Siber suç , Hizmet olarak siber suç , Dolandırıcılık Yönetimi ve Siber Suç
3 Şüpheli, Şeker Fidye Yazılımı Kullanmak ve Ruslara Yönelik Kimlik Avı Saldırıları Yapmakla Suçlanıyor
Mathew J. Schwartz (euroinfosec) •
21 Şubat 2024
Rus yetkililer ilk kez Rus vatandaşlarını yerel hedeflere karşı kötü amaçlı kod kullanmakla suçlayarak tutukladı. Şüphelilerden en az birinin ABD ve diğer ülkeler tarafından 2022’de Avustralya’nın en büyük özel sağlık sigorta şirketlerinden biri olan Medibank’a yönelik büyük çaplı hack saldırısıyla bağlantısı olduğu belirlendi, ancak bu, Rusya’nın tutuklanmalarında bir faktör gibi görünmüyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Rus siber güvenlik firması FACCT, Rus polisinin aralarında Aleksandr Nenadkevichite Ermakov’un da bulunduğu üç kişiyi, ülkenin ceza kanununun zararlı bilgisayar kodlarının oluşturulmasını, kullanılmasını veya dağıtılmasını yasaklayan 273. Maddesini ihlal etmek suçlamasıyla geçen ay tutukladığını söyledi.
Makine çevirisine göre firma, “saldırganların Shtazi-IT adlı, açılış sayfaları, mobil uygulamalar ve çevrimiçi mağazaların geliştirilmesi için hizmetler sunan yasal bir BT şirketi kisvesi altında çalıştığını” söyledi.
BSTE’nin ayrıca üç şüpheliyi, ilk olarak 2021’in başında ortaya çıkan ve Kasım 2021’de ivme kazanmadan önce SugarLocker, diğer adıyla Sugar veya Encoded01 adlı hizmet olarak fidye yazılımı operasyonunun üyesi olmakla suçladığı bildirildi. Birçok fidye yazılımı operasyonunun aksine. Siber güvenlik firması Malwarebytes, işletmeleri vurmaya odaklanan Şeker kullanan bağlı kuruluşların bireyleri ve belki de çok küçük işletmeleri hedef aldığını söyledi.
FACCT, Rusya İçişleri Bakanlığı Özel Teknik Olaylar Bürosu tarafından yürütülen devam eden soruşturmada kullanılan siber suç istihbaratına katkıda bulunduğunu söyledi. 2019 yılında genel merkezini Moskova’dan Singapur’a değiştiren siber güvenlik firması Group-IB, Nisan 2023’te Rusya’daki operasyonlarını şu anda FACCT olarak faaliyet gösteren yerel yönetime satarak tamamen elden çıkardı.
Medibank Hacking Şüphelisi
Tutuklama duyurusu kısmen dikkate değer çünkü Avustralya, ABD ve İngiltere geçen ay Ermakov’a (diğer adıyla GustaveDore, JimJones ve Blade Runner) çok sayıda hack saldırısı gerçekleştirdiği için yaptırım uyguladı. Bunlar arasında Avustralya Medibank’ına saldırmak ve ödemeyi reddettiği 10 milyon dolarlık gasp da yer alıyor. “Davanın kapandığını” ilan eden bilgisayar korsanları, daha sonra 9,7 milyon mevcut ve eski Medibank müşterisine ait çalıntı bilgileri yayınladı.
FACCT’ye göre Rus yetkililer tutuklanan üç şüphelinin adını vermedi ancak içlerinden birinin yukarıda belirtilen takma adları kullandığı belirtildi.
ABD’li yetkililer geçen ay, delillerin Ermakov ve Medibank’taki iddia edilen suç ortaklarının “Rusya destekli siber suç çetesi REvil ile” bağlantıları olduğunu gösterdiğini söyledi. Sodinokibi olarak da bilinen ve Maze operasyonunun küllerinden oluşan bu hizmet olarak fidye yazılımı grubu, Nisan 2019’dan 2021’in başına kadar öfkeyle doluyken, birden fazla emniyet teşkilatı Temmuz 2021’de onu kesin olarak çevrimdışına almıştı.
