Dark web üzerinde faaliyet gösteren siber tehdit unsurlarının korsan mahkeme kurararak aralarındaki sorunları çözmeye çalıştıkları ortaya çıktı.
Birçok yeraltı forumu siber suçlular arasındaki anlaşmazlıklarda arabulucu işlevi görüyor.
Siber hırsızların da gururu olduğunu söylemek kulağa tuhaf geliyor olabilir. Ancak en azından bazıları yerine getirilmeyen vaatler, ödenmemiş alacaklar ve işe yaramayan zararlı yazılımlara ilişkin anlaşmazlıkları kendi aralarında çözmek için bir dizi yeraltı kuralına uymayı işin gereği olarak görüyor.
Tehdit istihbarat firması Analyst1’in araştırmacıları geçtiğimiz günlerde bazı büyük siber suç forumlarındaki yapılanmaları analiz etti. Buna göre en az ikisinin suçluların şikayette bulunabilecekleri ve birbirleriyle anlaşmazlıkları çözebilecekleri gayriresmi bir mahkeme sistemine sahip oldukları tespit edildi.
Analist1’in araştırması, dark webde faaliyet gösteren onlarca davanın günlük olarak bu mahkemelere taşındığını ve forum yönetimi üyelerinden anlaşmazlıkları çözmelerinin beklendiğini ortaya koydu.
Kolay Erişim
600’DEN FAZLA SUÇ BAŞLIĞI VAR
Analist1, bu mahkemelerde açılan davalara ilişkin olarak 600’den fazla konu başlığı sıraladı. Bu gibi durumlarda anlaşmazlıktaki miktarlar tipik olarak birkaç yüz ila birkaç bin dolar arasında değişmekle birlikte, bazıları ise daha yüksek miktarlar üzerindeki anlaşmazlıkları içeriyordu. Örneğin, Nisan 2021’de, Conti fidye yazılım grubuna bağlı bir operatör ve pentest ekibi hakkında, ABD merkezli bir okul sisteminin verilerinin hacklenmesi ve şifrelenmesini içeren bir anlaşmaya uymadığı için 2 milyon dolarlık dava açıldı.
Söz konusu dava, bir buçuk ay süren bir “yargılama” sürecinden sonra iki Conti iştirakinin lehine sonuçlandı. Analist1’in baş güvenlik stratejisti Jon DiMaggio’ya göre ancak diğer birçok durumda, anlaşmazlıklardan karlı çıkan davayı açan suçlular oluyor. DiMaggio, “Sistem, hakem kararını vermesine rağmen davacılar ödeme almadığında işe yaramaz.” diyor.
Kan davalılar artık dark web’de: Kimlik numarası ile hasım aranıyor!
Bu yılın başlarında, Huntress Labs’tan araştırmacılar da siber suçluların kendi davranış kurallarına ve bunları uygulamak için bir tür yeraltı mahkeme sistemine sahip olduklarını bildirmişti. Şirketin izlediği bir davada, kötü amaçlı yazılımla gerçekleştirdikleri saldırılar için ödeme yapmak isteyen bağlı kuruluşlardan Hizmet olarak fidye yazılımı grubu DarkSide operatörlerine karşı çok sayıda şikayette bulunmuştu.
ABD makamları ve diğerlerinin, ABD’nin Doğu Kıyısı boyunca geçici petrol kıtlığına neden olan Colonial Boru Hattına yapılan saldırının arkasındaki grup olarak tanımladıktan sonra Darkside’ın aniden faaliyetlerini durdurmasıyla şikayetler artmıştı. İddialar, şikayetlerin yapıldığı siber suçlar forumunun yöneticileri tarafından çözüldü ve bu tür olaylar için oluşturulan bir DarkSide havuz hesabından “davacılara” para ödendi.
Analyst1, tehdit aktörlerinin çeşitli nedenlerle birbirlerine karşı dava açabileceğini tespit etti. Şirket, daha önce başka bir tehdit aktörüne satıldığını ortaya çıkarmak üzere bir ara bulucudan gizliliği ihlal edilmiş bir ağa erişim satın aldığı düşünülen bir tehdit aktörüne işaret ediyor. Bu davadaki tehdit aktörü, olayın ayrıntılarını genellikle Mahkeme veya Arabuluculuk başlıklı özel bir alt forumda yazarak komisyoncuya karşı harekete geçiyor.
