Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç
Açıklanmayan Şikayet, Maxim Rudometov’u Kötü Amaçlı Yazılım Geliştirmek ve Satmakla Suçluyor
Mathew J. Schwartz (euroinfosec) •
29 Ekim 2024
Bilgi çalan kötü amaçlı yazılımların iki önde gelen türüne karşı uluslararası bir baskı devam ediyor.
Ayrıca bakınız: İsteğe Bağlı | 2024 Kimlik Avı Analizleri: 11,9 Milyon Kullanıcı Davranışı Riskiniz Hakkında Neleri Ortaya Çıkarıyor?
Salı günü ABD Adalet Bakanlığı, Rus uyruklu Maxim Rudometov’a karşı, onu “önemli kişisel ve finansal bilgileri bilgisayarlardan yasa dışı olarak kaldırmak için tasarlanmış” Redline bilgi hırsızlığının iddia edilen geliştiricilerinden ve yöneticilerinden biri olmakla suçlayan bir şikayeti açıkladı.
Savcılar, Rudometov’un Redline bilgi hırsızlığı operasyonunun önemli bir parçası olduğunu belirterek, bunu “milyonlarca kurban bilgisayarı hedef alan dünyadaki en yaygın bilgi hırsızlarından biri” olarak tanımladı. “Infostealer ayrıca Windows sistemlerine bulaşmak için tasarlandı.
Justice, “Rudometov’un Redline bilgi hırsızlığının altyapısına düzenli olarak eriştiğini ve yönettiğini, ödemeleri almak ve aklamak için kullanılan çeşitli kripto para hesaplarıyla ilişkili olduğunu ve Redline kötü amaçlı yazılımını elinde bulundurduğunu” iddia etti.
Halen firarda olan şüpheli, erişim cihazı dolandırıcılığı, bilgisayara izinsiz giriş yapmak için komplo kurmak ve kara para aklama suçlarıyla suçlanıyor ve bunlar toplu olarak 35 yıla kadar hapis cezası gerektiriyor.
Hollanda Ulusal Polisi Pazartesi günü yaptığı açıklamada, hem Redline hem de Meta bilgi hırsızlığı hizmetlerine sızdığını, sunucularına “tam erişim” elde ettiğini ve yöneticiler, bağlı kuruluşlar ve kurbanlarıyla ilgili büyük miktarda veriyi ele geçirdiğini duyurdu (bkz.: Hollanda Polisi ve FBI Bilgi Hırsızlığı Altyapısına Sızıyor).
Hollanda polisi, müfettişlerin Redline’ın suçlu kullanıcılarının maskesini düşürmek için çalıştığını ve bununla ilgili “yasal işlemlerin devam ettiğini” söyledi. Redline ve Meta ile mücadele eden ve potansiyel kurbanlar için bilgiler içeren, Magnus Operasyonu kod adlı uluslararası kolluk kuvvetine adanmış bir web sitesi olan www.operation-magnus.com’u başlattılar.
Bilgi hırsızları, virüs bulaşmış bir sistemden (diğer adıyla “bot”) veri sızdırmak ve bu verileri diğer suçlular için değerli bilgiler içeren “günlükler” halinde toplamak üzere tasarlanmıştır. Bu günlükler özel pazarlar ve otomatik Telegram kanalları aracılığıyla satılıyor. Bilgi hırsızları tarafından çalınan bilgiler arasında genellikle iki faktörlü kimlik doğrulamayı yenmek için kullanılabilen tarayıcı çerezleri ve tarayıcı tarafından otomatik olarak doldurulacak depolanan veriler yer alır. Hedeflenen diğer bilgiler arasında çevrimiçi banka hesapları da dahil olmak üzere çeşitli hizmetlere ilişkin kullanıcı adları ve şifrelerin yanı sıra kripto cüzdan ayrıntıları, ödeme kartı verileri ve daha fazlası yer alıyor.
Şikayete göre, Redline’ın operatörleri kötü amaçlı yazılım hizmetini abonelere 150 dolar değerinde aylık Bitcoin veya başka bir kripto para birimi ödemesi karşılığında ya da 800 dolar (daha sonra 900 dolara yükseldi) karşılığında “ömür boyu” lisans karşılığında teklif etti. İddiaya göre “RedLine’ın ‘giriş bilgilerini ve şifreleri’, ‘çerezleri’, ‘otomatik doldurma alanlarını’, ‘kredi kartlarını’ çalabildiğinin ve kripto para birimi bilgilerini çalmak için modüllere sahip olduğunun reklamını yaptılar.”
Şikayete göre Redline bağlı kuruluşları, kötü amaçlı yazılımı; kimlik avı saldırıları, sahte yazılım indirmeleri ve “kötü amaçlı yazılımların dışarıdan yüklenmesi”nin yanı sıra COVID-19 hileleri de dahil olmak üzere birçok yolla dağıttı.
Redline reklamlarında, kötü amaçlı yazılımın en son sürümünün “temizlendiği”, yani tespit edilmesini zorlaştırmak için yeniden paketlendiği ve yeni işlevsellik eklendiği belirtilerek düzenli yazılım güncellemelerinin çığırtkanlığı yapılıyordu. Ağustos 2021’de duyurulan bir güncelleme, “Redline’ın artık kripto para birimi cüzdanlarını ve işlemlerini yöneten Google Chrome uzantılarından veri çıkarabildiğini ve desteklenen uzantıların Google Chrome mağaza URL’lerine bağlanabildiğini iddia ediyordu.”