Siber güvenlik firması Intel 471 geçen ay, çalınan Medibank verilerinin daha önce REvil tarafından kontrol edilen bir blogda yayınlandığını bildirdi, ancak Ermakov ile fidye yazılımı grubu arasındaki “bağlantı o zamanlar net değildi”. Firma, “Ermakov’un grubunun aynı zamanda REvil’e bağlı bir kuruluş olması nedeniyle geriye dönüp baktığımızda bu mantıklı görünüyor” dedi.
Zamanlama açısından, REvil ölürken SugarLocker’ın operasyonlarını hızlandırdığı görülüyor.
Tesadüf olsun ya da olmasın, Rusya’nın tutuklama duyurusu, 11 Batılı emniyet teşkilatından oluşan bir koalisyonun, tutuklamalar ve iddianamelerle birlikte Rusça konuşan fidye yazılımı grubu LockBit’in altyapısının bozulduğunu duyurmasının hemen ardından geldi. Batılı kolluk kuvvetlerinin LockBit bağlı kuruluşlarına, bağlı kuruluşlara yönelik web panelinde bilinen bir güvenlik açığını düzeltmede başarısız olması nedeniyle fidye yazılımı grubunun altyapısına sızdıklarını söylediği bildirildi. Grubun liderlik kişisi LockBitSupp, kesintinin kendisinin düzeltmeyi başaramadığı bir PHP kusurundan kaynaklandığını doğruladı.
Müfettişler SugarLocker Sunucusundaki Kusurdan Yararlandı
Benzer bir hatanın SugarLocker işleminin tamamlanmasına yol açtığı görülüyor. FACCT, Ocak 2022’de araştırmacılarının, fidye yazılımı grubunun bağlı kuruluşlara yönelik kontrol paneli olan SugarPanel’de bir web sunucusu yapılandırma hatası tespit ettiğini ve bir Rus sunucusunda barındırılan altyapıya erişim sağladığını söyledi.
FACCT tarafından toplanan dijital adli tıp kanıtları, birden fazla SugarLocker operatörünün yalnızca bağlı kuruluşlar için fidye yazılımı geliştirmekle kalmayıp, “aynı zamanda özel yapım kötü amaçlı yazılımlar geliştirdiğini, çevrimiçi mağazalar için kimlik avı siteleri oluşturduğunu ve kullanıcı trafiğini Rusya ve BDT’de popüler olan dolandırıcılık planlarına yönlendirdiğini” öne sürdü. ” Bu, Rusya ve 11 komşu devletten oluşan Bağımsız Devletler Topluluğu anlamına geliyor.
Hukuk uzmanları, Rusya’nın bilgisayar yasalarının yalnızca Rusları etkileyen bilgisayar suçlarını yasakladığını söylüyor. Ülke ayrıca yurt dışında karşılaşabilecekleri suçlamalar ne olursa olsun vatandaşlarını asla iade etmiyor. Bu nedenle, yurt dışında bilgisayar suçlarıyla suçlanan Rusya merkezli kişiler genellikle cezasız kalıyor gibi görünüyor; bu da fidye yazılımı dehası olduğu iddia edilen birçok kişinin tutuklanmasının hâlâ zorlu olmasının nedenlerinden biri.
Şüphelilerin Ruslara veya diğer BDT ülkelerinin vatandaşlarına yardım etmesi veya doğrudan saldırması durumunda tüm bahisler geçersizdir (bkz.: Rusya’nın Siber Suç Kuralı Hatırlatması: Rusları Asla Hacklemeyin).
Buna rağmen Rus yetkililerin fidye yazılımı operatörlerini yakaladığı iddiaları nadir görülüyor. Ocak 2022’de Moskova’nın, kısmen ABD istihbaratına dayanarak, REvil’in orta düzey üyesi olduğu iddia edilen 14 kişiyi gözaltına aldığını bildirdiği bir istisna yaşandı. Grubun saldırıları arasında yazılım satıcısı Kaseya’ya yönelik bir tedarik zinciri saldırısının yanı sıra dünyanın en büyük et işleyicisi JBS’nin sekteye uğraması da vardı.
Güvenlik gözlemcileri, özellikle ülkenin Ukrayna sınırına asker yığdığı ve ülkeyi siber operasyonlarla darbelediği bir dönemde Moskova’nın motivasyonunu sorguladı. Başkan Vladimir Putin’in Şubat 2022’de topyekün bir istila emrini vermesinin ardından, Moskova’nın fidye yazılımıyla mücadele konusundaki iyi niyeti – gerçek ya da değil – dağılmış gibi görünüyor.