Hive olarak bilinen kötü şöhretli bir siber suç çetesini tek bir kişiyi tutuklamadan çökerten FBI, bu yeni yaklaşımının bir örneğini sergiledi.
DEĞİŞEN STRATEJİ: SİBER SUÇLULARI HAPSETMEK YERİNE UZAKTAN ENGELLEMEK
Söz konusu değişiklik FBI’ın siber suçlarla mücadele yönetimindeki kayda değer bir değişikliği yansıtıyor. Bu, suçluları hapsetmek yerine onları alt etmeye ve uzaktan engellemeye odaklanıyor. Bunun bir alt sebebiyse siber suçluların çoğunun ABD dışında yaşaması.
Söz konusu mücadele yöntemi değişikliğini belki de en iyi tanımlayan başsavcı yardımcısı Lisa Monaco. Monaco, nisan ayında RSA güvenlik konferansında yaptığı açıklamada, FBI’ın eski standartlarına göre böyle büyük bir davayı herhangi bir tutuklama olmadan kutlamanın “sapkınlık” olacağını söylemişti. Ancak Monaco, “Artık başarımızı sadece mahkeme salonundaki eylemlerle ölçmüyoruz.” diye sözlerine devam etmişti.
HIVE’A SIZMAK 130 MİLYON DOLARI KURTARDI
Hive bir zamanlar dünyanın en üretken suç örgütlerinden biriydi ve Amerikan okullarının, işletmelerinin ve sağlık tesislerinin ağlarını kapatması ve ardından erişimi yeniden sağlamak için fidye talep etmesiyle ünlüydü.
FBI, Temmuz 2022’de Hive’ın ağına girerek hem Hive kurbanlarına büyük bir yardım yaptı hem de siber suçluların potansiyel saldırılarını engelledi.
Hive’ın çökertildiği dönemde Adalet Bakanlığı’nın ulusal güvenlik biriminde başsavcı yardımcısı olarak görev yapan Adam Hickey, FBI’ın bu operasyonla dünya genelindeki mağdurlara yaklaşık 130 milyon dolar kazandırdığını ve bunun da yaklaşımın ne kadar etkili olduğunu kanıtladığını söyledi.
Hickey, “İnsanları hapse atmanın siber tehdide karşı koymanın tek yolu olduğunu düşünmek için goril olmak gerekir.” dedi.
Ancak bu yaklaşımın da sınırları var. FBI yetkilileri ve bağımsız siber güvenlik uzmanlarıyla yapılan röportajlar, FBI’ın bu işi nasıl başardığı ve Hive operasyonunu neden tam olarak bitiremeyip sadece zayıflatabildiği konusunda yeni ayrıntılar sunuyor.
Çeteye sızma çabası uzun ve yoğun emek gerektirdi. Hive, ilk olarak Temmuz 2021’de FBI’ın radarına girdi.
FBI şifreli iletişim tuzağıyla suç şebekelerini avladı: 800 kişi tutuklandı
Yüksek profilli fidye yazılım grupları Amerikan gaz boru hatlarına ve et işleyicilerine felç edici saldırılar düzenlerken, o zamanlar bilinmeyen Hive çetesi Florida’da adı açıklanmayan bir kuruluşun ağını kilitledi.
Hive’ın Amerika Birleşik Devletleri’nde bilinen ilk saldırısı olduğu için FBI prosedürü, büronun kurbana en yakın olan Tampa saha ofisinin gelecekteki tüm Hive vakalarının sorumluluğunu üstlenmesini gerektiriyordu.
Tampa ofisinde özel ajan olarak görev yapan Justin Crenshaw, kendisinin ve ekibinin o sırada grup hakkında hiçbir şey bilmediklerini, ancak hızla araştırmaya başladıklarını söyledi.
ABD kolluk kuvvetlerinin tahminlerine göre, sonraki 18 ay içinde Hive dünya genelinde 1.500’den fazla saldırı düzenledi ve kurbanlarından yaklaşık 100 milyon dolar kripto para topladı.
Grup, kısmen acımasızlığı güçlü bir büyüme motoruna dönüştürerek, diğer siber suçluların sınır dışı ilan ettiği hastaneler ve sağlık hizmeti sağlayıcıları gibi kuruluşları hedef alarak bu kadar hızlı büyüdü.
Hive birbiri ardına saldırılar düzenlerken, Tampa ajanları büroya başvuran her kurbanla görüştü ve bu süreç yavaş yavaş çete hakkında değerli istihbaratlar elde edilmesini sağladı.
Örneğin, Hive’ın nasıl tek bir grup değil de birkaç grup olduğunu, sıkı bir mafyadan ziyade McDonald’s gibi markalaşmış bir franchise’a daha yakın olduğunu öğrendiler.
Grup, siber suç uzmanlarının “hizmet olarak fidye yazılımı” adını verdikleri bir modelle çalışıyordu; bu modelde Hive’ın çekirdek üyeleri şifreleme yazılımlarını, ağlara sızma ve fidye yazılımı yükünü dağıtma konusunda uzmanlaşmış diğer suçlulardan oluşan geniş bir ağa ya da “bağlı kuruluşlara” kiralıyordu.
