Onlar hack dünyasının yeni çocukları, “gasp ve yıkıma” yönelik saldırıları gigabaytlarca hassas veriyi yerinden oynatıyor.
Liderlerinin çocuk yaşta olduğu söyleniyor. Saldırı motivasyonlarına dair çeşitli spekülasyonlar var. Haklarında henüz net bilgiler yok ama alışılmışın dışında tekniklere sahip bir siber suç çetesi olduğu kesin. İşte 10 maddede Lapsus$’u benzer siber çetelerden ayıran özellikleri:
1. HEDEFLERİNDE BÜYÜK ŞİRKETLER VAR
Çetenin hedefleri oldukça büyük. Microsoft, Samsung, Nvidia, Ubisoft ve en son kimlik doğrulama şirketi Okta, Lapsus$’un oldukça aşağılayıcı siber saldırıların hedefi oldu. Saldırıların neredeyse tamamında, Lapsus$, şirketlerin ağlarına girdi ve daha sonra tescilli yazılımın dijital DNA’sı sayılan kaynak kod parçalarını çaldı. Daha sonra, çete neredeyse hep internet üzerinden kodu sızdırdı, kurbanı zor durumda bıraktı ve şirket sırlarını ortalığa döktü.
2. DÜŞÜNÜLENİN AKSİNE AMATÖRLERDEN OLUŞUYOR
Grubun hackerlık zekâsı onu milyarlarca dolarlık şirketlerin en derindeki mahrem alanlarına götürse de bazı güvenlik araştırmacıları Lapsus$’un nihayetinde amatörlerden oluştuğunu ifade ediyor. Gerçekten de grup üyelerinin bir kısmı gerçek anlamda çocuk.
İngiliz yetkililer çeteyle bağlantılı olduğu söylenen ve yaşları 16 ile 21 arasında değişen yedi kişinin tutuklandığını açıkladılar. Bu arada çetenin elebaşısının İngiltere’nin Oxford kentinden 16 yaşında bir çocuk olduğu biliniyor. “White” takma adını kullanan bu bilgisayar korsanı, son zamanlarda kimliğini rakip bir siber suç grubu tarafından internete sızdırmış gibi görünüyor.
3. KENDİLERİNİ GİZLEMİYOR TERSİNE DEŞİFRE EDİYORLAR
“Radarın altında kalan çoğu grubun aksine Lapsus$, izlerini örtüyor gibi görünmüyor. Saldırılarını sosyal medyaya duyurmaya ya da hedef kuruluşların çalışanlarından kimlik bilgileri satın alma niyetlerinin reklamını yapmaya kadar gidiyorlar. Ayrıca Microsoft’un izlediği diğer tehdit aktörleri tarafından daha az kullanılan çeşitli taktikler kullanıyorlar.
4. PARADAN ÇOK KAOS MOTİVASYONU İLE HAREKET EDİYORLAR
Silikon Vadisi’nin en büyük şirketlerinden bazılarını hacklemeye devam etmeden önce, LAPSUS $, 2022 yılının ocak ayını, para kazanmaktan ziyade anarşi yoluyla eğlenme yolunu seçerek geçirdi. Örneğin, yılın ilk hacklerinden birinde çete, Brezilyalı bir araba kiralama şirketine saldırdı ve işletmenin ana sayfasını birkaç saat boyunca bir porno web sitesine yönlendirdi. Başka bir olay sırasında çete, Portekizli bir gazetenin doğrulanmış Twitter hesabını ele geçirmiş ve şu şekilde tweet atmıştı: “LAPSUS $ RESMEN PORTEKİZ’İN YENİ BAŞKANI.”
Lapsus$ hacker grubunun genç yaşlardaki 7 üyesi İngiltere’de tutuklandı
5. RANSOMWARE ÇETESİ GİBİ GÖRÜNSE DE FİDYE YAZILIMI KULLANMIYORLAR
Lapsus$ ile ilgili yayınlanan bir raporda grup kısmen çalınan verileri sızdırma alışkanlığı nedeniyle “fidye yazılımı çetesi” olarak sınıflandırılmaya çalışıldı. Yüzeysel olarak bu değerlendirme doğru olabilir ancak Lapsus$ aslında fidye yazılımı kullanmadı. Çete, kötü amaçlı yazılımlardan kaçınarak tamamen gaspçı bir modelle faaliyet gösteriyor.
Kurbanların verilerini şifrelemek yerine, onları çalıyor ve fidye ödenmezse onu sızdırmakla tehdit ediyor. Genel olarak, çoğu fidye yazılımı çetesi hırsızlık ve gasp için oldukça organize ve sofistike dijital makineler kullanıyorlar.
Lapsus$ ise aksine işlevsiz bir start-up gibi çalışıyor. Bazı durumlarda, fidye istemek için gerekli olan disiplinden dahi yoksunmuş gibi hareket etti. Bunun yerine bir finansal talebi atlamayı ve saldırıya uğramış verileri sızdırmayı tercih ediyor. Microsoft güvenlik araştırmacıları, bu tarzı grubun kaotik çalışma tarzını uygun bir şekilde tanımlayan bir ifade olan “safi gasp ve imha modeli” olarak adlandırıyor.