Araştırmacılar, varsayılan olarak kötü amaçlı yazılımın Rusya’da veya komşu ülkelerde çalışmayacağını söyledi.
Kolluk kuvvetleri, Redline ve Meta kurbanlarından çalınan bazı günlük verilerini kurtardı. DOJ, “Kesin bir sayı kesinleşmemiş olsa da, aracılar milyonlarca benzersiz kimlik bilgisi (kullanıcı adları ve şifreler), e-posta adresleri, banka hesapları, kripto para birimi adresleri, kredi kartı numaraları vb. tespit etti” dedi.
Müfettişler, Rudometov’u, isimsiz bir blog yazısında Redline’ın çekirdek üyesi olduğu iddia edilen “Dendimirror” lakabıyla ilişkilendirdiler; kısmen bu hesap adının bir Rus bilgisayar korsanlığı forumuna kaydedilmesi için kullanılan Yandex e-posta adresini bularak, üyelik veri tabanı daha sonra sızdırıldı. . Müfettişler, bu Yandex e-postasını “GHackiHG” ve “bloodzz.fenix” gibi diğer hacker adlarıyla ve “Rudometov’un kişisel kapasitesinde kullandığı Google ve Apple gibi hizmetlerle” ilişkilendirdiklerini ve RedLine’ın bir kopyasını RedLine’dan kurtardıklarını söyledi. Apple iCloud Sürücüsü.
Ayrıca şikayete göre “Rudometov adına kayıtlı çevrimiçi hesaplar ile RedLine kötü amaçlı yazılımının bilgi hırsızlığının konuşlandırılabilir sürümlerini yapılandırmak için kullandığı sunucu arasında çok sayıda finansal ve IP bağlantısı var.” Apple hesabına bağlı bir IP adresinin, Rusya’nın güneyindeki bir şehir olan Krasnodar’da bulunduğunu ve iCloud hesabında depolanan birden fazla fotoğrafın konum verileriyle eşleştiğini söyledi.
Rudometov aleyhindeki şikayetin açığa çıkması, Perşembe günü ABD Teksas Batı Bölgesi Bölge Mahkemesinin Redline tarafından kullanıldığı iddia edilen iki alan adı için el koyma emri çıkarması sonrasında gerçekleşti: fivto.online Ve spasshik.xyz – virüslü uç noktaların komuta ve kontrolü için. Salı günü mühürlenen emir, alan adlarının kayıtlı olduğu Phoenix merkezli NameCheap’e, alan adlarına gelen tüm trafiği FBI kontrolündeki alan adlarına yönlendirmesini emrediyor.
FBI’ın Austin, Texas ofisi, Redline ve Meta’ya yönelik ABD soruşturmasını, Donanma Kriminal Soruşturma Servisi, IRS Kriminal Soruşturma Servisi, Savunma Kriminal Soruşturma Servisi ve Ordu Kriminal Soruşturma Bölümü dahil olmak üzere diğer birçok kurumla birlikte yürütüyor.
Birden fazla askeri kurumun katılımı, Redline’ın ABD Ordusu’nun Office 365 e-posta ortamının yanı sıra savunma yüklenicileri de dahil olmak üzere Savunma Bakanlığı hesapları, hizmetleri veya web sitelerine yönelik erişim kimlik bilgilerini tehlikeye atan saldırılarla bağlantılı olduğunu yansıtıyor. Mahkeme belgelerinde adı geçen diğer kurbanlar arasında, 370.000 dolar değerindeki kripto para birimini kaybeden ve araştırma için bir dijital adli tıp firmasını kiralayan ve çalınan hesap erişim bilgilerinin bir Redline enfeksiyonuna kadar izini süren bir Indiana sakini de yer alıyor.
Adalet Bakanlığı, Redline’a yönelik soruşturmanın, Redline tarafından kullanılan bir lisanslama sunucusundan elde ettiği ayrıntıları gönüllü olarak hükümete açıklayan isimsiz bir firma da dahil olmak üzere özel sektör tarafından desteklendiğini söyledi. Şikayete göre, “Müfettişler sunucudaki verileri analiz etmek için bir arama emri aldılar ve Rudometov’u Redline’ın geliştirilmesi ve konuşlandırılmasıyla ilişkilendiren ek kanıtlar buldular.”
ABD görev gücü, AB’nin kolluk kuvvetleri istihbarat teşkilatı olan Europol tarafından koordine edilen bir Ortak Siber Suç Eylem Görev Gücü (J-CAT) olan Magnus Operasyonu ile birlikte çalışıyor. Katılımcı diğer kuruluşlar arasında Hollanda Ulusal Polisi, Belçika Federal Polisi, Belçika Federal Savcılığı, Britanya Ulusal Suç Dairesi, Avustralya Federal Polisi, Portekiz Federal Polisi ve Eurojust olarak da bilinen AB Ceza Adaleti İşbirliği Ajansı yer alıyor.