DAVACI DELİL SUNUYOR HAKEM İNCELİYOR
Burada “şikayetçi”, komisyoncunun takma adı, Jabber ve Telegram gibi hizmetlerle ilgili iletişim bilgilerine yönlendiren bir link ve iddia konusu ihlali içeren sohbet günlükleri, ekran görüntüleri gibi delilleri içeren ayrıntılar sunuyor. Sonrasında, delilleri incelemek ve iddia edilen ihlalcinin karşı iddialarını dinlemek için davaya bir hakem atanıyor. Hacker mahkemesi her bir forum üyesine davaya katılma hakkı veriyor, ancak nihai kararı sadece hakem veriyor.
Bir karar davacının lehine olduğunda, “davalı”nın zararı karşılamak ya da forumda gelecekteki herhangi bir faaliyetten menedilme tehlikesiyle karşı karşıya kalmak seçeneklerinden birini seçmesi için belli bir süre veriliyor. Genellikle, iyi organize olan siber suç operatörleri, aldıkları hizmet karşılığında ödeme yapacaklarının kanıtı olarak bir emanet hesaba bitcoin yatırıyorlar. Bir anlaşmazlık kendi lehlerine çözüldüğünde ise tehdit aktörlerine bu hesaptan ödeme yapılıyor.
DiMaggio, “Satıcı / hizmet operatörünün tahkimden geçtiği ve hakem kararını verdikten sonra ödeme yapmadığı görülürse, hiç kimsenin kendisinden gizliliği ihlal edilmiş bir hedefe erişim satın almayacağı veya kötü amaçlı yazılım satın almayacağı ön görülüyor.
Analyst1, siber suç forumlarının çoğunun fidye yazılımı ile ilgili tüm konuları, işlemleri ve arbitrajları yasakladığını tespit etti. Yasak, Colonial Pipeline ihlalinden kısa bir süre sonra uygulamaya kondu ve saldırının ardından fidye yazılımı operatörlerini hedef alan kolluk güçleri faaliyetlerine cevap olarak görünüyor.
Büyük yeraltı forumlarında faaliyet gösteren tehdit aktörlerinin genellikle itibarlarını korumak istedikleri için yeraltı mahkemesi kararlarına hızlı bir şekilde uyduğu biliniyor.
SUÇLULAR İTİBARLARINI KORUMAK İÇİN BÜYÜK ÇABA SARFEDİYOR
DiMaggio, “Suçlular bu forumlarda itibarlarını artırmak için çok çalışıyorlar” diyor. “Bu forumlar fidye yazılımı ortaklık alımının yanı sıra kötü amaçlı yazılım satışı, ihlaller, erişim istismarı hatta hack hizmetlerinin bile verildiği yerler olarak biliniyor.”
Güven kaybı ya da forumdan yasaklanmanın, siber suçlular üzerinde çok büyük olumsuz bir etkisi olabilir.” diyor. Analyst1, bazı aşırı durumlarda, tehdit aktörlerinin siber suçluların gerçek kimliklerini (fiziksel adres, sosyal medya profilleri ve telefon numaraları dahil) ortaya çıkardığını söyledi.
Huntress’in kıdemli güvenlik araştırmacısı John Hammond, hemen hemen her siber suç forumunun suçlular arasındaki anlaşmazlıkları ele almak için bir tür yargı sistemine veya “halk mahkemesine” sahip olduğunu söylüyor. “Bunlar, bilgisayar korsanlarının, hırsızların ve dolandırıcıların bir çeşit garip sportmenlik veya davranış kuralları” diyor.
Hammond, genellikle bir anlaşmazlığı ele alan hakemin, davacının sunduğu kanıtlara ve forumdaki daha geniş topluluğun genel görüşüne dayanarak karara karar verdiğini söylüyor ve ekliyor: “Suçlu bulunursa, sanıklar topluluktan men edilebiliyorlar, halka açık bir utanç duvarına yerleştirilebiliyorlar ve kötü itibarları diğer yeraltı forumlarında paylaşılabiliyor” diyor.