6. REDLINE STRATEJİSİNDEN YARARLANIYORLAR
Lapsus$’un açıkça başarılı olduğu bir alan izinsiz giriş. Ancak ağlara ve sistemlere girmek için mutlaka yenilikçi teknikler kullanması gerekmiyor. Grup, “Redline” adı verilen parola hırsızı kötü amaçlı yazılımın kullanımı da dahil olmak üzere bir dizi meşhur stratejiden yararlandı.
Redline, çeşitli sosyal mühendislik hileleri ve darknet forumlarında hesap kimlik bilgilerinin ve oturum tanımlayıcılarının satın alınmasını kapsayan bir kötü amaçlı yazılım. Aynı zamanda, çete sık sık hedef şirketlerin kendi çalışanlarından bilgi sızdırmaya yönelik girişimlerde bulundu. Bir olayda, grubun iddia edilen lideri, Verizon ve AT&T çalışanlarına, “içerideki işleri” yürütmek için haftada 20 bin dolar teklif etti.”
7. SALDIRILARIN ETKİ ALANI OLDUKÇA GENİŞ
Lapsus$’un çeşitli hedef belirleme yöntemleri oldukça başarılı. Örneğin Microsoft’un hacklenmesinin, arama motoru Bing’in kaynak kodunun yüzde 90’ının yanı sıra Bing Maps ve sanal asistan Cortana’nın kaynak kodunun neredeyse yarısı da dahil olmak üzere çok sayıda veriyi tehlikeye attığına inanılıyor. Bu arada çetenin Okta’ya saldırmasının, kimlik doğrulama firmasının dışındaki şirketler için de etkileri oldu.
Okta, güvenlik hizmetlerini binlerce başka şirkete sattığı için, sistemlerinin açığa çıkmasının müşterileri için de güvenlik etkileri bulunuyor. Okta, müşterilerinin yaklaşık 366’sının verilerinin son Lapsus$ saldırısından potansiyel olarak etkilendiğini itiraf etti.
8. TELEGRAM VE SOSYAL MEDYAYI AKTİF OLARAK KULLANIYORLAR
Çetenin pervasız olarak değerlendirilebilecek eğilimlerinin bir başka göstergesi de çoğu siber suç çetesinde sık rastlanmayan yarı şifreli sohbet uygulaması Telegram’ı kullanıyor olmaları. Fdiye yazılım hackerlarının çoğu hacklenen malzemeyi sergilemek ve kurbanlarını para vermezse daha fazlasını yayınlamakla tehdit ettikleri kendilerine ait “sızıntı siteleri” kuruyor.
Siteler genellikle seyrek ve kontrollü ortamlardır. Lapsus$, ise Telegram ve diğer sosyal medya hesaplarını bir tür megafon olarak kullanıyor. Bu da halkla daha yüksek sesle ve daha etkileşimli bir ilişki geliştirmesine izin veren bir strateji.
Lapsus$ fidye yazılım çetesi ‘içeriden’ bilgi verebilecek köstebekler arıyor
Çetenin şu anda yaklaşık 48 bin Telegram takipçisi bulunuyor ve izleyicilerini sızıntılar hakkında yorum yapmaya, üyelerle e-posta yoluyla yazışmaya ve genellikle bilgisayar korsanlığı maceralarını takip etmeye aktif olarak teşvik ediyor. Sosyal medyada aktif olmaları, Lapsus$ ‘ın potansiyel olarak paradan daha çok dikkat çekmekten hoşlandığını ortaya koyuyor.
9. DİSİPLİNDEN YOKSUNLAR AMA BAŞARILI SALDIRILARA İMZA ATIYORLAR
Gizmodo’ya açıklama yapan siber güvenlik analistleri, başarılı saldırı tekniklerine rağmen, Lapsus$ ‘un düzen ve disiplin konusunda yetersiz olduğu konusunda hemfikir. Yani, grup bir suç organizasyonunu yönetmekten ziyade hacklemede başarılılar. Siber güvenlik firması Emsisoft’un tehdit analisti Brett Callow, çetenin bazı davranışlarının verimlilik ve organizasyon eksikliğini açıkça gösterdiğini söyledi.
10. SONUÇLARI FELAKET OLABİLECEK SALDIRILAR DÜZENLİYORLAR
Callow, Gizmodo’ya gönderdiği bir e-postada, “Saldırılar daha organize bir siber suç operasyonu veya devlet destekli bir aktör tarafından gerçekleştirilmiş olsaydı, sonuç çok daha kötü olabilirdi. Bu, Lapsus$ gibi grupların temsil edebileceği tehdidi küçümsemek anlamına gelmiyor. Motivasyonlarının diğer siber suç operasyonları kadar net bir şekilde tanımlanmamış olması, onlarla başa çıkmalarını zorlaştırabilir.”
