ABD, Ulusal İstihbarat Stratejisi gereği uluslararası tehditler, bulaşıcı hastalıklar, tedarik zinciri gibi konuların tespiti ve önlemi için casusluk şirketleriyle iş birliği yapma kararı aldı.
Söz konusu yeni stratejiyle ABD casusluk şirketleri de ABD şirketleri, sivil toplum kuruluşları ve akademi ile daha fazla istihbarat paylaşacak.
SON STRATEJİ TRUMP DÖNEMİNDE BELİRLENMİŞTİ
ABD hükûmeti son yıllarda yabancı hackerların ana hedefi olan ABD şirketleri, kamu hizmetleri ve diğerleriyle büyük miktarlarda siber tehdit istihbaratı ve sosyal medya şirketleriyle yabancı etki operasyonları hakkında bilgi paylaşmaya başladı.
Son Ulusal İstihbarat Stratejisi, Covid-19 salgını ve Rusya’nın Ukrayna’yı işgalinden önce, 2019 yılında Trump yönetimi altında yayımlanmıştı.
Ulusal İstihbarat Direktörü Avril Haines, kendisi ile ilgili yapılan bir röportajda yeni strateji anlayışı hakkında “Bilgi ve tahmin alışverişi konusunun yeniden gözden geçirilmesi gerekiyor. Günümüz dünyasının tehdit ortamında değişen birçok şey var.” dedi.
GÜNÜMÜZ DÜNYASINDA TEHDİTLER DEĞİŞİYOR
Değişen tehditleri örnekleyen üst düzey bir ABD’li yetkili, Başkan Biden ve üst düzey danışmanları için hazırlanan günlük istihbarat brifinginin bir zamanlar terörizm ve Orta Doğu ağırlıklı olduğunu, şimdi ise düzenli olarak Çin’in yapay zeka çalışmaları, iklim değişikliğinin jeopolitik etkileri ve yarı iletken çipler gibi çok çeşitli konuları kapsadığını söyledi.
Haines, “Akademiden yerel yönetimlere kadar özel sektörle daha geniş bir yelpazede, daha kurumsal bir bilgi alışverişi oldukça mühim.” ifadelerini kullandı.
Yeni strateji, Haines’in çalışmalarını koordine ettiği yıllık yaklaşık 90 milyar dolar bütçeye sahip 18 ABD istihbarat kurumuna rehberlik etmeyi amaçlıyor.
Yeni stratejide istihbarat kurumlarının ABD’yi, Çin ve Rusya gibi otoriter hükümetlerle rekabetinde, özellikle de teknolojik alanlarda desteklemesi gerektiğini belirtiyor.
Mali krizler, uyuşturucu kaçakçılığı, tedarik zincirinin bozulması ve bulaşıcı hastalıklar gibi küresel tehditler konusunda ise söz konusu strateji, istihbarat kurumlarından, ABD hükûmetini yaklaşan tehditler konusunda uyarmak üzere kendi iç kapasitelerini güçlendirmeleri istiyor.
Daha fazla istihbarat paylaşımına yapılan vurgu, Biden yönetiminin izlediği gizliliğin kaldırılması yönündeki daha geniş bir eğilimin parçası olarak yorumlanıyor.
Son yıllarda ABD, Rusya’nın Ukrayna’daki planlarına ve Çin, İran ve Kuzey Kore’den silah arayışına karşı uyarıda bulunmak için daha önce benzeri görülmemiş düzeyde gizli istihbarat yayınlamıştı.
Söz konusu değişiklik FBI’ın siber suçlarla mücadele yönetimindeki kayda değer bir değişikliği yansıtıyor. Bu, suçluları hapsetmek yerine onları alt etmeye ve uzaktan engellemeye odaklanıyor. Bunun bir alt sebebiyse siber suçluların çoğunun ABD dışında yaşaması.
