19 ülkenin kolluk kuvvetleri, dünyanın en büyük hizmet olarak kimlik avı platformlarından biri olan LabHost’u ciddi şekilde sekteye uğrattı. Europol tarafından uluslararası düzeyde koordine edilen bu bir yıl süren operasyon, LabHost’un altyapısının tehlikeye atılmasıyla sonuçlandı.
Uluslararası soruşturma, hizmet olarak kimlik avı platformu LabHost’u sekteye uğratıyor
14 Nisan Pazar gününden 17 Nisan Çarşamba gününe kadar dünya çapında toplam 70 adreste arama yapıldı ve 37 şüpheli tutuklandı. Bu, hizmetin orijinal geliştiricisi de dahil olmak üzere, sitenin işleyişiyle bağlantılı olarak Birleşik Krallık’ta 4 kişinin tutuklanmasını da içermektedir.
Daha önce açık web üzerinde mevcut olan LabHost platformu kapatıldı.
Bu uluslararası soruşturma, İngiltere’nin Londra Metropolitan Polisi tarafından, Europol’ün Avrupa Siber Suç Merkezi (EC3) ve merkezde barındırılan Ortak Siber Suç Eylem Görev Gücü’nün (J-CAT) desteğiyle yürütüldü.
Europol, Eylül 2023’ten bu yana bu davayı destekliyor. Ulusal soruşturmacıların kendi ülkelerindeki kullanıcılar ve mağdurlar hakkında istihbarat oluşturabilmesi ve geliştirebilmesi için genel merkezinde ilgili tüm ülkelerin katılımıyla bir operasyonel sprint düzenlendi. Eylem aşamasında bir Europol uzmanı, uygulama eylemleriyle Hollanda Ulusal Polisine destek verdi.
LabHost: Siber suçluların kimlik avı kitleri ve etkileşim araçları için tek adresli platformu
Hizmet olarak siber suç, tehdit aktörlerinin saldırılarını gerçekleştirmeleri için diğer siber suçlulara araç, uzmanlık veya hizmet kiraladığı veya sattığı suç ortamında hızla büyüyen bir iş modeli haline geldi. Bu model fidye yazılımı gruplarında iyi bir şekilde oluşturulmuş olsa da, kimlik avı saldırıları gibi siber suçların diğer yönlerinde de benimsenmiştir.
LabHost dünya çapındaki siber suçlular için önemli bir araç haline gelmişti. Aylık abonelik karşılığında platform, kimlik avı kitleri, sayfa barındırma altyapısı, mağdurlarla doğrudan etkileşime geçmek için etkileşimli işlevsellik ve kampanyaya genel bakış hizmetleri sağladı.
Soruşturma, dünya çapında yaklaşık 10.000 kullanıcısı olan LabHost’a bağlı en az 40.000 kimlik avı alan adını ortaya çıkardı.
Aylık ücreti ortalama 249 dolar olan LabHost, özelleştirilebilir ve birkaç tıklamayla devreye alınabilecek bir dizi yasa dışı hizmet sunacaktı. Aboneliğe bağlı olarak suçlulara, diğerlerinin yanı sıra finansal kuruluşlar, posta dağıtım hizmetleri ve telekomünikasyon hizmetleri sağlayıcılarından giderek artan bir hedef kapsamı sağlandı. Labhost, kullanıcılarının aralarından seçim yapabileceği ikna edici kimlik avı sayfaları sunan 170’in üzerinde sahte web sitesinden oluşan bir menü sundu.
LabHost’u özellikle yıkıcı yapan şey, LabRat adlı entegre kampanya yönetimi aracıydı. Bu özellik, saldırıları gerçekleştiren siber suçluların bu saldırıları gerçek zamanlı olarak izlemesine ve kontrol etmesine olanak tanıdı. LabRat, iki faktörlü kimlik doğrulama kodlarını ve kimlik bilgilerini yakalayarak suçluların gelişmiş güvenlik önlemlerini atlamasına olanak tanıyacak şekilde tasarlandı.
LabHost’un dost canlısı görseli yasal riskleri maskeliyor
LabHost gibi platformlar, siber suçları vasıfsız bilgisayar korsanları için daha kolay erişilebilir hale getirerek tehdit aktörleri havuzunu önemli ölçüde genişletiyor.
Ancak hizmet ne kadar kullanıcı dostu olursa olsun, kötü niyetli kullanımı yasa dışı bir faaliyet teşkil ediyor ve cezaları ağır olabiliyor.
Soruşturma boyunca toplanan büyük miktarda veri şu anda kolluk kuvvetlerinin elinde. Bu veriler, bu kimlik avı platformunun kötü niyetli kullanıcılarını hedeflemeye odaklanan, devam eden uluslararası operasyonel faaliyetleri desteklemek için kullanılacaktır.