Siber suç, sahtekarlık yönetimi ve siber suç
Çeşitli takma adlar altında küresel olarak 90 kuruluşu hacklemekle suçlanan adam
Mathew J. Schwartz (Euroinfosec) •
27 Şubat 2025
Tayland polisi, 90’dan fazla küresel veri ihlaline bağlı şüpheli bir hacker gaspçisini tutukladı.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Adlandırılmayan şüpheli, sadece Asya-Pasifik bölgesinde 65 veri ihlali yapmakla suçlanıyor. Kraliyet Taylandlı polisi, Çarşamba günü 39 yaşındaki adamı tanımlamak ve gözaltına almak için Singapur Polis Gücü ile işbirliği yaptı.
Singapur Polis Gücü, yerel basına dağıtılan bir açıklamada, “Tehdit oyuncusunun kurbanların verilerini çalmadan önce kurban ağlarında güvenlik açıklarından yararlandığından şüpheleniliyor.” Dedi. Diyerek şöyle devam etti: “Tehdit oyuncusu, kurbanlar talep edilen fidye ödeyemediğinde çevrimiçi satış için çalınan verileri çevrimiçi olarak yayınladığından şüpheleniliyor.”
Polis, 300.000 dolardan fazla dizüstü bilgisayar, cep telefonu, lüks mal ve araç ele geçirdiklerini söyledi.
Şüpheli, Güneydoğu Asya’ya odaklanan “Altdos” da dahil olmak üzere çeşitli çevrimiçi kişiler altında faaliyet gösterdi. Diğer takma adlar arasında “Desorden”, “Ghosttr” ve “0MID16B” vardı ve dünyanın dört bir yanındaki saldırılara karıştı.
Soruşturmaya yardımcı olan Singapur merkezli siber güvenlik firması Grup-IB, şüpheliyi “2021’den beri Asya-Pasifik’teki en aktif siber suçlulardan biri olarak nitelendirdi ve karanlık ağda 13 teribaydan fazla kişisel veri sattı”.
Grup-IB, şüphelinin takma adları değiştirme kararının, çabalarını izlemeye zorlamak için belirgin bir girişim olduğunu söyledi. Firma, polisin “faaliyetlerini stiller yazma, desenler yayınlama ve hesap zaman çizelgeleri ile bağlayarak, dolandırıcılık ve çok rakiplik yasaklarına rağmen” tek şüpheliye bağlanmasına yardımcı olduğunu söyledi.
Altdos olarak, şüphelinin Singapur, Bangladeş ve diğer Asya-Pasifik ülkelerine odaklanmadan önce Tayland kuruluşlarını hedeflemeye odaklandığı iddia edildi. Singapur polisi, saldırganın bazen kurbanlara karşı “operasyonel hizmetleri bozmak ve fidye ödemelerini hatırlatmak için” dağıtılmış hizmet reddi saldırıları kullandığını söyledi.
Desorden olarak, saldırganın büyük bir Tayland otel zincirine, Singapur’daki daha fazla hedefe ve Acer’in Tayvan ve Hindistan’daki operasyonlarına saldırdığından şüpheleniliyor. Saldırgan düzenli olarak saldırıları ve baskı kurbanlarını ödemeye yönlendirmek için Raidforums siber suç forumunda çalınan veri örnekleri yayınladı.
Geçen yıl, GHOSTR takma adını kullanan bir saldırgan, siber suç forumu ihlallerinde Singapur merkezli telekom şirketi Absolute Telecom Pte ve Avustralya lojistik şirketi Victorian Freight uzmanlarından 846 gigabytes verilerinin 34 gigabaytından fazla veri çaldığını iddia etti. Saldırgan ayrıca, teröristler, potansiyel suçlular ve yüksek riskli bireyler hakkında bilgi içeren Londra Menkul Kıymetler Borsası Grubu tarafından tutulan büyük bir İngiliz tarama veritabanından 5,3 milyon kayıt çaldığını iddia etti.
Saldırgan, SQLMAP gibi araçlar kullanarak ve kötü güvenli uzak masaüstü protokol sunucularını hedefleyerek SQL enjeksiyon saldırıları yoluyla sistemlere uzaktan erişim kazandığını söyledi.
Saldırgan tipik olarak “uzlaşmış sunucuları kontrol etmek için Cobalt Strike’ın çatlamış bir versiyonunu, verileri şantaj için kiralanan bulut sunucularına ve doğrudan müşteri bildirimlerine, medya sızıntılarına ve düzenleyici raporlara baskı kurbanlarına kullandı.” Bazı durumlarda, saldırgan ayrıca kurbanlara ödeme için baskı eklemek için veritabanlarını şifreledi.
Grup-IB CEO’su Dmitry Volkov, “Bu dava, sadece teknik istismarlar yoluyla değil, zorlama, yıldırma ve itibar tehditleri yoluyla siber suçlu taktiklerin evrimini vurgulamaktadır.” Dedi.