Söz konusu mücadele yöntemi değişikliğini belki de en iyi tanımlayan başsavcı yardımcısı Lisa Monaco. Monaco, nisan ayında RSA güvenlik konferansında yaptığı açıklamada, FBI’ın eski standartlarına göre böyle büyük bir davayı herhangi bir tutuklama olmadan kutlamanın “sapkınlık” olacağını söylemişti. Ancak Monaco, “Artık başarımızı sadece mahkeme salonundaki eylemlerle ölçmüyoruz.” diye sözlerine devam etmişti.
HIVE’A SIZMAK 130 MİLYON DOLARI KURTARDI
Hive bir zamanlar dünyanın en üretken suç örgütlerinden biriydi ve Amerikan okullarının, işletmelerinin ve sağlık tesislerinin ağlarını kapatması ve ardından erişimi yeniden sağlamak için fidye talep etmesiyle ünlüydü.
FBI, Temmuz 2022’de Hive’ın ağına girerek hem Hive kurbanlarına büyük bir yardım yaptı hem de siber suçluların potansiyel saldırılarını engelledi.
Hive’ın çökertildiği dönemde Adalet Bakanlığı’nın ulusal güvenlik biriminde başsavcı yardımcısı olarak görev yapan Adam Hickey, FBI’ın bu operasyonla dünya genelindeki mağdurlara yaklaşık 130 milyon dolar kazandırdığını ve bunun da yaklaşımın ne kadar etkili olduğunu kanıtladığını söyledi.
Hickey, “İnsanları hapse atmanın siber tehdide karşı koymanın tek yolu olduğunu düşünmek için goril olmak gerekir.” dedi.
Ancak bu yaklaşımın da sınırları var. FBI yetkilileri ve bağımsız siber güvenlik uzmanlarıyla yapılan röportajlar, FBI’ın bu işi nasıl başardığı ve Hive operasyonunu neden tam olarak bitiremeyip sadece zayıflatabildiği konusunda yeni ayrıntılar sunuyor.
Çeteye sızma çabası uzun ve yoğun emek gerektirdi. Hive, ilk olarak Temmuz 2021’de FBI’ın radarına girdi.
Yüksek profilli fidye yazılım grupları Amerikan gaz boru hatlarına ve et işleyicilerine felç edici saldırılar düzenlerken, o zamanlar bilinmeyen Hive çetesi Florida’da adı açıklanmayan bir kuruluşun ağını kilitledi.
Hive’ın Amerika Birleşik Devletleri’nde bilinen ilk saldırısı olduğu için FBI prosedürü, büronun kurbana en yakın olan Tampa saha ofisinin gelecekteki tüm Hive vakalarının sorumluluğunu üstlenmesini gerektiriyordu.
Tampa ofisinde özel ajan olarak görev yapan Justin Crenshaw, kendisinin ve ekibinin o sırada grup hakkında hiçbir şey bilmediklerini, ancak hızla araştırmaya başladıklarını söyledi.
ABD kolluk kuvvetlerinin tahminlerine göre, sonraki 18 ay içinde Hive dünya genelinde 1.500’den fazla saldırı düzenledi ve kurbanlarından yaklaşık 100 milyon dolar kripto para topladı.
Grup, kısmen acımasızlığı güçlü bir büyüme motoruna dönüştürerek, diğer siber suçluların sınır dışı ilan ettiği hastaneler ve sağlık hizmeti sağlayıcıları gibi kuruluşları hedef alarak bu kadar hızlı büyüdü.
Hive birbiri ardına saldırılar düzenlerken, Tampa ajanları büroya başvuran her kurbanla görüştü ve bu süreç yavaş yavaş çete hakkında değerli istihbaratlar elde edilmesini sağladı.
Örneğin, Hive’ın nasıl tek bir grup değil de birkaç grup olduğunu, sıkı bir mafyadan ziyade McDonald’s gibi markalaşmış bir franchise’a daha yakın olduğunu öğrendiler.
