26 yaşındaki Ukraynalı bir adam, temel geliştirici olarak hareket ettiği suçlamasıyla Hollanda’dan ABD’ye iade edilmeyi bekliyor. Rakun, ödeme yapan müşterilerin milyonlarca siber suç kurbanının parolalarını ve finansal verilerini çalmasına yardımcı olan popüler bir “hizmet olarak kötü amaçlı yazılım” teklifi. KrebsOnSecurity, sanığın Rus işgalini takip eden haftalarda Ukrayna’da zorunlu askerlik hizmetinden kaçtıktan sonra Mart 2022’de yakalandığını öğrendi.
Ukrayna uyruklu Mark Sokolovsky, burada 18 Mart’ta Ukrayna’da zorunlu askerlik hizmetinden kaçan bir Porsche Cayenne’de görüldü. Bu görüntü Polonya sınır yetkilileri tarafından Sokolovsky’nin aracı Almanya’ya girerken çekildi. Resim: KrebsOnSecurity.com.
bu Teksas Batı Bölgesi ABD Başsavcısı geçen hafta bir iddianame yayınladı Mark Sokolvsky 2019’dan itibaren birkaç Rusça siber suç forumunda pazarlanan Raccoon Infostealer işinin ana geliştiricisi olarak.
Raccoon esasen Web tabanlı bir kontrol paneliydi; burada müşteriler – ayda 200 dolara – Raccoon Infostealer kötü amaçlı yazılımının en son sürümünü edinebilir ve virüslü sistemlerle gerçek zamanlı olarak etkileşime girebilir. Güvenlik uzmanları, Raccoon kötü amaçlı yazılımı tarafından çalınan parolaların ve diğer verilerin genellikle fidye yazılımı dağıtan gruplara yeniden satıldığını söylüyor.
İtalya ve Hollanda’daki müfettişlerle birlikte çalışan ABD’li yetkililer, müşterilerin botnet’lerini yönetmelerine yardımcı olmak için Raccoon tarafından kullanılan sunucunun bir kopyasına el koydu. Göre ABD Adalet BakanlığıFBI ajanları, Raccoon’un yardımıyla çalınan 50 milyondan fazla benzersiz kimlik bilgisi ve kimlik formu (e-posta adresleri, banka hesapları, kripto para adresleri, kredi kartı numaraları vb.) belirledi.
Müşterilerin virüslü IP ve çalınan çerezler, cüzdanlar, alan adları ve şifrelerle arama yapabileceği Raccoon v. 1 web paneli.
Mühürsüz iddianame (PDF), müfettişlerin Sokolovsky’yi Raccoon’a nasıl bağladığını çok fazla araştırmıyor, ancak soruşturmaya yakın iki kaynak, davayı kamuya açık bir şekilde tartışmaya yetkili olmadıkları için anonimlik koşuluyla bu süreç hakkında daha fazla bilgi paylaştı.
Bu kaynaklara göre, ABD makamları, Raccoon geliştiricisinin suç forumlarına yaptığı gönderilerde erken saatlerde yaptığı bir operasyonel güvenlik hatasına odaklandı ve Raccoon geliştiricisi (“Photix”) tarafından kullanılan bir siber suç forumu kimliği için bir Gmail hesabını bir başkasına bağladı. Sokolovsky’ye ait Apple iCloud hesabı. Örneğin, iddianame, müfettişlerin Sokolovsky’nin iCloud hesabından mahkeme celbi verdiği ve Sokolovsky’nin birkaç deste nakit parayla poz verdiğini gösteren bir fotoğrafı içeriyor.
Mark Sokolovsky’nin iCloud hesabından çekilmiş bir özçekim. Resim: USDOJ.
Rusya Devlet Başkanı Vladimir Putin, Şubat 2022’nin sonlarında Ukrayna’yı işgal ettiğinde, Sokolovsky, Ukrayna’nın kuzeydoğusunda, yakında Rus güçlerinin ağır topçu bombardımanına maruz kalacak bir şehir olan Kharkiv’de yaşıyordu. Sokolovsky’nin iCloud hesabını izleyen yetkililer, onun Kharkiv ile Ukrayna’nın başkenti Kiev arasında mekik dokumasını haftalarca izlemişti, ancak 18 Mart 2022’de telefonu aniden Polonya’da göründü.
