Fidye yazılım saldırıları düzenleyen siber suç çetesi Qakbot’a ABD’nin öncülüğünde uluslararası bir operasyon düzenlendi.
Farklı ülkelerin polis teşkilatı ve ABD Kolluk kuvvetlerince düzenlenen teknik operasyonda zararlı botnet yazılımı Qakbot ağının altyapısı çökertildi.
Dünya genelinde 700.000’den fazla sisteme bulaşan yazılım, Fransa’da 26.000 bilgisayara zarar verdi. Operasyonda ayrıca 8,6 milyon dolar değerinde kripto paraya el konuldu
FBI’dan ve ABD Adalet Bakanlığından yapılan açıklamada çok uluslu bir operasyon, Qakbot botnet ağını dağıtmak amacıyla gerçekleştirildi. Operasyona ABD’nin yanısıra Fransa, Almanya, Hollanda, İngiltere, Romanya ve Letonya da katıldı.
Olay, ABD’nin bir botnet altyapısına karşı gerçekleştirdiğin ilk operasyon olarak tarihe geçti.
Qakbot zararlı yazılımı kurbanlarının bilgisayarlarına e-posta üzerinden gerçekleştirilen oltalama saldırılarılarıyla bulaşıyor. Qbot ve Pinkslipbot gibi farklı isimlerle de bilinen botnet, genellikle istenmeyen e-postaların dışında zararlı bağlantılar içeren iletilerle de yayılıyor.
Söz konusu değişiklik FBI’ın siber suçlarla mücadele yönetimindeki kayda değer bir değişikliği yansıtıyor. Bu, suçluları hapsetmek yerine onları alt etmeye ve uzaktan engellemeye odaklanıyor. Bunun bir alt sebebiyse siber suçluların çoğunun ABD dışında yaşaması.
Söz konusu mücadele yöntemi değişikliğini belki de en iyi tanımlayan başsavcı yardımcısı Lisa Monaco. Monaco, nisan ayında RSA güvenlik konferansında yaptığı açıklamada, FBI’ın eski standartlarına göre böyle büyük bir davayı herhangi bir tutuklama olmadan kutlamanın “sapkınlık” olacağını söylemişti. Ancak Monaco, “Artık başarımızı sadece mahkeme salonundaki eylemlerle ölçmüyoruz.” diye sözlerine devam etmişti.
HIVE’A SIZMAK 130 MİLYON DOLARI KURTARDI
Hive bir zamanlar dünyanın en üretken suç örgütlerinden biriydi ve Amerikan okullarının, işletmelerinin ve sağlık tesislerinin ağlarını kapatması ve ardından erişimi yeniden sağlamak için fidye talep etmesiyle ünlüydü.
FBI, Temmuz 2022’de Hive’ın ağına girerek hem Hive kurbanlarına büyük bir yardım yaptı hem de siber suçluların potansiyel saldırılarını engelledi.
Hive’ın çökertildiği dönemde Adalet Bakanlığı’nın ulusal güvenlik biriminde başsavcı yardımcısı olarak görev yapan Adam Hickey, FBI’ın bu operasyonla dünya genelindeki mağdurlara yaklaşık 130 milyon dolar kazandırdığını ve bunun da yaklaşımın ne kadar etkili olduğunu kanıtladığını söyledi.
Hickey, “İnsanları hapse atmanın siber tehdide karşı koymanın tek yolu olduğunu düşünmek için goril olmak gerekir.” dedi.
Ancak bu yaklaşımın da sınırları var. FBI yetkilileri ve bağımsız siber güvenlik uzmanlarıyla yapılan röportajlar, FBI’ın bu işi nasıl başardığı ve Hive operasyonunu neden tam olarak bitiremeyip sadece zayıflatabildiği konusunda yeni ayrıntılar sunuyor.
Çeteye sızma çabası uzun ve yoğun emek gerektirdi. Hive, ilk olarak Temmuz 2021’de FBI’ın radarına girdi.
