Bu yılın başlarında, kolluk kuvvetlerinden oluşan uluslararası bir koalisyon, kötü şöhretli fidye yazılımı çetesi LockBit’in karanlık web sitesinin kontrolünü ele geçirdi ve içeriğini yetkililerden gelen artık tanıdık bir mesajla değiştirdi: “Bu site artık kolluk kuvvetlerinin kontrolü altında. ” Operasyon, grubun operasyonunu çok uzun süre aksatmadı; çete, yayından kaldırıldıktan kısa bir süre sonra yeni bir site açtı.
Ancak daha sonra 6 Mayıs’ta yetkililer LockBit’in eski site sayfasını güncellediler ve LockBit yöneticisinin kimliğini açıklayacaklarını duyurdular. “LockBitSupp kimdir?” sitede 24 saatlik geri sayımı da içeren bir kutuyu okuyun.
Siber güvenlik araştırmacısı Jon DiMaggio duyuruyu gördüğünde hemen şunu merak etti: Polisler benim tanımladığım adamın aynısını mı tutuyor?
Siber güvenlik firması Analyst1’de araştırmacı olan DiMaggio, son birkaç yıldır LockBitSupp ile bir ilişki geliştirmişti; önce çeteye katılmakla ilgilenen yeni yetişen bir siber suçlu gibi davranarak, sonra da kendisi gibi davranmıştı. Ve sonunda DiMaggio, yetkililer tarafından kamuya açıklanmadan önce LockBitSupp’un gerçek kimliğini bulmayı başardı.
Cuma günü, Las Vegas’taki Def Con hackleme konferansında yaptığı bir konuşmada DiMaggio, LockBitSupp ile olan ilişkisinin tüm hikayesini anlattı, uydurma bir kişilik kullanarak güvenini nasıl kazandığını ayrıntılarıyla anlattı ve ardından DiMaggio’nun kamuoyuna açıklanmasından sonra bile ilişkiyi devam ettirdi. çeteye sızdığını ve operasyonun ayrıntılarını kendisine vermesi için LockBitSupp’u kandırdığını ortaya çıkardı.
DiMaggio, konferans öncesinde TechCrunch’a verdiği sunumun önizlemesinde “İlişkimizde birçok iniş ve çıkışlar oldu” dedi.
DiMaggio ilk başta, LockBitSupp ile doğrudan ilişkisi olduğu görünen insanlara yaklaşmak ve onların etkileşimlerini gözlemlemek için bir dizi çorap kuklası hesabı oluşturduğunu açıkladı. Bu aşamadaki amaç, LockBit ve yöneticisine doğrudan ulaşıldığında güvenilir görünmeyi kolaylaştıracak, yeraltında bir tür geçmişi ve bağlantıları olan bir siber suçlu kişiliği yaratmaktı.
“Bunun önemli kısmı alakasız görünen konuşmaları izlemekti. Korumalarını devre dışı bıraktıkları, diğer bilgisayar korsanlarıyla sadece konuştukları yerler. Sevdikleri şeyleri ve sevmedikleri şeyleri görmemi sağladı. DiMaggio, bana onların siyasi görüşleri hakkında bir bağlam kazandırdı” dedi. “Bu işe girişmeden önce inşa etmem gereken her şey vardı çünkü bu konuya girseydim ve saldırılar ve operasyonlarıyla ilgili sorular sormaya başlasaydım, bir araştırmacı olduğum oldukça açık olurdu.”
DiMaggio, çeteye katılmaya yönelik ilk girişiminin reddedildiğini ancak doğrudan ve dostane bir ilişki kurmaya başladığı LockBitSupp ile konuşmaya devam ettiğini söyledi. O andan itibaren DiMaggio, LockBitSupp’a odaklandığını, onunla şakalar yaptığını, farklı unsurlar ve saldırı türleri, bunlar arasında nasıl seçim yapılacağı, kurbanlarla nasıl müzakere edileceği ve nasıl yapılacağı gibi operasyonunun ayrıntıları hakkında gelişigüzel sorular sorduğunu söyledi. kurban şirkete bağlı olarak doğru fidye talebinin ne olduğunu belirlemek.