Grup, siber suç uzmanlarının “hizmet olarak fidye yazılımı” adını verdikleri bir modelle çalışıyordu; bu modelde Hive’ın çekirdek üyeleri şifreleme yazılımlarını, ağlara sızma ve fidye yazılımı yükünü dağıtma konusunda uzmanlaşmış diğer suçlulardan oluşan geniş bir ağa ya da “bağlı kuruluşlara” kiralıyordu.
İLK ADIM 12 AY SONRA ATILDI
İlk vakanın Tampa masasına ulaşmasından on iki ay sonra, Crenshaw nihayet bir atılım yaptı.
Grubun uzaktan yönetim paneline, yani çete üyelerinin ellerine geçen her hastane, okul ve küçük işletmenin verilerini karıştırmalarına ve ardından kurtarmalarına olanak tanıyan anahtarları korudukları dijital bir sinir merkezine girmenin bir yolunu buldu.
Bu buluş FBI’a dikkate değer bir fırsat sundu: Hive’ın kurbanlarını, grup onlara saldırır saldırmaz tespit etme ve ardından ağlarını eski hâline getirmek için ihtiyaç duydukları şifre çözme anahtarlarını onlara iletme.
Sonraki altı ay boyunca FBI Tampa dünya çapında 300’den fazla yeni kurbana anahtar sağladı.
Crenshaw’ın ekibi mağdurlara teknik yardım sunma konusunda o kadar başarılı oldu ki sonunda Crenshaw ve ekibi kendilerine bir lakap taktı: Hive yardım masası.
Ancak FBI’ın Hive’a sızmadaki başarısı hiçbir zaman grubun toptan imhasına dönüşmedi. Verilere göre grup, içlerine FBI sızmışken bile istikrarlı bir saldırı temposunu sürdürdü.
Hive’ın ödeme yapmayı reddeden kurbanların isimlerini ve hassas bilgilerini yayınladığı dark web sitesinde, ağustos ayında yedi, eylül ayında sekiz, ekim ayında yedi, kasım ayında dokuz ve aralık ayında 14 kurban listelendi. Bu rakamlar sızma öncesi rakamlarla tutarlıydı.
Hive’ın bu kadar aktif kalmasının bir nedeni, hassas dosyalarını internete sızdırmakla tehdit ederek kurbanlar üzerinde ek baskı kurabileceğini öğrenmiş olması.
HIVE DAVASI HÂLÂ SÜRÜYOR
Bu yılın Ocak ayı başlarında Tampa ofisi, Hive davasını tamamen değiştirecek olan ikinci büyük keşfine ulaştı.
Daha titiz bir araştırma sonucunda FBI, Hive’ın saldırılarını düzenlemek için kullandığı ana sunucuları Los Angeles’taki bir veri merkezinden kiraladığını öğrendi. Sadece iki hafta sonra donanıma el koydu. Kısa bir süre sonra da Hive’ın kapatıldığını duyurdu.
Crenshaw, Hive üyeleri hâlâ dışarıda olduğu için davanın bitmediğini söyledi. Hatta bu sunucular, FBI’ın 18 ay boyunca Hive ile çalışan bağlı kuruluşların maskesini düşürmesine yardımcı olabilir.
YENİ STRATEJİNİN ARTISI VE EKSİSİ
Geçtiğimiz ay ABD Adalet Bakanlığı, Hive’a bağlı olarak çalışmakla suçlanan bir Rus vatandaşı hakkındaki iddianameyi duyurmuştu. Mikhail Matveev adlı bu kişi hâlâ firarda ve iki farklı fidye yazılım grubu için çalışmış. Bu da siber suçluların çeteler arasında dolaşmasının ve birinin çökmesi halinde yeniden ortaya çıkmasının ne kadar kolay olduğunun bir işareti.
Birçok kurban adına fidye yazılımı müzakerecisi olarak görev yapan siber güvenlik şirketi GroupSense’in CEO’su Kurtis Minder, “Liderliği ele geçirmediğiniz ve onları tam anlamıyla kilit altına almadığınız sürece, ‘fidye yazılımı’ gruplarının anlamlı bir şekilde yeniden ortaya çıkmasını durdurmanız pek olası değil.” dedi.