Yüksek profilli fidye yazılım grupları Amerikan gaz boru hatlarına ve et işleyicilerine felç edici saldırılar düzenlerken, o zamanlar bilinmeyen Hive çetesi Florida’da adı açıklanmayan bir kuruluşun ağını kilitledi.
Hive’ın Amerika Birleşik Devletleri’nde bilinen ilk saldırısı olduğu için FBI prosedürü, büronun kurbana en yakın olan Tampa saha ofisinin gelecekteki tüm Hive vakalarının sorumluluğunu üstlenmesini gerektiriyordu.
Tampa ofisinde özel ajan olarak görev yapan Justin Crenshaw, kendisinin ve ekibinin o sırada grup hakkında hiçbir şey bilmediklerini, ancak hızla araştırmaya başladıklarını söyledi.
ABD kolluk kuvvetlerinin tahminlerine göre, sonraki 18 ay içinde Hive dünya genelinde 1.500’den fazla saldırı düzenledi ve kurbanlarından yaklaşık 100 milyon dolar kripto para topladı.
Grup, kısmen acımasızlığı güçlü bir büyüme motoruna dönüştürerek, diğer siber suçluların sınır dışı ilan ettiği hastaneler ve sağlık hizmeti sağlayıcıları gibi kuruluşları hedef alarak bu kadar hızlı büyüdü.
Hive birbiri ardına saldırılar düzenlerken, Tampa ajanları büroya başvuran her kurbanla görüştü ve bu süreç yavaş yavaş çete hakkında değerli istihbaratlar elde edilmesini sağladı.
Örneğin, Hive’ın nasıl tek bir grup değil de birkaç grup olduğunu, sıkı bir mafyadan ziyade McDonald’s gibi markalaşmış bir franchise’a daha yakın olduğunu öğrendiler.
Grup, siber suç uzmanlarının “hizmet olarak fidye yazılımı” adını verdikleri bir modelle çalışıyordu; bu modelde Hive’ın çekirdek üyeleri şifreleme yazılımlarını, ağlara sızma ve fidye yazılımı yükünü dağıtma konusunda uzmanlaşmış diğer suçlulardan oluşan geniş bir ağa ya da “bağlı kuruluşlara” kiralıyordu.
İLK ADIM 12 AY SONRA ATILDI
İlk vakanın Tampa masasına ulaşmasından on iki ay sonra, Crenshaw nihayet bir atılım yaptı.
Grubun uzaktan yönetim paneline, yani çete üyelerinin ellerine geçen her hastane, okul ve küçük işletmenin verilerini karıştırmalarına ve ardından kurtarmalarına olanak tanıyan anahtarları korudukları dijital bir sinir merkezine girmenin bir yolunu buldu.
Bu buluş FBI’a dikkate değer bir fırsat sundu: Hive’ın kurbanlarını, grup onlara saldırır saldırmaz tespit etme ve ardından ağlarını eski hâline getirmek için ihtiyaç duydukları şifre çözme anahtarlarını onlara iletme.
Sonraki altı ay boyunca FBI Tampa dünya çapında 300’den fazla yeni kurbana anahtar sağladı.
Crenshaw’ın ekibi mağdurlara teknik yardım sunma konusunda o kadar başarılı oldu ki sonunda Crenshaw ve ekibi kendilerine bir lakap taktı: Hive yardım masası.
Ancak FBI’ın Hive’a sızmadaki başarısı hiçbir zaman grubun toptan imhasına dönüşmedi. Verilere göre grup, içlerine FBI sızmışken bile istikrarlı bir saldırı temposunu sürdürdü.
Hive’ın ödeme yapmayı reddeden kurbanların isimlerini ve hassas bilgilerini yayınladığı dark web sitesinde, ağustos ayında yedi, eylül ayında sekiz, ekim ayında yedi, kasım ayında dokuz ve aralık ayında 14 kurban listelendi. Bu rakamlar sızma öncesi rakamlarla tutarlıydı.
