Nisan ayında bir ABD hukuk bürosunun yöneticisinin telefonu çaldığında, hattın diğer ucundaki ses acildi: Bilgisayar virüsü büroya yayılıyordu. Arayan kişi kendisini BT destek ekibinden biri olarak tanıttı ve saldırıyı durdurmak için uzaktan yapılan müdahalelerin işe yaramadığını, bu nedenle avukatın bilgisayarına fiziksel erişim gerektiğini söyledi. Avukat, sözde çalışma arkadaşına New Jersey’deki ofisinde kendi masasına uğramasını söyledi. Ertesi gün büronun resepsiyon görevlisi aradı: Avukatın ön masada BT’den bir ziyaretçisi vardı. “İşte o an alarm çaldı: Bir BT çalışanı neden resepsiyona giriş yapmak zorunda kalsın?” dedi, olayı araştırmak üzere hukuk bürosunun anlaştığı siber güvenlik sigortası şirketi Coalition’da olay müdahale uzmanı olan Leeann Nicolo. Nicolo’ya göre ziyaretçi, avukat ön masaya yaklaştığında binadan kaçtı. Bu olay, FBI ve özel dedektiflerin, Rusça konuşan Silent Ransom Group’un son bir yılda ABD genelindeki hukuk bürolarına yönelik düzenlediği birkaç girişimden sadece biri. Şüphelenilen eylemde grup, ABD’deki kişileri bizzat gidip hukuk bürolarının bilgisayarlarına USB bellek takmaları için kiralıyor. Fiziksel erişim, bilgisayar korsanlarının uzaktan karşılaştığı antivirüs korumalarını aşmalarına yardımcı olabiliyor.
FİZİKSEL ERİŞİM İÇİN 500 DOLARLIK KİRALIK ELEMAN
Grup, milyonlarca dolarlık getirisine karşın oldukça mütevazı yatırımlar yapıyor. Olaylara aşina bir siber güvenlik uzmanına göre grup, özel bir Telegram kanalında insanlara hukuk bürolarını ziyaret edip USB bellek takmaları için 500 dolar teklif ediyor. Kaynak, kiralanan kişilerin Rusça konuşan siber suçlular için çok daha büyük bir siber suç savaşında harcanabilir birer “top yemi” olduğunu söyledi. Bu taktik, bilgisayar korsanları için nadir ve riskli bir yöntem; çünkü FBI’ın inceleyebileceği güvenlik kamerası görüntüleri de dahil olmak üzere bir kanıt izi bırakıyor. Grubu takip eden bir kolluk görevlisi, siber suçluların “insanları internet üzerinden yapmaları için işe aldıkları şeyler konusunda giderek daha cesur hale geldiklerini” belirtti.
HEDEFTEKİ MÜŞTERİ VERİLERİ VE FİDYE TEHDİDİ
Bu pervasız operasyonların amacı, hukuk bürolarının müşterilerine ait hassas verileri ele geçirerek milyonlarca dolarlık fidye pazarlıklarında suçluların elini güçlendirmek. Bürolar ödeme yapmazsa, bilgisayar korsanları çalınan bilgileri sızdırıyor. Silent Ransom Group tek başına bilgisayar korsanlığıyla büyük bir servet kazandı. Gruba yapılan fidye ödemelerini kolaylaştıran bir siber güvenlik yöneticisinin tahminine göre grup, yalnızca son altı ayda hukuk bürolarından yaklaşık 100 milyon dolar fidye aldı. Grup hakkında bilgi sahibi diğer kaynaklar, bu rakamın en az on milyonlarca dolar olduğunu tahmin ediyor. Uzaktan yapılan bilgisayar korsanlığı büyük bir vurgun için yeterli veriyi sağlamadığında grup, işi taşeronlara devrederek riski artırmaya çalıştı. Kiralanan kişilerin New York ve Washington, D.C. dahil olmak üzere büyük ABD şehirlerini ziyaret ettiği tespit edildi.
