Yetkililer, Asya-Pasifik bölgesindeki 65 kuruluşta 90’dan fazla veri ihlali ve 25 ek küresel hedeften sorumlu üretken bir hacker tutukladı.
Altdos, Desorden, Ghosttr ve 0MID16B takma adları altında çalışan siber suçlu, 2020 ve Şubat 2025 yılları arasında 13 terabayt hassas veriyi ortaya çıkardı ve sağlık hizmetlerinden finansmana kadar değişen endüstrileri hedef aldı.
Operasyon, teknik gelişmişliği psikolojik zorlama ile harmanlayan dijital gasp taktikleriyle mücadelede kritik bir zafer ifade ediyor.
Siber güvenlik firması Grup-IB, Kraliyet Taylandlı polisin ve Singapur polis gücünün bu ortak operasyonuna katkıda bulundu. Siber suçlu ilk olarak 2020’de, öncelikle Tayland kuruluşlarını hedefleyen Altdos takma adı altında ortaya çıktı.
İlk kampanyaları, savunmasız web uygulamalarından yararlanmak için SQLMAP gibi araçlar kullanarak SQL enjeksiyon saldırılarına odaklandı ve kişisel tanımlanabilir bilgiler içeren veritabanlarını çıkardı (PII).
Mağdurlar çift yönlü bir yaklaşımla zorla çıkarıldı: veri sızıntılarını bastırmak için ödeme talepleri, medya kuruluşlarını veya veri koruma otoritelerini bilgilendirme tehditleri ile birleşti-itibar hasarını en üst düzeye çıkarmak için tasarlanmış bir taktik.
2022 yılına gelindiğinde, yöntemleri uzak masaüstü protokolü (RDP) sunucu ihlallerini içerecek şekilde arttı, ağlara sızmak için zayıf kimlik bilgilerini veya eşleştirilmemiş güvenlik açıklarından yararlandı.
İçeri girdikten sonra, komut ve kontrol (C2) kanallarını oluşturmak için CobaltStrike penetrasyon testi araç setinin-özellikle değiştirilmiş bir işaret yükü-çatlak bir versiyonunu kullandı.
Bununla birlikte, gelişmiş kalıcı tehditlerin (APT’ler) aksine, saldırgan yanal hareket üzerinde hızlı veri eksfiltrasyonuna öncelik verdi ve çalınan veri kümelerini daha sonraki para kazanma için kiralanan bulut depolama sunucularına (örn. AWS S3 kovaları) aktardı.
Karanlık ağın para kazanması ve teknik kaçırma
Grup-IB’nin tehdit istihbarat ekibi, saldırganın takma adlardaki operasyonel değişimlerini kaydetti.
2023 yılında çok yüksek ve hileli işlemler için karanlık web forumlarından yasaklandıktan sonra, Desorden kişiliğini benimsedi ve hedeflerini Singapur, Malezya ve Hintli işletmelere genişletti.
Bu takma ada göre, verileri organizasyonlara fidye ödemek için psikolojik bir taktikten ödün veren kişilere kişiselleştirilmiş e -postalar ve telgraf mesajları göndererek doğrudan müşteri bildirimleri getirdi.
2024 yılına kadar Ghosttr ve 0MID16B olarak faaliyet gösteren hacker, para kazanma stratejisini çeşitlendirdi. Özel gasp yerine, raidforumlar ve ihlaller gibi forumlardaki veri kümelerini açık artırma, benzersizliğe ve bölgesel etkiye dayalı fiyatlandırma sızıntıları.
Örneğin, 12 bitcoin (o zaman ~ 480.000 $) için satılan 2.3 milyon hasta kaydı içeren bir Tayland Sağlık Veritabanı, Singapurlu bir e-ticaret ihlali 8 bitcoin getirdi.
Analistler, bu satışları tutarlı baz 64 kodlu dosya adları ve forum sonrası şablonlar da dahil olmak üzere stilistik ayırt edici özelliklerle ilişkilendirdi.
Saldırıların atfedilmesi, siber suçlu operasyonel güvenlik (OPSEC) önlemleri nedeniyle zorlayıcı oldu. Sık sık VPN’leri (örneğin, Mullvad, NordvPN) döndürdü, işlemler için kripto para birimi bardak kullandı ve takma adlar arasında bölümlere ayrılmış faaliyetler kullandı.
Bununla birlikte, Group-IB’nin Tayland ve Singapur’daki dijital suç direniş merkezleri (DCRC’ler), sızdırılmış veri başlıklarında tekrarlanan yazım hataları (örneğin, “customerID” yerine “custmerid”) ve sinyal gibi şifrelenmiş alternatifler üzerinde telgraf tercihi gibi davranış kalıplarını tanımladı.
Kurban ihlali bildirimleri ile çapraz referans forum zaman damgaları bağlantıyı daha da sağlamlaştırdı. Hacker’ın daha sonraki kampanyaları, New York merkezli bir sigorta firması ve London emlak yatırım platformu da dahil olmak üzere İngiltere, BAE ve ABD’deki hedeflenen kuruluşlar.
Bu coğrafi değişim, Grup-IB’nin 25 Şubat 2025’te koordineli bir baskınla sonuçlanan Interpol ve FBI ile istihbarat paylaşmasını sağladı.
Taylandlı yetkililer, Rolex Daytona ve yasadışı gelirlerle satın alınan bir Lamborghini Huracán da dahil olmak üzere 12 şifreli dizüstü bilgisayar, 27 dış sabit disk ve 2.1 milyon dolar değerinde lüks varlık ele geçirdi.
İleride, kuruluşlardan RDP sunucuları için yama yönetimine öncelik vermeleri, SQLI denemelerini engellemek ve bulut depolama izinlerinin düzenli denetimlerini yapmak için Web Uygulama Güvenlik Duvarları (WAF) uygulamaları istenir.
Grup-IB CEO’su Dmitry Volkov’un “Siber suçlular acımasızca yenilik yapıyor; Savunmalarımız daha hızlı gelişmeli. ”
Hacker şimdi Tayland’ın Bilgisayar Suçları Yasası ve Singapur’un Siber Güvenlik Yasası 2018 kapsamında suçlamalarla karşı karşıya. Dava, Dijital Gaspçıları sorumlu tutmak için emsal teşkil ediyor-Asya-Pasifik’in 1.2 trilyon dolarlık dijital ekonomisini korumak için önemli bir adım.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free