Hive’ın bu kadar aktif kalmasının bir nedeni, hassas dosyalarını internete sızdırmakla tehdit ederek kurbanlar üzerinde ek baskı kurabileceğini öğrenmiş olması.
HIVE DAVASI HÂLÂ SÜRÜYOR
Bu yılın Ocak ayı başlarında Tampa ofisi, Hive davasını tamamen değiştirecek olan ikinci büyük keşfine ulaştı.
Daha titiz bir araştırma sonucunda FBI, Hive’ın saldırılarını düzenlemek için kullandığı ana sunucuları Los Angeles’taki bir veri merkezinden kiraladığını öğrendi. Sadece iki hafta sonra donanıma el koydu. Kısa bir süre sonra da Hive’ın kapatıldığını duyurdu.
Crenshaw, Hive üyeleri hâlâ dışarıda olduğu için davanın bitmediğini söyledi. Hatta bu sunucular, FBI’ın 18 ay boyunca Hive ile çalışan bağlı kuruluşların maskesini düşürmesine yardımcı olabilir.
YENİ STRATEJİNİN ARTISI VE EKSİSİ
Geçtiğimiz ay ABD Adalet Bakanlığı, Hive’a bağlı olarak çalışmakla suçlanan bir Rus vatandaşı hakkındaki iddianameyi duyurmuştu. Mikhail Matveev adlı bu kişi hâlâ firarda ve iki farklı fidye yazılım grubu için çalışmış. Bu da siber suçluların çeteler arasında dolaşmasının ve birinin çökmesi halinde yeniden ortaya çıkmasının ne kadar kolay olduğunun bir işareti.
Birçok kurban adına fidye yazılımı müzakerecisi olarak görev yapan siber güvenlik şirketi GroupSense’in CEO’su Kurtis Minder, “Liderliği ele geçirmediğiniz ve onları tam anlamıyla kilit altına almadığınız sürece, ‘fidye yazılımı’ gruplarının anlamlı bir şekilde yeniden ortaya çıkmasını durdurmanız pek olası değil.” dedi.
Minder, “FBI’ın elindekilerle en iyisini yapmaya çalıştığını, yine de bu insanların tekrar geri dönmesinin oldukça basit olduğunu” söyledi.
NSA’in siber güvenlik direktörü Rob Joyce, bu stratejinin asıl hedeflediği şeyin suç ekosistemine olan güveni sarsmak olduğunu söyledi.
Joyce, Hive’ın ele geçirilmesi gibi operasyonların “Kime güvenebileceklerinden ya da neye inanabileceklerinden emin olmayan pek çok suçlunun aklının karışmasına neden olduğunu” belirtti. Joyce, “Bu kafa karışıklığı onları yavaşlatıyor ve faaliyet gösterme yeteneklerini engelliyor.” dedi.
FBI’ın dijital sabotajı geçici kazanımlar sağlasa da suçlular şimdi ABD kolluk kuvvetlerinin peşlerinde olduğunu çok iyi bilerek yeniden toparlanabilir ve faaliyetlerine yeniden başlayabilirler.
Rusya’nın Ukrayna’yı hedef almasıyla baş gösteren enerji krizi tüm Avrupa’yı etkilemeye devam ederken, Rus hackerların Avrupa’daki gaz terminallerini hedef aldığı ortaya çıktı.
Siber güvenlik şirketi Dragos’un RTL Z’ye yaptığı açıklamaya göre hackerlar Hollanda LNG terminallerinin sistemlerinde “keşif araştırması” yapıyor ve sistemlere girmenin yollarını bulmaya çalışıyor.
Amerikan siber güvenlik şirketi Dragos’tan Casey Brooks olayın ciddiyetini şu sözlerle ifade etti: “LNG terminallerinin hedef olduğunu biliyoruz. Mesele sadece ne zaman ve nasıl saldırılacağı” Brooks, Xenotime ve Kamacite adlı hacker gruplarının Gasunie’nin Rotterdam’daki Eemshaven LNG terminalinin dijital sistemlerini kurcaladığını söyledi: “Bunlar, dijital bir saldırıyla potansiyel olarak nerede etki yaratabileceklerini görmek için yapılan testler.”
