İngiltere Ulusal Suç Ajansı (NCA) tarafından koordine edilen uluslararası bir operasyon, dünyanın en üretken Rusça konuşan siber suç aktörlerinden biri olduğuna inanılan bir adamın tutuklanması ve iadesiyle sonuçlandı.
Tutuklama
NCA, 2015’ten bu yana “JP Morgan” adlı çevrimiçi ismi ve suç şebekesini araştırıyor; buna paralel olarak ABD Gizli Servisi (USSS) ve FBI tarafından da soruşturmalar yürütülüyor.
NCA’daki siber suç uzmanları, uluslararası ortaklarla yakın bir şekilde çalışarak, JP Morgan da dahil olmak üzere birçok tanınmış çevrimiçi takma adın sorumlusu olan gerçek dünyadaki kişileri tespit etti ve Avrupa genelinde tespit edilmekten kaçınmaya çalışırken onları başarıyla takip edip yerlerini tespit etti.
Araştırmacılar, bu kişilerin Reveton ve en son Ransom Cartel gibi kötü şöhretli fidye yazılımı türlerinin yanı sıra Angler gibi istismar kitlerinin geliştirilmesinden ve dağıtımından sorumlu olduklarını tespit ettiler ve bu yazılımlar dünya çapında kurbanlarından on milyonlarca dolar sızdırdı.
ABD’de birçok kişiye yönelik suçlamaların ardından, NCA ve ABD polisinin desteğiyle İspanyol Guardia Civil, 18 Temmuz 2023’te İspanya’nın Estepona kentindeki bir apartman dairesinde 38 yaşındaki Maksim Silnikau’yu (Maksym Silnikov olarak da bilinir) tutukladı.
Belaruslu Silnikau’nun, siber suç camiasında “xxx” ve “lansky” gibi kötü şöhretli lakapların yanı sıra JP Morgan lakabını da kullandığı düşünülüyor.
Silnikau, 9 Ağustos 2024 Cuma günü, siber suçlarla ilgili suçlamalarla yüzleşmek üzere Polonya’dan ABD’ye iade edildi.
38 yaşındaki Belaruslu Vladimir Kadariya ve 33 yaşındaki Rus Andrei Tarasov da JP Morgan’ın suç örgütünde önemli roller oynadıkları iddiasıyla ABD’de yargılanıyor.
İlk RaaS
JP Morgan’ın suç faaliyetleri, kendisinin ve ortaklarının fidye yazılımlarını bir hizmet olarak sunan ilk iş modeli olan Reveton’u tanıttığı 2011 yılına kadar uzanıyor.
Reveton mağdurları, kolluk kuvvetlerinden geliyormuş gibi görünen, ekranlarını ve sistemlerini kilitleyecek bir bildirim içeren, çocuk istismarı materyalleri ve telif hakkıyla korunan programlar gibi yasa dışı içerikleri indirmekle suçlayan mesajlar aldılar.
Reveton bir web kamerasının kullanımını tespit edebilir ve bildirime ödeme talebini eklemek için kullanıcının bir görüntüsünü alabilirdi. Mağdurlar daha sonra hapis cezası korkusuyla veya cihazlarına yeniden erişim sağlamak için büyük para cezaları ödemeye zorlandılar.
Dolandırıcılık sonucunda 2012-2014 yılları arasında mağdurlardan her ay yaklaşık 400 bin dolar gasp edildi.
Exploit kitleri
JP Morgan’ın ağı ayrıca, “kötü amaçlı reklamcılık” kampanyaları yürütmek için kullandıkları kötü şöhretli Angler Exploit Kit’i de içeren bir dizi istismar kiti geliştirdi ve dağıttı.
Kit, web sitesinin sistemindeki güvenlik açıklarını arayarak, kurbanın cihazına fidye yazılımları (Reveton, CryptXXX, CryptoWall ve diğer türler) dahil olmak üzere kötü amaçlı yazılımların iletilmesini sağlıyordu.
Angler, zirve döneminde tüm exploit kiti enfeksiyonlarının %40’ını oluşturuyordu, yaklaşık 100.000 cihazı hedef alıyordu ve tahmini yıllık cirosu yaklaşık 34 milyon dolardı.
NCA soruşturmacıları, İngiliz uyruklu Zain Qaiser’in JP Morgan ile birlikte çalıştığını, Angler’a yönelik kötü amaçlı reklam kampanyaları başlattığını ve elde edilen karı onunla paylaştığını tespit etti.
Qaiser, 2019 yılında İngiltere’de şantaj, Bilgisayar Kötüye Kullanımı Yasası ve kara para aklama suçlarından suçlu bulunarak altı yıl beş ay hapis cezasına çarptırıldı.
JP Morgan’ın ağı, zaman zaman Ukrayna’nın Kiev kentindeki fiziksel ofislerde bulunan Media Lab da dahil olmak üzere çeşitli isimler altında faaliyet gösteriyordu.
Koordineli bir kolluk kuvveti eylemi
NCA, Ukrayna Güvenlik Servisi Siber Departmanı ile yakın bir şekilde çalışarak onlara Medya Laboratuvarı ile ilgili bilgileri aktardı ve eylem günü çok sayıda çalışanı ve grup üyesini hedef alan 15 arama yapmalarını sağladı.
Singapur Polis Gücü (SPF) de dahil olmak üzere ortaklarla çalışan NCA, fidye yazılımı türü Ransom Cartel’i yönetmek ve işletmek için kullanılan altyapıyı tespit edebildi ve eylemin ardından bunun çevrimdışı olmasını sağladı.
Portekiz’de de operasyon düzenlendi, suç örgütüyle bağlantısı olduğu düşünülen bir kişi gözaltına alındı ve evi/iş yeri Adli Polis tarafından arandı.
Ulusal Siber Suç Birimi Başkanı ve NCA Müdür Yardımcısı Paul Foster, şunları söyledi: “Bu eylem, JP Morgan ve dünya çapında bireylere ve işletmelere ölçülemez zararlar veren suç şebekesine yönelik karmaşık ve uzun süredir devam eden uluslararası soruşturmaların doruk noktasıdır.
“Yaptıkları dolandırıcılıklar, itibar ve maddi açıdan önemli zararlara yol açmasının yanı sıra, mağdurların ciddi stres ve kaygı yaşamasına da neden oluyor.
“Etkileri, kendilerinin başlattığı saldırıların çok ötesine geçiyor. Esasen hem istismar kiti hem de fidye yazılımı hizmeti modellerine öncülük ettiler ve bu da insanların siber suçlara karışmasını ve suçlulara yardım etmeye devam etmesini kolaylaştırdı.”