Hizmet olarak siber suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar, Kimlik ve Erişim Yönetimi
FBI Liderliğindeki Uluslararası Operasyon Yüzlerce Tutuklamayla Sonuçlandı
Bay Mihir (MihirBagwe), David Perera’nın (@daveperera), Mathew J. Schwartz (euroinfosec) •
5 Nisan 2023
Kolluk kuvvetleri, dünya genelinde 100’den fazla tutuklama ve bunun iki katı sayıda aramayla sonuçlanan uluslararası bir kanun yaptırımı operasyonunda güvenliği ihlal edilmiş bilgisayarlara erişim ve çalınan oturum açma kimlik bilgileri satan bir çevrimiçi pazaryerini bozdu.
Ayrıca bakınız: Web Semineri | Ağ Mimarisinin Evrimi: Bilmedikleriniz Size Zarar Verebilir
ABD yetkilileri, Genesis Market’in 2018’den beri dünya çapında 80 milyondan fazla hesap bilgisi içeren 1,5 milyondan fazla güvenliği ihlal edilmiş bilgisayara erişim sunduğunu söylüyor. Sitede sadece kullanıcı adı ve şifre kombinasyonları değil, bilgisayar korsanlarının çok faktörlü kimlik doğrulama gibi güvenlik önlemlerini atlamasına izin veren tarayıcı tanımlama bilgileri ve sistem bilgileri dahil olmak üzere cihaz parmak izleri de vardı. Tutuklama çetelesi şu anda 119 kişidir ve 15 ülkede kanun yaptırımı işlemleri yapılmıştır.
“Kurabiye Canavarı Operasyonu” olarak adlandırılan FBI liderliğindeki yayından kaldırma, Hollanda, Avrupa genelinde ve Birleşik Krallık, Avustralya ve Kanada’daki polisin işbirliğini içeriyordu.
Pazaryerine açık web üzerinden erişilebilirdi, ancak pazara erişmek için mevcut bir üyenin yönlendirmesi gerekiyordu. ABD Başsavcı Yardımcısı Lisa O. Monaco, “Genesis yanlış bir şekilde yeni bir anonimlik ve cezasızlık çağı sözü verdi, ancak sonunda yalnızca departmana çevrimiçi suçluları tespit etmesi, bulması ve tutuklaması için yeni bir yol sağladı” dedi.
Europol, pazarın erişilebilirliği ve ucuz fiyatlarının alıcılar için giriş engelini büyük ölçüde düşürerek, onu bilgisayar korsanları arasında popüler bir kaynak haline getirdiğini söyledi. Virüs bulaşmış bir bilgisayara – bir “bot” – erişim bir ABD dolarından daha ucuza mal olabilir.
Üst düzey bir FBI yetkilisi Çarşamba sabahı adının açıklanmaması koşuluyla gazetecilerle konuşan “Genesis, dolandırıcılık ve fidye yazılımı da dahil ancak bunlarla sınırlı olmamak üzere siber ortamdaki çeşitli etkinliklerde ana bilgisayarlara olanak tanıyan kilit bir hizmet olan bir ilk erişim aracısı olarak hizmet etti” dedi. . “Bir hizmet olarak siber suçun temel sağlayıcısı olarak ilk erişim simsarlarının önemini yeterince vurgulayamıyorum.”
Yetkili, yöneticilerin barındırma altyapılarını gizlemek için büyük çaba sarf ettiğini söyledi. “FBI, Genesis pazarlarını, kullanıcılar ve çalınan kurban kimlik bilgileri de dahil olmak üzere pazarla ilgili verileri içeren arka uç sunucuları bulmak ve belirlemek için parçaları bir araya getirmeyi başardı.”