Minder, “FBI’ın elindekilerle en iyisini yapmaya çalıştığını, yine de bu insanların tekrar geri dönmesinin oldukça basit olduğunu” söyledi.
NSA’in siber güvenlik direktörü Rob Joyce, bu stratejinin asıl hedeflediği şeyin suç ekosistemine olan güveni sarsmak olduğunu söyledi.
Joyce, Hive’ın ele geçirilmesi gibi operasyonların “Kime güvenebileceklerinden ya da neye inanabileceklerinden emin olmayan pek çok suçlunun aklının karışmasına neden olduğunu” belirtti. Joyce, “Bu kafa karışıklığı onları yavaşlatıyor ve faaliyet gösterme yeteneklerini engelliyor.” dedi.
FBI’ın dijital sabotajı geçici kazanımlar sağlasa da suçlular şimdi ABD kolluk kuvvetlerinin peşlerinde olduğunu çok iyi bilerek yeniden toparlanabilir ve faaliyetlerine yeniden başlayabilirler.
Kazakistan’ta yakalanan Rus siber güvenlik uzmanı, ABD ve Rusya arasında diplomatik krize sebep oldu.
Kurucusu Rusya’da casusluk gerekçesiyle vatana ihanetten tutuklanan Group-IB’nin eski yöneticilerinden Nikita Kislitsin, ABD’nin talebi üzerine Kazakistan’da yakalanarak tutuklandı.
Kislitsin’e 2012 yılında ABD’li sosyal medya firması Formspring’in müşterilerine ait kullanıcı adı ve parolaları satma suçlaması yöneltildi.
Group IB’de ağ güvenliği yöneticisi olarak çalışan Kislitsin, firma Rusya’dan çıktıktan sonra kurulan F.A.C.C.T için de çalıştı.
Siber Bülten’e konuşan Group IB yetkilileri, “Soruşturmayla Group-IB’nin herhangi bir ilişkisi yoktur.Kislitsin’in Group-IB’deki görevine son verildiği için sözkonusu olayla ilgili firmamızın doğrudan bir bilgisi bulunmamaktadır.
F.A.C.C.T’in Telegram grubundan yapılan açıklamada Kislitsin’in tutuklanmasının Group-IB’deki çalışmalarıyla ilgili olmadığı belirtildi. Tutuklamanın herhangi bir yasal temeli olmadığına işaret edilen açıklamada Açıklamada suçlamaların Kislitsin’in gazeteci ve bağımsız araştırmacı olduğu dönemi kapsadığı vurgulandı.
Şirketin açıklamasında Kislitsin için gerekli tüm yardımı sağlayan avukatlar tutulduğu ve Kazakistan’daki Rusya Federasyonu Başkonsolosluğuna bir çağrı gönderildiği belirtildi.
Daha önce Rusya’da yayımlanan Hacker dergisinin editörlüğünü de yapan Kislitsin, o dönemde bilgi güvenliği ve siber saldırılara ilişkin haberler yapıyordu.
RUSYA, ABD’NİN İADE TALEBİNİ AYNI YÖNTEMLE SABOTE EDİYOR
Geçtiğimiz hafta izinsiz erişim bir davada Moskova mahkemesi Kislitsin için arama kararı çıkarmıştı. Rusya daha önce de böyle bir arama kararı çıkararak bir vatandaşını ABD’ye sınırdışı edilmekten kurtarmıştı.
Amazon’a yönelik siber saldırılarla suçlanan ve ABD’ye iadesi istenen Dmitry Zubakha 2012 yılında Moskova’da açılan bir dava ile Kıbrıs’tan Rusya’ya sınırdışı edilmiş sonrasında 2021 yılında eski Rus Başbakan Yardımcısının oğlunun bir şirketinin kurucularından olmuştu.