AKILLI GÖZLÜKLÜ SAHTE BT GÖREVLİSİ
Başka bir vakada, bir kişi BT destek personeli kılığında başka bir ABD hukuk bürosuna girdi ve akıllı gözlüğüyle Rusça konuşmaya başladı. Olaya aşina başka bir siber güvenlik araştırmacısına göre bu, siber suç grubuna binadaki bilgisayarları canlı olarak gösterme amacı taşıyordu. Saldırgan, bilgisayarını ele geçirmek istediği avukatın masasına ulaşamadan, suç örgütünün başka bir üyesi avukatın cep telefonunu arayarak kendisini bir kargo görevlisi olarak tanıttı ve onu masasından uzaklaştırmaya çalıştı. Araştırmacı, saldırganın USB belleği taktığını ancak hukuk bürosunun siber savunma sistemlerinin saldırıyı engellediğini söyledi.
FBI’DAN NADİR GÖRÜLEN FİZİKSEL SALDIRI UYARISI
Gruba ödeme yapan siber güvenlik yöneticisi, “Beklentim, ABD’deki tüm büyük hukuk bürolarını hedef aldıkları yönünde” dedi. FBI, yaptığı açıklamada Silent Ransom Group’un, kurbanlarının mülklerine fiziksel olarak erişen bilinen tek “veri gaspı grubu” olduğunu belirtti. FBI, Silent Ransom Group’un ABD genelindeki şehirlerde “çok sayıda fiziksel erişim girişiminde” bulunduğunu ancak bu konuda bir röportaj talebini reddetti. Diğer bazı siber suçlular daha önce “swatting” (sahte ihbarla polisi harekete geçirme) ve şiddet tehdidi gibi fiziksel tehditlerde bulunmuş olsa da çoğu devlet ve özel güvenlik uzmanı, siber ve fiziksel tehditlerle aynı anda başa çıkmak için eğitimli değil. Google Tehdit İstihbarat Grubu siber suç ve bilgi operasyonları istihbarat analizi başkanı Genevieve Stark, “Birçok tehdit aktörü her şeyi tamamen dijital yollarla yürütmeyi daha kolay buluyor ve bu nedenle fiziksel yön, pek düşünmediğimiz bir tehdit olabilir. Bizzat gelen birine güvenme olasılığı daha yüksek olabilir çünkü bu beklenmedik bir durum” dedi.
CONTİ BAĞLANTISI VE YENİ TEHDİTLER
Silent Ransom Group’un bilgisayar korsanları FBI için yabancı değil. Siber güvenlik araştırmacıları, grubun bazı üyelerinin 2022’de, Rusya’nın Ukrayna’yı işgaline misilleme olarak Ukraynalı bir adamın grubun dahili yazışmalarını sızdırmasının ardından dağılan kötü şöhretli Conti fidye yazılım çetesinde yer aldığına inanıyor. Sızıntı, bilgisayar korsanlarının Rus istihbaratıyla bağlantıları olduğuna dair kanıtları da içeriyordu. FBI, Conti hakkında yıllarca delil topladı ve üyelerinin hareketlerini izledi. Ukraynalı adam, FBI’ın kendisinden Conti dosyalarını sızdırmayı bırakmasını istediğini, bunun sebebinin muhtemelen soruşturmaya müdahale etmesi olduğunu söyledi. Şimdi FBI, hukuk bürolarının blockchain üzerindeki ödemelerini takip ederek Silent Ransom Group’a karşı dava hazırlıyor. Soruşturma tamamen dijital değil. Coalition yöneticisi Nicolo’ya göre son bir yılda en az iki ABD hukuk bürosu, sözde çalınan verileri sızdırmamak karşılığında postayla kripto para veya nakit talep eden gasp mektupları aldı. Mektuplardaki iade adreslerinin Washington, DC ve Boston’daki boş ofisler olduğunu söyleyen Nicolo, bunu “ürkütücü” olarak nitelendirdi. Mektuplar farklı bir siber suç grubu tarafından imzalanmış olsa da Nicolo bunun bir yanıltma (false flag) operasyonu olduğunu düşünüyor. Adli bilişim incelemeleri, firmalardan en az birinin Silent Ransom Group tarafından hacklendiğini gösteriyor. Nicolo, “Sanırım bunun daha fazlasını göreceğiz,” dedi. “Ödeme almayı ummak ve/veya bir yerlerde para kazanacak kadar kurbanı hacklemek ile bir sonraki baskı seviyesini uygulamak arasında ince bir çizgi var.”