FBI’A GÖRE XENOTİME VE KAMACİTE RUS GİZLİ SERVİSİYLE BAĞLANTILI
Hollandalı EclecticIQ şirketi de Avrupa ve Hollanda’daki kritik altyapılarda daha fazla faaliyet olduğunu fark etti. EclecticIQ’dan Joep Gommers RTL’ye yaptığı açıklamada, bu açıdan bakıldığında Rus hackerların şimdilerde Hollanda LNG terminallerini hedef almasının mantıklı olduğunu söyledi ve ekledi: “Bu kesinlikle Rusya’nın çalışma şekli”
Siber güvenlik firması Fox-IT uzmanlarına göre enerji krizi nedeniyle bu sektördeki şirketleri hedef alan kötü niyetli taraflardan gelen somut bir tehdit bulunuyor. Bir sözcü şu ifadeleri kullandı: “Bu tehdit özellikle de LNG’nin tedarik ve dağıtımına yönelik tedarik zincirini hedef alıyor. Bu sektörle ilgilenen taraflar muhtemelen devlet destekli kötü niyetli gruplar, örneğin Rus FSB ve GRU tarafından yönetilen gruplar.”
Avrupa Parlamentosu VVD Üyesi Bart Groothuis, Rusya’nın doğalgaz kaynaklarını hedef aldığının farkında. Gazın, Rusya’nın AB’ye karşı kullanmayı en çok sevdiği silah olduğunu söyleyen Groothuis, “Enerji piyasasında kaosa neden olmak ve bu piyasayı manipüle etmek jeopolitik bir hedeftir” dedi.
“Sezyo” olarak da bilinen Fransız hacker Sebastian Raoult, Fas’ta yakalandı. ShinyHunters hacker grubuna üye olduğu öne sürülen Raoult, ABD’ye sınır dışı edilirse 116 yıl hapis istemiyle yargılanacak.
Brüksel’e gitmek isterken Fas’ın başkenti Rabat’taki havaalanında tutuklanan 21 yaşındaki Raoult, dışında FBI talebiyle 4 kişi daha sorguya alındı.
ShinyHunters adı daha önce Pokémon hacker çetesinin içinde yer alan bir grup için kullanılıyordu. Grup hedef büyüterek Nisan 2020’den bu yana büyük çapta veri hırsızlığına ve satışa odaklanarak çeteden ayrıştı.
FBI, konuya ilişkin yürüttüğü soruşturmada sonucunda Raoult hakkında Interpol’e yapılan taleple Raoult hakkında kırmızı bülten çıkarılmıştı.
Raoult’nun avukatı Philippe Ohayon ise Fransız basının yaptığı açıklamada müvekkilinin Fransa’da yargılanması gerektiğini savundu.
Raoult aleyhinde veri hırsızlığı ve satışı yaptığına ilişkin 60’tan fazla şikayet bulunuyor. Genç hacker firmaları milyarlarca dolar zarara uğratmakla suçlanıyor.
Kuzey Koreli hackerların Sony’ye yönelik siber saldırısı hakkındaki “Lazarus Soygunu” adlı kitap olayın perde arkasını tüm ayrıntılarıyla ele alıyor.
Foreign Policy’de çıkan kitap incelemesi şöyle başlıyor: “11 Eylül 2001’i hatırlayın! Tüyler ürpertici bu tehdit, Kuzey Kore lideri Kim Jong Un’un hayali bir versiyonunun ölümüyle sona eren bir filmin yayınlanmasını önlemek amacıyla Sony Pictures Entertainment’a yönelik düzenlenen siber saldırıdan sonra internette yayımlandı.”