ABD’de bir Türk vatandaşı, ordu dâhil olmak üzere ülkedeki devlet kurumlarına yüz milyonlarca dolarlık sahte Cisco donanımı satmaktan suçlu bulundu.
Florida eyaletinde yaşayan 39 yaşındaki Onur Aksoy, Amazon ve eBay’de binlerce sahte Cisco donanımı satarak en az 100 milyon dolar kazandı. Aksoy’un 4 ila 7 yıl ceza alması beklenirken, yapılan anlaşmaya göre 15 milyon dolarlık yasa dışı kazançtan vazgeçmesi ve müşterilerine tazminat ödemesi gerekiyor.
SAHTE CİSCO CİHAZLARINDAN BİNLERCE SATTI
ABD Adalet Bakanlığı’na göre, 2013-2022 yılları arasında Miami’de yaşayan Onur Aksoy’un, New Jersey ve Florida’da kurduğu en az 19 şirketin yanı sıra 15 Amazon ve 10 eBay’de hesap açarak yeni veya resmî Cisco ekipmanı gibi gösterilmiş “on binlerce” düşük kaliteli veya hatalı ağ cihazı sattığı ortaya çıkarıldı.
Adalet Bakanlığı, Onur Aksoy’un Çin ve Hong Kong’daki satıcılardan ithal ettiği ürünlerin genellikle korsan Cisco yazılımı ile yüklenmiş ve Cisco etiketleri ve çıkartmaları taşıyan Cisco kutuları içinde paketlenmiş olduğunu ve belgelerin de yasal görünecek şekilde hazırlandığını açıkladı.
100 MİLYON DOLAR KAZANDIĞI AÇIKLANDI
Söz konusu donanımlar gerçek Cisco donanımlarından daha düşük profilde olduğu için sahte ekipmanlardan bazıları kötü performans gösterdi ya da hızla bozuldu. Hatta Adalet Bakanlığı’nın açıkladığına göre bazı durumlarda bu ekipmanlar kullanıcıların ağlarına ve operasyonlarına on binlerce dolar zarar verdi. Müşterileri binlerce dolar zarara uğrarken Aksoy’un işletmeleri en az 100 milyon dolar kazandığı belirtildi.
Aksoy’un faaliyetleri Gümrük ve Sınır Koruma departmanın dikkatini çekti ve 2014-2022 yılları arasında Aksoy’un sahibi olduğu şirketlere gönderilen 180 sevkiyat sahte ürüne el konulduğu bildirildi.
BASKINDA MİLYONLARCA DOLARLIK MAL ELE GEÇİRİLDİ
Söz konusu ürünler hakkında sorgulandığında Aksoy’un “Dave Durden” takma adıyla sahte belgeler sunduğu ortaya çıktı. Sahte ürünler Cisco’nun gözünden kaçmadı. Ağ devi, 2014 ve 2019 yılları arasında Aksoy’a yedi kez ihtarname gönderdi.
Adalet Bakanlığı, sanığın en az iki kez sorulara hileli veya sahte belgelerle yanıt verdiğini açıkladı.
Gümrük ve Sınır Koruma ve Cisco’nun avukatlarının baskısına rağmen Aksoy, faaliyetlerini gizlemek için neredeyse hiçbir şey yapmadı ve aynı tedarikçilerden sahte ağ ekipmanlarını ithal etmeye ve ardından hileli bir şekilde satmaya devam etti.
Temmuz 2021’de polis Aksoy’un deposuna baskın düzenledi ve tahmini perakende değeri 7 milyon dolardan fazla olan 1.156 sahte cihaz ele geçirdi. Bunun üzerine Aksoy tutuklandı ve hakkında birçok suçlamayla dava açıldı.
Aksoy’un 4 ila 7 yıl ceza alması beklenirken, yapılan anlaşmaya göre 15 milyon dolarlık yasa dışı kazançtan vazgeçmesi ve müşterilerine tazminat ödemesi gerekiyor.
