Tehdit aktörleri birçok saldırı hizmetini bir arada sunarak siber suç dünyasına yeni bir iş modeli getirdi
Tehdit istihbaratı şirketi Cyberint firmasının araştırmasına göre kendilerini Atlas Intelligence Group (AIG) olarak adlandıran yeni tehdit aktörü, diğer suç örgütlerinden farklı bir şekilde oluşturduğu yeni iş modeliyle hem operasyon güvenliğini sağlama alıyor hem de çok çeşitli suç hizmetleri sunuyor.
GİDEREK TEHLİKELİ BİR HÂL ALIYOR
Cyberint, mayıs ayında keşfettikleri Atlas Intelligence Group veya diğer adıyla Atlantis Cyber-Army olarak bilinen tehdit aktörünün siber suç dünyasında ortaya koyduğu yeni iş modelini ortaya çıkardı.
Diğer siber suç örgütlerinden çok daha farklı bir işleyişe sahip olan AIG, ortaya koyduğu hizmetlerle giderek popülerleşirken aynı zamanda da operasyon güvenliğini üst seviyede tutarak tehlikeli bir hâl alıyor.
AIG’İN DİĞER SİBER SUÇ ÖRGÜTLERİNDEN FARKI
Paylaştığı analiz raporunda Cyberint, mayıs ayından itibaren giderek büyüyen grubu en başta sıradan bir veri sızıntısı grubu olarak gördüklerini ancak sundukları hizmet çeşitliliğini yakından incelediklerinde çok daha geniş bir pencereye baktıklarını belirtti.
Pek çok siber suç örgütü bir veya iki hizmet sunmaya odaklanırken AIG, DDoS, sızdırılmış veri tabanı hizmeti, paneller ve ilk erişim ve Avrupa’daki çeşitli kolluk kuvvetlerinde bulunan üstelik yalnızca belirli kişiler hakkındaS hassas bilgiler sağlayabilen kişilerle bağlantıları olup VIP hizmetler sağlıyor.
Tehdit aktörünün diğer aktörlerden farkı sadece bu değil. Aktör, diğer suç örgütlerinden farklı olarak kalıcı işe alım yapmıyor. Farklı kampanyalar için alanlarında uzmanlaşmış grupları veya kişileri kiralıyorlar. Örneğin oltalama saldırıları için farklı bir grubu kiralayan aktör, web korsanlığı içinse farklı bir grubu işe alıyor. Sürekli olarak farklı grup veya kişileri sundukları hizmetler için kiralayan AIG, böylelikle operasyon güvenliğini de üst seviyeye çıkarmış oluyor.
Paylaştığı raporda Cyberint, söz konusu tehdit aktörünün çalışma prensibini “kartellere” benzetiyor.
TEHDİT AKTÖRÜNÜN YAPISI
Cyberint, söz konusu aktörün başrolünde Mr. Eagle olarak bilinen bir lider ve şimdiye kadar keşfedilen El Rojo, Mr. Shawji, S41T4M4 ve Coffee olarak bilinen dört alt yönetici tarafından organize edildiğini ortaya koydu.
Cyberint araştırmacıları, aktörün lideri Mr. Eagle’ın iş sözleşmeleri yayınlayıp işe alım yaptığını, oldukça profesyonel bir biçimde davrandığını, hata yapmadığını ve oldukça katı kurallara sahip olduğunu belirtti. Aynı zamanda Mr. Eagle, aktörün takipçileri arasında da oldukça yüksek güvenilirliğe sahip olduğunu belirten araştırmacılar, aktörün diğer alt yöneticilerininse reklam ve iletişim kanallarının işleyişinde aktif rol aldığı çok net bir hiyerarşiye sahip olduğunu belirtti.
GRUP BİRÇOK İLETİŞİM KANALI İŞLETİYOR
Atlas Intelligence Group, birden fazla platformda çeşitli iletişim kanalları işletiyor.
Aktör, binlerce abonesi olan üç farklı Telegram kanalı işletiyor. Bunlardan birincisi, bir veritabanı pazarı kanalı olarak görünüyor.
İkinci ve en ilginç kanalsa liderin iş ilanları yayımladığı ve kanal abonelerinin kendi hizmetlerini sunma fırsatı yakaladığı bir kanal olarak biliniyor. Bu kanalda lider ve yöneticiler, sosyal mühendisleri, zararlı yazılım geliştiricileri ve belirli vatandaşları bulmak adına paylaşımlar yapıyor.
Üçüncü kanal ise bir kullanıcı hakkında kişisel bilgilerin ifşa edilmesi gibi, aktörün karşılaştığı dolandırıcılar, sonraki hedefleri ve takipçilerinin ilgisini çekebilecek diğer güncellemeler gibi ekipten duyuruları da yayınlayan başka bir ticari kanal olarak göze çarpıyor.
Bunların yanındaysa aktörün bir de Sellix.io platformunda bir e-ticaret mağazası bulunuyor. Kişiler buradan aktörün hizmetlerini satın alabiliyor.
DİĞER TEHDİT GRUPLARIYLA İLİŞKİLERİ
Aktörün örgütlenmesi ve çalışma yöntemleri, bu kişiler hakkında kesin bir kanıt bulunmamış olsa da sektörde yeni olmadıklarını gösteriyor.
Bu kişilerin geçmişte başka tehdit gruplarında faaliyet göstermiş olmaları veya en azından bir tehdit grubu olarak nasıl hareket edeceklerini bildikleri düşünülüyor.
AIG KİMLERİ HEDEF ALIYOR?
Grup, dünyadaki belirli bir sektörü veya belirli bir bölgeyi hedef almıyor. Aktör dünya çapında faaliyet gösteriyor. Ülkelerin gizli belgelerinden, veritabanlarına, kuruluşlara ilk erişimden başka birçok hizmete kadar çok çeşitli ülkelerden çok çeşitli kurumları hedef alıyor.
Bunun yanı sıra aktörün e-ticaret sitesine bakıldığında satılık veritabanlarının çoğunun devlet kurumları, finans kuruluşları, eğitim ve imalat sektörüne yönelik olduğu görülüyor.
PEDOFİLLERİ BULUP HAPSE GÖNDERİYORLAR
Aktörün en şaşırtıcı faaliyetlerinden birisi de gönüllü olarak dünya çapındaki pedofilleri bulup hapse göndermek.
Aktör, hâlihazırda iki pedofilin ev adresine, telefonlarına ve resimlerine ve daha birçok kişisel verisine ulaşarak mahkûm ettirmeyi başardı.
SOFİSTİKE ANONİM VE HIRSLILAR
Geçtiğimiz aylarda, bazıları fidye yazılımı sektöründen, bazıları veri sızdıranlardan ve bazıları kötü amaçlı yazılım geliştirme sektöründen birçok yeni tehdit grubunun ortaya çıktığını görsek de hepsi hemen hemen aynı reklam ve ekip oluşturma tekniklerini kullanıyor.
Atlas ise, hedeflerine ulaşmak için paralı “kuklalar” kullanarak hepsinden ayrılıyor. Şu ana kadar siber suç endüstrisinde sofistike, son derece anonim, hırslı bir aktör olarak görünen Atlas, gelecekte iz bırakmak ve baskın bir tehdit grubu oluşturmak istiyor.
Atlas’ın doğası göz önüne alındığındaysa, aktörün fidye yazılımı sektörüne de geçmesinin an meselesi olduğu düşünülüyor.