İLK ADIM 12 AY SONRA ATILDI
İlk vakanın Tampa masasına ulaşmasından on iki ay sonra, Crenshaw nihayet bir atılım yaptı.
Grubun uzaktan yönetim paneline, yani çete üyelerinin ellerine geçen her hastane, okul ve küçük işletmenin verilerini karıştırmalarına ve ardından kurtarmalarına olanak tanıyan anahtarları korudukları dijital bir sinir merkezine girmenin bir yolunu buldu.
Bu buluş FBI’a dikkate değer bir fırsat sundu: Hive’ın kurbanlarını, grup onlara saldırır saldırmaz tespit etme ve ardından ağlarını eski hâline getirmek için ihtiyaç duydukları şifre çözme anahtarlarını onlara iletme.
Sonraki altı ay boyunca FBI Tampa dünya çapında 300’den fazla yeni kurbana anahtar sağladı.
Crenshaw’ın ekibi mağdurlara teknik yardım sunma konusunda o kadar başarılı oldu ki sonunda Crenshaw ve ekibi kendilerine bir lakap taktı: Hive yardım masası.
Ancak FBI’ın Hive’a sızmadaki başarısı hiçbir zaman grubun toptan imhasına dönüşmedi. Verilere göre grup, içlerine FBI sızmışken bile istikrarlı bir saldırı temposunu sürdürdü.
Hive’ın ödeme yapmayı reddeden kurbanların isimlerini ve hassas bilgilerini yayınladığı dark web sitesinde, ağustos ayında yedi, eylül ayında sekiz, ekim ayında yedi, kasım ayında dokuz ve aralık ayında 14 kurban listelendi. Bu rakamlar sızma öncesi rakamlarla tutarlıydı.
Hive’ın bu kadar aktif kalmasının bir nedeni, hassas dosyalarını internete sızdırmakla tehdit ederek kurbanlar üzerinde ek baskı kurabileceğini öğrenmiş olması.
HIVE DAVASI HÂLÂ SÜRÜYOR
Bu yılın Ocak ayı başlarında Tampa ofisi, Hive davasını tamamen değiştirecek olan ikinci büyük keşfine ulaştı.
Daha titiz bir araştırma sonucunda FBI, Hive’ın saldırılarını düzenlemek için kullandığı ana sunucuları Los Angeles’taki bir veri merkezinden kiraladığını öğrendi. Sadece iki hafta sonra donanıma el koydu. Kısa bir süre sonra da Hive’ın kapatıldığını duyurdu.
Crenshaw, Hive üyeleri hâlâ dışarıda olduğu için davanın bitmediğini söyledi. Hatta bu sunucular, FBI’ın 18 ay boyunca Hive ile çalışan bağlı kuruluşların maskesini düşürmesine yardımcı olabilir.
YENİ STRATEJİNİN ARTISI VE EKSİSİ
Geçtiğimiz ay ABD Adalet Bakanlığı, Hive’a bağlı olarak çalışmakla suçlanan bir Rus vatandaşı hakkındaki iddianameyi duyurmuştu. Mikhail Matveev adlı bu kişi hâlâ firarda ve iki farklı fidye yazılım grubu için çalışmış. Bu da siber suçluların çeteler arasında dolaşmasının ve birinin çökmesi halinde yeniden ortaya çıkmasının ne kadar kolay olduğunun bir işareti.
Birçok kurban adına fidye yazılımı müzakerecisi olarak görev yapan siber güvenlik şirketi GroupSense’in CEO’su Kurtis Minder, “Liderliği ele geçirmediğiniz ve onları tam anlamıyla kilit altına almadığınız sürece, ‘fidye yazılımı’ gruplarının anlamlı bir şekilde yeniden ortaya çıkmasını durdurmanız pek olası değil.” dedi.
Minder, “FBI’ın elindekilerle en iyisini yapmaya çalıştığını, yine de bu insanların tekrar geri dönmesinin oldukça basit olduğunu” söyledi.
NSA’in siber güvenlik direktörü Rob Joyce, bu stratejinin asıl hedeflediği şeyin suç ekosistemine olan güveni sarsmak olduğunu söyledi.
Joyce, Hive’ın ele geçirilmesi gibi operasyonların “Kime güvenebileceklerinden ya da neye inanabileceklerinden emin olmayan pek çok suçlunun aklının karışmasına neden olduğunu” belirtti. Joyce, “Bu kafa karışıklığı onları yavaşlatıyor ve faaliyet gösterme yeteneklerini engelliyor.” dedi.
FBI’ın dijital sabotajı geçici kazanımlar sağlasa da suçlular şimdi ABD kolluk kuvvetlerinin peşlerinde olduğunu çok iyi bilerek yeniden toparlanabilir ve faaliyetlerine yeniden başlayabilirler.
