Netarx CEO’su Sandy Kronenberg, bu net güvenlik görüşmesinde, siber suçlu grupların operasyonları ölçeklendirmek, yetenekleri korumak ve tespitten kaçınmak için kurumsal yapıları ve çalışan teşviklerini nasıl benimsediğini tartışıyor. Büyük saldırıların, iş benzeri paralelliklerin arkasındaki stratejik işbirliklerini ve bu gruplar daha karmaşık hale geldikçe bu değişimlerin etkilerini kapsar.
Siber suçlu grupları ana akım kurumsal yapıları ve çalışan teşviklerini benimsemeye motive eden şey ve bunun işe alım ve elde tutma üzerinde ne gibi etkileri var?
Gevşek, serbest hacker grupları önemli ihlallerle inanılmaz bir başarı elde etti, ancak öncelikler zaman içinde değişiyor. Bu gruplar genellikle politik olarak motive edilen bir ideoloji ile başlar, ancak bazı başarılardan sonra üyeler genellikle finansal kazanç ister, kırılmalara, şemalara veya isim değişikliklerine neden olurlar. Bu kırıklar veya şemalar, bazı büyük oyuncuların tehlikeye girmesine ve sonunda yetkililer tarafından avlanmasına yol açar.
2020’de sömürge boru hattı fidye yazılımı saldırısında kullanılan araçları oluşturmaktan sorumlu olan Darkside’yi düşünün. Grup, küresel olarak kolluk kuvvetlerinden yoğun baskı ile karşı karşıya kaldı.
2022’de Rusya’nın FSB’si, ABD’li yetkililerin taleplerinin ardından Revil Fidye Yazılım Grubu’nun birden fazla üyesini gözaltına aldıklarını açıkladı. Bazı raporlar, bu tutuklamaların Darkside operasyonlarına bağlı bireyleri içerebileceğini göstermiştir. Bunu takiben ABD Adalet Bakanlığı, Revil’e bağlı olduğu iddia edilen ancak bazı istihbarat kaynaklarına göre Darkside operasyonlarına bağlı olduğu iddia edilen bir Ukrayna vatandaşını tutukladı.
Alternatif olarak, kurumsal yapıları olan gruplar daha uzun vadede daha etkili olabilir. Örnek olarak: Conti, net bir organizasyon yapısına sahip olan Rusça konuşan büyük bir Ransomware (RAAS) operasyonudur. Bu organizasyonel yapı, ortalama sürekli tazminatın üzerinde verilen sadık bilgisayar korsanlarının ve herhangi bir fidye yüzdesini büyütmesine izin verdi. Ayrıca, ekibine geleneksel şirketlerdeki çalışanlara benzer şekilde araçlara, eğitim, tatil ve hasta zamanı ve sağlık yararlarına erişim verildiği bildirilmektedir. En önemlisi, operasyonel güvenlik önlemleri yoluyla kolluk kuvvetlerinden korunmak teklif edilir.
Siber suçlu gruplar, siber saldırıların başarısını ve etkisini arttırmak için stratejik olarak birbirleriyle nasıl işbirliği yaparlar? Bizi böyle bir işbirliği örneği ile gezebilir misiniz?
Belirli faaliyetlerde uzmanlaşmış gruplar arasında çapraz işbirliği gördük. Örneğin, bir grup sosyal mühendislik konusunda uzmanlaşırken, diğeri veritabanı ihlalleri veren açık sunucuları ortaya çıkarmak için kötü amaçlı yazılım ve botnet ölçeklendirmeye odaklanır. Buna karşılık, fidye yazılımı saldırılarına odaklananlara erişim satabilirler.
Son zamanlarda, ORG grafikleri oluşturmak için genel kayıtları kazıan AL/ML geliştiricileri ile gayrimenkul varlık listeleri arasında işbirliği gördük. Bu veriler daha sonra, gerçek faturalara benzeyen e -postalarda PDF eklerini doldurmak için durumsal ve konum verileri ile toplu olarak kullanılır, yöneticilerin adlarının, iş parçacığının bir parçası olarak sahte önceki e -posta yanıtlarında isimleri vardır. Bu aldatıcı sahte daha sonra muhasebede uygun kişilere gönderilir.