Araştırmacı gazeteci Geoff White, Lazarus Soygunu adlı yeni kitabında Pyongyang’ın siber faaliyetlerinin terörizmden, yaptırımları delmeye ve diğer suç faaliyetlerine kadar büyüleyici evrimini araştırıyor. Kitap tipik bir Hollywood suç draması izlenimi verse de sonunda iyi adamlar kazanamıyor.
White’ın ilgi çekici eseri, Kuzey Kore yönetiminin siber saldırılarını ve diğer yasadışı faaliyetlerini belgelemek için okuru dünyanın dört bir yanına (İrlanda, Makao, Güney Kore, Bangladeş, Çin, Filipinler, Slovenya, Malta, Birleşik Krallık, Kanada ve Amerika Birleşik Devletleri) götürüyor. White özellikle, ABD hükümeti araştırmacıları tarafından Lazarus Group kod adlı Kuzey Koreli hacker ekibinin siciline kapsamlı bir şekilde ışık tutuyor.
White’ın kitabının çoğu, halihazırda kamuya açık olan bilgilere dayanıyor ve Kuzey Kore’nin geride bıraktığı suç ortaklarının ve mağdurların izini sürüyor. ABD kolluk kuvvetleri, FBI’ın “En Çok Aranan Siber Suçlular” listesinde yer alan üç Kuzey Koreli de dahil olmak üzere Kuzey Koreli hackerları kovuşturma çabalarını sürdürüyor. Ancak White’ın da belirttiği gibi “Suç ortakları (ya da en azından bir kısmı) ağa yakalanırken, Kuzey Kore’nin iddia edilen hackerları, paçayı sıyırıyor.”
White, kitabın başlarında Pyongyang’ın superdollars veya Supernotes olarak da bilinen 100 dolarlık banknotların sahteciliğine bir bölüm ayırmış. Kuzey Kore’nin siber faaliyetleri ile sahte 100 dolarlık banknotlar arasındaki bağlantı net olmayabilir. Ancak White, döviz sahteciliğinin uzun zamandır Pyongyang’ın yasadışı faaliyetlerinin odak noktası olduğunu açıklayarak iki olayı birbirine bağlıyor.
Ülkede gerçekleşen finansal devrim fiziksel para biriminden çevrimiçi bankacılığa geçişi hızlandırırken bir dizi Kuzey Kore siber faaliyetini de tetiklemiş oldu. ABD Gizli Servisi 2006 yılında Senato’nun bir alt komitesine verdiği demeçte Supernote’ların ilk kez 1989 yılında tespit edildiğini ve dünya çapında yaklaşık 50 milyon dolarlık banknot ele geçirildiğini belirtmişti. George W. Bush yönetiminin Kim rejiminin yasadışı faaliyetlerini (sahte sigara, uyuşturucu ve ABD para birimi) durdurma çabaları Kuzey Kore için maliyetleri artırdı. Bu da siber faaliyetlere geçişi açıklayan sebeplerden biri.
AMAÇ KUZEY KORE REJİMİNE PARA KAZANDIRMAK
Kitabın başlarında White, Pyongyang’ın nükleer silahları ve balistik füze programları nedeniyle uluslararası yaptırımlar göz önüne alındığında Kuzey Kore’nin hackerlarının asıl amacının sabit para kazanmak için oldukça az meşru fırsata sahip olan rejim için para kazanmak olduğunu da vurguluyor.
Yasadışı fonlar, Kim Jong-Un’un yaşam tarzından Pyongyang’ın nükleer silah ve füze programlarına kadar her şeyi finanse etmek için kullanılıyor. Ancak kitabın sonunda White, Güney Kore’ye iltica eden ve şu anda orada yasa koyucu olan İngiltere’deki eski Kuzey Kore büyükelçi yardımcısı Thae Yong-ho’dan bir uyarıya da yer veriyor kitabında “Barış zamanlarında, hackleme yeteneklerini gelir yaratmak için kullanabilirler.” Bununla birlikte Thae, savaş zamanında Güney Kore’ye zarar vermek için “kolayca” bir siber saldırı yapabileceklerini de iddia ediyor.
