelmek için güçlü bir araç olduğunu savunuyoruz. Bugün, milyonlarca bireyi ve kuruluşu küresel bir hizmet olarak kimlik avı suç operasyonundan korumak için Microsoft ile yakın zamanda yaptığımız işbirliğini kutluyoruz. Kendilerini bir siber suç sorununun bir unsuruyla mücadele edecek konumda bulan kuruluşları, işbirliği yapmanın ve daha güçlü bir kolektif tepki oluşturmanın yollarını bulmaya teşvik ediyoruz.”
Microsoft davayla ilgili
Son aylarda, son aylarda ONNX aracılığıyla düzenlenenler gibi karmaşık ortadaki rakip (AitM) kimlik avı saldırılarında önemli bir artış görüldü; özellikle kötü amaçlı QR kodları kullanan kimlik avı (quishing) adı verilen saldırılarda bir artış görüldü.
Ancak Microsoft’un ONNX’e karşı eylemi aslında 2017’ye kadar uzanan uzun bir soruşturmanın sonucudur. Microsoft, yıllar içinde, Caffeine ve FUHRER olarak bilinen diğer kimlik avı operasyonları da dahil olmak üzere Nady’nin çeşitli “girişimlerini” takip ettiğini söyledi.
Kitlerinin tümü, koordineli kampanyalarda geniş ölçekte e-posta göndermek üzere tasarlandı ve ONNX, çeşitli erişim ve destek katmanlarına sahip, hatta her yönüyle yararlanan en seçici suçlular için VIP katmanına sahip abonelik tabanlı bir modelde satıldı. Adım adım rehberlik sunan saat teknik desteği.
ONNX, tanıtım videolarının yanı sıra çoğunlukla Telegram mesajlaşma platformu aracılığıyla tanıtıldı, satıldı ve yapılandırıldı. Müşteriler, ürünü satın aldıktan sonra sağlanan şablonları ve hileli ONNX teknik altyapısını kullanarak saldırıları düzenleyebildiler ve bu sayede başka yerden elde edilen kötü amaçlı alanlara bağlanmalarına izin verildi.
Bugün Virginia’nın Doğu Bölgesi’nde açıklanan bir hukuk mahkemesi emri uyarınca, Microsoft artık bu teknik altyapıyı devraldı ve onu gelecekteki saldırılar için kullanılamaz hale getirdi.
Daha fazlası gelecek
Ne yazık ki, Masada’nın gözlemlediğine göre, DCU’nun eylemi ONNX’i önemli ölçüde bozacak olsa da, diğer tehdit aktörlerinin uyarlanmış tekniklerle boşluğu dolduracağı kesindir.
“Ancak harekete geçmek, çevrimiçi kullanıcılara zarar vermek için hizmetlerimizi çoğaltmayı seçenlere güçlü bir mesaj gönderiyor: Hizmetlerimizi ve müşterilerimizi korumak için proaktif olarak çareler arayacağız ve daha büyük etki yaratmak için teknik ve yasal stratejilerimizi sürekli olarak geliştireceğiz.” söz konusu.
“Ayrıca, siber suçlular yöntemlerini geliştirmeye devam ettikçe kuruluşların ve bireylerin bilgili ve tetikte olmaları hayati önem taşıyor. Siber suçluların kullandığı taktikleri anlayarak ve sağlam güvenlik önlemlerini uygulayarak, daha güvenli bir dijital ortam için hep birlikte çalışabiliriz. Siber tehdit ortamını anlamlı bir şekilde çökertmek istiyorsak, LF Projects ile ortaklık gibi devam eden işbirliği hayati önem taşıyor.”