Geleneksel işletmelere benzer şekilde faaliyet gösteren siber suçlu kuruluşlarına örnekler verebilir misiniz? Gözlemlediğiniz bazı şaşırtıcı paralellikler nelerdir?
Önceki örnekte, muhasebe personeli W9’ları almak veya çeşitli soruları takip etmek için ulaştığında, bilgisayar korsanları bireylerin telefonlara cevap verdikleri ve gerçek şirketler gibi davranmak için destekleyici bilgilere sahip oldukları tam kurumsal cepheler oluşturdular. Bu operasyonlar ölçekte çalışır ve Kongre’nin Kurumsal Şeffaflık Yasası’nı (CTA) onaylamasının nedenlerinden biridir. Bununla birlikte, en iyi niyetlere rağmen, Yasa bu tür siber güvenlik saldırılarını durdurmak için çok az şey yapıyor, çünkü ceza işletmeleri CTA’nın gerektirdiği açıklamaları kolayca önleyecek.
Siber suçluların organize ticari varlıklar olarak tasvir edilmesi, motivasyonlarını anladığımızı ve gelecekteki hedeflerini veya yöntemlerini tahmin ettiğimizi değiştiriyor mu?
Evet, bilgisayar korsanlarındaki son gelişme, daha büyük gruplara dönüşen gelişme, risklerin daha da yükselmesine izin verdi. Bybit’i hedefleyerek ve Ethereum’da 1,5 milyar dolar çalarak ve daha sonra 300 milyon $ ‘ı kurtarılamaz fonlara dönüştürerek şimdiye kadarki en büyük soygunlardan birini çıkaran Lazarus Grubuna bakın. Bu grup büyük olasılıkla devlet destekli ve Kuzey Kore askeri programlarını finanse ediyor. Bu nedenle, Kuzey Kore ulusal çıkarlarını anlamak gelecekteki hedeflere işaret edecektir.
Saldırılarının artan ölçeği muhtemelen Kuzey Kore tarafından tahsis edilen daha fazla kaynağı, daha sofistike takım ve yetenekleri, önceki operasyonlardan öğrenilen dersleri ve siber operasyonlarda eğitilmiş artan sayıda personeli yansıtmaktadır.
Siber suçlu örgütlerin (saçak çeteleri yerine organize varlıklar olarak) bu yeniden çerçevelenmesi ana akım haline gelirse, siber güvenlik taktikleri, politika yapımı veya kolluk stratejilerinde hangi değişimleri öngörüyorsunuz?
Birçok hükümet, sosyal mühendislik saldırılarını geliştiren AI araçlarından yararlanan kurumsal benzeri hacker organizasyonlarından çok yönlü saldırıların artan hızını ele almak için donanımlıdır. Gelişmelerin hızı artık her zamankinden daha hızlı gerçekleşiyor ve yasa koyucular karmaşıklığı anlamıyor. Örneğin, yasa koyucular, önerilen AI Sorumluluk Yasası veya AI Sorumluluk Direktifi (AILD) adı verilen Avrupa versiyonu gibi, quantum sonrası güvenlik ve etkili AI mevzuatı ihtiyacını hafife almaktadır.
Siber güvenlik paydaşlarının AI’yı yenmek için kullanan yeni araçları kullanmaları gerekiyor. Bu araçlar artık mevcuttur ve log dosyaları adli bir iz oluşturmaya yardımcı olmak için kolluk kuvvetlerine verilebilir. Artık AI-arttırılmış sosyal mühendislik saldırılarının açıkça tanınmasını sağlamak için çok sayıda sinyali toplayan ortak farkındalık, şirketler ve kurumsal iletişim sağlayabiliriz. Şirketlerin bunları kullanmaya başlaması gerekiyor.