White, kitabında ayrıca bilgisayar korsanlığının Kuzey Kore’nin cephaneliğinde kilit bir silah haline geldiğini ve şimdilerde küresel güvenlik ve istikrar için önemli bir tehdit oluşturduğunu dile getirdi.
KIM JONG’UN KİŞİSEL MESELESİ DE SİBER SALDIRILARA GEREKÇE OLDU
White, Pyongyang’ın daha basit nedenlerle hedefleri terörize etmek için de siber saldırıları kullandığını anlatıyor ve ekliyor: “Rejimin en eski büyük hack operasyonlarından biri olan Sony saldırısı durumunda, Kim kişisel meselenin intikamını almaya çalıştı.”
Sony’nin “The Interview” adlı programı Randall Park’ın oynadığı sahte Kim Jong Un ile röportaj yapan Seth Rogen ve James Franco’nun sırasıyla yapımcı ve gazeteci olarak oynadığı orta halli bir komedi. CIA Rogen ve Franco’nun karakterlerini Kuzey Kore liderini zehirleyerek öldürmeleri için işe alıyor. Kim bu durumdan hiç memnun kalmıyor. Sebebi hayali ölümü mü yoksa soytarı muamelesi görmesi mi belli değil.
Eylül 2014’te, filmin planlanan Aralık gösteriminden üç ay önce, bir Sony çalışanı video dosyalarına gömülü bir virüs içeren bir e-posta açtı. White, bunun saldırganların Sony’nin bilgisayar sistemine erişmesine izin verdiğini ve tespit edilmekten, veri çalmaktan ve daha fazla virüs yerleştirmekten kaçınmak için bilgisayardan bilgisayara dikkatlice taşındıklarını” açıklıyor.
Şükran Günü’nde, Kuzey Koreli siber saldırılar virüsleri şirketin bilgisayar sistemlerini tahrip etmeye tetikledi. Sony yöneticileri fidye ödemesi talep eden e-postalar aldı. Şirket belirtilen süreye uymadığında, hackerlar yöneticilerin maaşları ve aktörler ve aktrisler için sözleşmeler de dahil olmak üzere özel bilgileri muhabirlere gönderdiler. Ardından Sony Eşbaşkanı Amy Pascal’ın hesabından 5.000 e-posta sızdırdılar. White, bazılarının utanç verici detaylar içerdiğini de sözlerine ekliyor.
Filmin galasından sonra, hackerlar 11 Eylül’ü hatırlatan bir terör tehdidi yayımladılar ve Amerikalıları filmi gösteren sinemalardan uzak durmaya çağırdılar. White’e göre Sony bir ikilemle karşı karşıya kalmıştı: Filmin yayınlanmasına devam edebilir veya filmi geri çekebilirdi. Sonunda büyük sinema zincirleri filmin gösterimini reddetmek durumunda kaldı.
Dönemin ABD Başkanı Barack Obama, Sony ve sinemaların “hata yaptığını” söyledi.” Ayrıca, Pyongyang’ın planına öfkesini dile getirerek, “Bir diktatörün burada ABD’de sansür uygulamaya başlayabileceği bir topluma sahip olamayız.” dedi.
Obama, Ocak 2015’te ABD Hazine Bakanlığı’nın üç kuruluşa ve Pyongyang adına tüzel kişi, temsilci veya yetkili olarak görev yapan 10 kişiye yaptırım uygulamak için kullandığı Kuzey Kore hükümetine karşı ek yaptırımlara izin veren bir kararname yayınlamıştı. Bununla birlikte, bu yaptırımların hack operasyonları üzerindeki etkisi önemsiz kaldı zira Lazarus Grubunu denetleyen kuruluş da dahil olmak üzere üç taraf zaten yaptırımlar altındaydı. Hazine Bakanlığı’nın Lazarus Grubu’na yaptırım uygulaması ancak Eylül 2019’da gerçekleşebildi.