Kolluk kuvvetleri Amerika Birleşik Devletleri içindeki kişileri tutukladı, ancak FBI daha fazla ayrıntı vermeyi reddetti. Kıdemli FBI yetkilisi, pazaryeri operatörlerinin çalınan kimlik bilgilerinin satışından en az 8,7 milyon dolar kripto para birimi kazandığını, ancak “toplam kayıpların on milyonlarca doları aştığını tahmin ediyoruz” dedi. Yetkili, Genesis’in arka uç sistemlerinin, kolluk kuvvetlerinin tutuklama yapmasına izin veren e-postalara ve diğer verilere bağlı yaklaşık 59.000 kullanıcı hesabını ortaya çıkardığını da sözlerine ekledi. Yetkili, Genesis Market’in karanlık ağ üzerinden hala erişilebilir olduğuna dair raporların, “Genesis’i başkaları tarafından görülmesi gerekmeyen veya aşikar olmayabilecek şekillerde bozmamıza izin veren” eylemleri gözden kaçırdığını söyledi.
FBI, Genesis Market veritabanlarında bulunan kimlik bilgilerini, internet kullanıcılarının güvenliğinin ihlal edilip edilmediğini görmelerine izin vermek için Pwned Edildim bildirim web sitesini ihlal etmek için iletti.
“Sosyal medya profillerinin çalındığı veya bir kurbanın hesabı aracılığıyla web mağazası siparişlerinin verildiği durumlar var. Hatta bazı kurbanların tüm yatırım portföyleri, banka hesapları veya kripto cüzdanları boşaldı. Kısacası, kurbanlar tüm çevrimiçi yaşamlarının kontrolünü kaybetti. ” dedi Rotterdamn Siber Suç Ekibinin başındaki Hollandalı bir kolluk görevlisi Ruben van Well.
Kolluk kuvvetlerine yardımcı olan siber güvenlik firması Trellix, Genesis Market’in “kullanıcılarına, çalınan eserlerin kolayca enjekte edilmesine olanak tanıyan Genesium adlı benzersiz bir özel tarayıcı ve eklenti sunarak hesapların ele geçirilmesini siber suçlular için çocuk oyuncağı haline getirdiğini” söyledi. Yöneticiler, çevrimiçi kimlik bilgilerini toplamak için AZORult, Raccoon, Redline ve Dana dahil olmak üzere çeşitli bilgi hırsızı kötü amaçlı yazılımları kullandı. Trellix, çalınan bilgilerin yapısını ve kalitesini garanti etmek için virüslü makinelere kendi JavaScript kodlarını da bıraktıklarını söyledi.
Genesis Market’i İzleme
Genesis Market, ilk olarak Kasım 2017’de beta sürümünde ortaya çıktı ve kısa sürede çalınan dijital parmak izi verilerinin önemli bir satıcısı haline geldi. Siber güvenlik şirketi ReliaQuest, piyasaya sürüldüğü sırada pazar yerinin 283 büyük banka ve ödeme sistemi tarafından kullanılan dolandırıcılık önleme kontrollerinden kaçabileceğini iddia ettiğini söyledi.
Şirket, Nisan 2018’de “50 dolardan daha düşük bir fiyata, kullanıcılar Genesis sitesinde parmak izi, hesaplar ve tanımlama bilgileri içeren bir bot satın alabilirler – şaşırtıcı bir şekilde, mağaza Rus topluluğu ile bağlantılı herhangi bir ürün kullanmıyor veya satmıyor” dedi. .
2018’de siber güvenlik firması Kaspersky, çalınan bir cihaz parmak izi için Genesis’teki fiyatın 5 ila 200 ABD Doları arasında değiştiğini bildirdi. “Örneğin, botun çevrimiçi bir banka hesabından bir giriş/şifre çifti varsa, fiyat daha yüksektir.”
Vice’ın 2021’de bildirdiğine göre, saldırganların oyun devi Slack aracılığıyla Electronic Arts’ın sistemine girmesine izin veren Haziran 2021 EA ihlaline yol açan tek kimlik bilgileri saldırgana Genesis Market’te 10 dolara mal oldu.
Siber güvenlik firması Sophos’un analizi, piyasadaki ürünlerin kapsamını ve satın alınabilirliğini doğruladı. Firma, Ağustos 2022’de “Genesis müşterileri, kaynağı bilinmeyen çalıntı bilgileri tek seferlik satın almıyorlar; kurbanın bilgileri değişse bile fiili bir abonelik için ödeme yapıyorlar” diye yazmıştı.
Trellix, pazar yeri yöneticilerinin, muhtemelen artan talebe ayak uydurmak için Şubat ayında aktif olarak satıcıları işe almaya başladığını söyledi.