Müfettişler Polonyalı sınır muhafızlarından Sokolovsky’nin Ukrayna’dan bir Porsche Cayenne ile genç sarışın bir kadınla birlikte annesini ve diğer ailesini geride bırakarak kaçtığını öğrendi. Bu gönderinin üst kısmındaki resim, Polonya sınır güvenliği yetkilileri tarafından ABD’li müfettişlerle paylaşıldı ve Sokolovsky’nin 18 Mart’ta Polonya’dan Almanya’ya ayrıldığını gösteriyor.
O zamanlar, askeri yaştaki tüm güçlü erkeklerin Rus işgalini püskürtmeye yardımcı olmak için hizmete rapor vermesi gerekiyordu ve Sokolovsky’nin Ukrayna’yı izinsiz terk etmesi yasadışı olurdu. Ancak her iki kaynak da müfettişlerin Sokolovsky’nin sınır muhafızlarına geçmelerine izin vermeleri için rüşvet verdiğine inandığını söyledi.
Yetkililer kısa süre sonra Sokolvsky’nin telefonunu Almanya üzerinden ve sonunda Hollanda’ya kadar takip etti ve kadın arkadaşı, Instagram hesabında yolculuğun her adımını yararlı bir şekilde belgeledi. İşte Amsterdam’ın Dam Meydanı’na vardıklarında kucaklaşan ikilinin paylaştığı bir fotoğraf:
Hollanda’daki yetkililer 20 Mart’ta Sokolovsky’yi tutukladı ve Raccoon Infostealer altyapısının kontrolünü hızla ele geçirdi. Bu arada, 25 Mart’ta siber suç forumlarında daha önce Raccoon Stealer kötü amaçlı yazılımının reklamını yapan hesaplar, hizmetin kapatıldığını duyurdu. Müşterilere verilen veda mesajı, tutuklama hakkında hiçbir şey söylemedi ve bunun yerine, hizmet olarak kötü amaçlı yazılım projesinden sorumlu çekirdek üyelerin Rus işgalinde yok olduğunu ima etti.
Ekip 25 Mart’ta “Maalesef ‘özel operasyon’ nedeniyle Raccoon Stealer projemizi kapatmak zorunda kalacağız” dedi. “Ürünün kritik bileşenlerinden sorumlu olan ekip üyelerimiz artık aramızda değil. Bu deneyim ve zaman için teşekkürler, her gün için, ne yazık ki her şey, er ya da geç DÜNYANIN sonu herkesin başına gelir.”
Sokolovsky’nin ABD’ye iadesi kabul edildi, ancak bu karara itiraz ediyor. Bilgisayar sahtekarlığı yapmak için bir komployla karşı karşıyadır; elektronik dolandırıcılık yapmak için bir komplo; bir adet kara para aklama komplosu ve bir adet ağırlaştırılmış kimlik hırsızlığı.
Kaynaklar KrebsOnSecurity’ye Sokolovsky’nin Tx. merkezli avukat Houston ile danışmanlık yaptığını söylüyor F. Andrean Reynaltemsil eden aynı avukat Alex Jones Jones’a ve komplo teorisi web sitesine karşı son zamanlarda açılan iftira davasında bilgi savaşları. Reynal, Jones’un kendisinin “Perry Mason” olarak adlandırdığı duruşma anından sorumluydu; burada davacının avukatı, Reynal’ın kendilerine yanlışlıkla Jones’un cep telefonunun tam bir dijital kopyasını verdiğini açıkladı. Sayın Reynal, yorum taleplerine cevap vermedi.
Sokolovsky suçlu bulunursa, telefon dolandırıcılığı ve kara para aklama suçları için maksimum 20 yıl, bilgisayar dolandırıcılığı suçu işlemek için komplo kurmak için beş yıl ve ağırlaştırılmış kimlik hırsızlığı suçu için zorunlu ardışık iki yıl hapis cezasıyla karşı karşıya kalacak.
Adalet Bakanlığı, ziyaretçilerin e-posta adreslerinin Raccoon Stealer hizmeti tarafından toplanan verilerde görünüp görünmediğini kontrol etmelerini sağlayan bir web sitesi – raccoon.ic3.gov – kurdu.