İki aydan kısa bir süre içinde yaklaşık 200 kuruluşa saldıran yeni ve giderek daha aktif hâle gelen bir fidye yazılımı grubu, fidye talebine farklı bir bakış açısı getirdi. Anti-kapitalist olduklarını söyleyen ve MalasLocker adlı fidye yazılımını kullanan isimsiz grup, kurbanlarından kendilerine değil hayır kuruluşlarına bağış yapmalarını istiyor.
“EKONOMİK EŞİTSİZLİKTEN HOŞLANMIYORUZ”
Zimbra adlı çevrim içi iş birliği aracının kurbanlarını hedef alan grubun giderek artan saldırıları kullanıcıları alarma geçirmişti.
Kurbanlara bıraktıkları fidye notunda ise grup, “Geleneksel fidye yazılımı gruplarının aksine sizden bize para göndermenizi istemiyoruz. Biz sadece şirketlerden ve ekonomik eşitsizlikten hoşlanmıyoruz. Sizden sadece onayladığımız, kâr amacı gütmeyen bir kuruluşa bağış yapmanızı istiyoruz.” ifadelerini kullandı.
“BİZDEN ÇALINANLARI GERİ ALACAĞIZ”
Fidye yazılım grubunun dark web sitesinde üç şirket kurban olarak listelenirken, 170 diğer kuruluş da hedef listesinde.
Grup, sitelerinde yayımladığı mesajda Afrika ve Latin Amerika’da bulunan yabancı yatırımcıların büyük şirketleri hariç küçük işletmelere dokunmayacaklarını, ABD, Rusya ve Avrupa’daki şirketleri hedef alacaklarını duyurdu.
Bununla birlikte grup “Göreceli refahlarının hırsızlık üzerine kurulu olduğunu düşünüyoruz ve bizden çalınanları çalabildiğimizi geri alacağız.” ifadelerini kullandı.
“Onlar bize ne kadar sempati duyuyorsa biz de onlara o kadar sempati duyuyoruz. İster ödeme yapsınlar, dosyalarının şifresini çözsünler, ister yapmasınlar ve sızdırılsınlar fark etmez. Yasaları istedikleri gibi çiğniyorlar ve hatta yasaları yeniden yazıyorlar. Yazdıkları yasalar sadece bir ölüm sistemini meşrulaştırmaya ve sürdürmeye hizmet ediyor. Birkaç kişinin kârları karşılığında kitlesel yok oluşlar vaat ediyorlar. Anlamsız para ve güç arayışlarında hiçbir şeyden taviz vermiyorlar. Ancak onları buna zorlayacak güce sahibiz. İsyanın gücü, sendikanın gücü, toplu eylemin gücü, sabotajın gücü, ateşin gücü ve hack’in gücü budur!”
“Bazı şirketler bize ödeme yapmak istemeyecek ama biz bunları onlar için yapmıyoruz. Biz, Afrika’daki, Latin Amerika’daki, Filistin’deki ve tüm dünyadaki diğer çocuklar için bunu yapıyoruz. Fidye yazılımı şu anda olduğu gibi birkaç Rus grubunun işi olmamalı. Bu, hepimiz için bir araç, toplumlarımızı yağmalayan ülkeleri soyarak toplumlarımızı yükselteceğiz. Daha yeni başlıyoruz ve ne yazık ki kamuya açık istismarlara karşı savunmasız olan şirketler büyük, çok uluslu şirketler değil, daha küçük şirketler olma eğiliminde. Bunu daha fazla hak eden hedeflerin peşinden gidebilmek için yeteneklerimizi olabildiğince hızlı bir şekilde öğreniyor ve geliştiriyoruz.”
Grubun sitesinde ayrıca birçok feminist slogan da yer alıyor.
Siber güvenlik uzmanları grubun şu anda küçük kuruluşlara odaklandığını ancak akıllarında daha büyük hedefler olduğu yorumunu yaptı.
