Rusya, REvil’le Bağlantılı Medibank Hacker’ının Tutuklandığını Duyurdu

Rus siber güvenlik firması FACCT, Rus polisinin aralarında Aleksandr Nenadkevichite Ermakov’un da bulunduğu üç kişiyi, ülkenin ceza kanununun zararlı bilgisayar kodlarının oluşturulmasını, kullanılmasını veya dağıtılmasını yasaklayan 273. Maddesini ihlal etmek suçlamasıyla geçen ay tutukladığını söyledi.

Makine çevirisine göre firma, “saldırganların Shtazi-IT adlı, açılış sayfaları, mobil uygulamalar ve çevrimiçi mağazaların geliştirilmesi için hizmetler sunan yasal bir BT şirketi kisvesi altında çalıştığını” söyledi.

BSTE’nin ayrıca üç şüpheliyi, ilk olarak 2021’in başında ortaya çıkan ve Kasım 2021’de ivme kazanmadan önce SugarLocker, diğer adıyla Sugar veya Encoded01 adlı hizmet olarak fidye yazılımı operasyonunun üyesi olmakla suçladığı bildirildi. Birçok fidye yazılımı operasyonunun aksine. Siber güvenlik firması Malwarebytes, işletmeleri vurmaya odaklanan Şeker kullanan bağlı kuruluşların bireyleri ve belki de çok küçük işletmeleri hedef aldığını söyledi.

FACCT, Rusya İçişleri Bakanlığı Özel Teknik Olaylar Bürosu tarafından yürütülen devam eden soruşturmada kullanılan siber suç istihbaratına katkıda bulunduğunu söyledi. 2019 yılında genel merkezini Moskova’dan Singapur’a değiştiren siber güvenlik firması Group-IB, Nisan 2023’te Rusya’daki operasyonlarını şu anda FACCT olarak faaliyet gösteren yerel yönetime satarak tamamen elden çıkardı.

Medibank Hacking Şüphelisi

Tutuklama duyurusu kısmen dikkate değer çünkü Avustralya, ABD ve İngiltere geçen ay Ermakov’a (diğer adıyla GustaveDore, JimJones ve Blade Runner) çok sayıda hack saldırısı gerçekleştirdiği için yaptırım uyguladı. Bunlar arasında Avustralya Medibank’ına saldırmak ve ödemeyi reddettiği 10 milyon dolarlık gasp da yer alıyor. “Davanın kapandığını” ilan eden bilgisayar korsanları, daha sonra 9,7 milyon mevcut ve eski Medibank müşterisine ait çalıntı bilgileri yayınladı.

FACCT’ye göre Rus yetkililer tutuklanan üç şüphelinin adını vermedi ancak içlerinden birinin yukarıda belirtilen takma adları kullandığı belirtildi.

ABD’li yetkililer geçen ay, delillerin Ermakov ve Medibank’taki iddia edilen suç ortaklarının “Rusya destekli siber suç çetesi REvil ile” bağlantıları olduğunu gösterdiğini söyledi. Sodinokibi olarak da bilinen ve Maze operasyonunun küllerinden oluşan bu hizmet olarak fidye yazılımı grubu, Nisan 2019’dan 2021’in başına kadar öfkeyle doluyken, birden fazla emniyet teşkilatı Temmuz 2021’de onu kesin olarak çevrimdışına almıştı.

Siber güvenlik firması Intel 471 geçen ay, çalınan Medibank verilerinin daha önce REvil tarafından kontrol edilen bir blogda yayınlandığını bildirdi, ancak Ermakov ile fidye yazılımı grubu arasındaki “bağlantı o zamanlar net değildi”. Firma, “Ermakov’un grubunun aynı zamanda REvil’e bağlı bir kuruluş olması nedeniyle geriye dönüp baktığımızda bu mantıklı görünüyor” dedi.

Zamanlama açısından, REvil ölürken SugarLocker’ın operasyonlarını hızlandırdığı görülüyor.

Tesadüf olsun ya da olmasın, Rusya’nın tutuklama duyurusu, 11 Batılı emniyet teşkilatından oluşan bir koalisyonun, tutuklamalar ve iddianamelerle birlikte Rusça konuşan fidye yazılımı grubu LockBit’in altyapısının bozulduğunu duyurmasının hemen ardından geldi. Batılı kolluk kuvvetlerinin LockBit bağlı kuruluşlarına, bağlı kuruluşlara yönelik web panelinde bilinen bir güvenlik açığını düzeltmede başarısız olması nedeniyle fidye yazılımı grubunun altyapısına sızdıklarını söylediği bildirildi. Grubun liderlik kişisi LockBitSupp, kesintinin kendisinin düzeltmeyi başaramadığı bir PHP kusurundan kaynaklandığını doğruladı.

Müfettişler SugarLocker Sunucusundaki Kusurdan Yararlandı

Benzer bir hatanın SugarLocker işleminin tamamlanmasına yol açtığı görülüyor. FACCT, Ocak 2022’de araştırmacılarının, fidye yazılımı grubunun bağlı kuruluşlara yönelik kontrol paneli olan SugarPanel’de bir web sunucusu yapılandırma hatası tespit ettiğini ve bir Rus sunucusunda barındırılan altyapıya erişim sağladığını söyledi.

FACCT tarafından toplanan dijital adli tıp kanıtları, birden fazla SugarLocker operatörünün yalnızca bağlı kuruluşlar için fidye yazılımı geliştirmekle kalmayıp, “aynı zamanda özel yapım kötü amaçlı yazılımlar geliştirdiğini, çevrimiçi mağazalar için kimlik avı siteleri oluşturduğunu ve kullanıcı trafiğini Rusya ve BDT’de popüler olan dolandırıcılık planlarına yönlendirdiğini” öne sürdü. ” Bu, Rusya ve 11 komşu devletten oluşan Bağımsız Devletler Topluluğu anlamına geliyor.

Hukuk uzmanları, Rusya’nın bilgisayar yasalarının yalnızca Rusları etkileyen bilgisayar suçlarını yasakladığını söylüyor. Ülke ayrıca yurt dışında karşılaşabilecekleri suçlamalar ne olursa olsun vatandaşlarını asla iade etmiyor. Bu nedenle, yurt dışında bilgisayar suçlarıyla suçlanan Rusya merkezli kişiler genellikle cezasız kalıyor gibi görünüyor; bu da fidye yazılımı dehası olduğu iddia edilen birçok kişinin tutuklanmasının hâlâ zorlu olmasının nedenlerinden biri.

Şüphelilerin Ruslara veya diğer BDT ülkelerinin vatandaşlarına yardım etmesi veya doğrudan saldırması durumunda tüm bahisler geçersizdir (bkz.: Rusya’nın Siber Suç Kuralı Hatırlatması: Rusları Asla Hacklemeyin).

Buna rağmen Rus yetkililerin fidye yazılımı operatörlerini yakaladığı iddiaları nadir görülüyor. Ocak 2022’de Moskova’nın, kısmen ABD istihbaratına dayanarak, REvil’in orta düzey üyesi olduğu iddia edilen 14 kişiyi gözaltına aldığını bildirdiği bir istisna yaşandı. Grubun saldırıları arasında yazılım satıcısı Kaseya’ya yönelik bir tedarik zinciri saldırısının yanı sıra dünyanın en büyük et işleyicisi JBS’nin sekteye uğraması da vardı.

Güvenlik gözlemcileri, özellikle ülkenin Ukrayna sınırına asker yığdığı ve ülkeyi siber operasyonlarla darbelediği bir dönemde Moskova’nın motivasyonunu sorguladı. Başkan Vladimir Putin’in Şubat 2022’de topyekün bir istila emrini vermesinin ardından, Moskova’nın fidye yazılımıyla mücadele konusundaki iyi niyeti – gerçek ya da değil – dağılmış gibi görünüyor.