Daha sonra, Ocak 2023’te DiMaggio, gizli araştırması sırasında bulguları hakkında uzun bir rapor yazdı ve aslında tüm sahte siber suçlu kimliklerini yaktı. DiMaggio, bunun LockBitSupp ile ilişkisinin sonu olacağını düşündüğünü söyledi. Bunun yerine suç elebaşı bunu hafife almış gibi görünüyordu ve forumlarda DiMaggio’nun kendisini kadınlarla birlikte yatlarda gezdirmesini ve yüksekten uçan bir siber suçlu olarak hayatının tadını çıkarmasını dilediğini yazmıştı. Bu bile DiMaggio için ilginçti.
DiMaggio, “Tanıdığım kişi, motivasyonu kesinlikle para olsa da gösterişli bir insan değil, maddi şeylere takıntılı olmasını bekleyeceğim türden bir insan değil” dedi. “Dolayısıyla onun bu forumlarda sunduğu tavır ve kişiliği ile bire bir konuştuğum kişi arasında büyük bir tezat vardı.”
Ardından DiMaggio, LockBitSupp’un DiMaggio ile dalga geçmenin bir yolu olarak hack forumlarında kendi avatarı olarak LinkedIn fotoğrafını kullanmaya başladığını söyledi. DiMaggio, “Bu tam anlamıyla bir kedi-fare oyunuydu ve dürüst olmak gerekirse, benim onlarla oynamayı sevdiğim kadar LockBit de bu oyunu benimle oynamayı seviyordu” dedi.
Geçen yılın Ağustos ayı başlarında DiMaggio, LockBitSupp’u herkesin önünde trollemeye karar verdi. Şaka olsun diye X’te fidye yazılımı grubuyla ilgili yeni bir araştırma yayınlayacağını ve LockBitSupp onu durdurmak isterse ona 10 milyon dolar ödeyebileceğini iddia eden bir paylaşım yaptı. Sanki gaspçılardan şantaj yapmaya çalışıyormuş gibi yaptı. Şaşırtıcı bir şekilde, bazı siber suçlular ona inanmış ve açığa çıkacaklarından endişe ediyormuş gibi görünüyordu.
DiMaggio, “Psikolojik açıdan bakıldığında bu adamlarla gerçekten sevişebileceğinizi gösteriyor” dedi. “Bu operasyonun zihinsel yönü, yaptığım her şeyden çok daha ileri gitti.”
Bu arada DiMaggio, LockBitSupp’un yaklaşık 12 gün boyunca çevrimdışı kaldığını söyledi. Geri döndüğünde üzgün görünüyordu ama onunla iletişim kurmayı bırakmadı. Aynı sıralarda LockBit, Chicago’da çocukları tedavi eden bir devlet hastanesine yönelik siber saldırının sorumluluğunu üstlendi; bu, başka bir çocuklara yönelik tesis olan Toronto’daki SickKids hastanesine yapılan saldırıdan sonra bir hastaneye yapılan ikinci saldırıydı.
DiMaggio, bu saldırıların “beni gerçekten çok kızdırdığını” söyledi. Ve onu neredeyse LockBitSupp’a “siktir git” diyen ve onlar için geleceğini söyleyen öfkeli bir mesaj göndermeye ikna ettiler. Sonunda DiMaggio, onu göndermemeye karar verdiğini çünkü “hedefinize duygusal olarak bağlanamazsınız” dedi.
Daha sonra kolluk kuvvetleri LockBit’in web sitesini kapattı ve en azından çetenin operasyonunu geçici olarak kesintiye uğrattı. DiMaggio, tüm çabalarını LockBitSupp’u tanımlamaya, siber suç yeraltında ve diğer araştırmacılarla birlikte çete liderinin peşine düştüğünü duyurmaya odaklamaya karar verdiğini söyledi.
DiMaggio, “Bu noktada LockBit bunu biliyordu, av sürüyordu” dedi.
Ve bu av, birinin DiMaggio’ya gönderdiği isimsiz bir ihbarla kolaylaştırıldı. DiMaggio, ihbarcının kendisine LockBitSupp’a ait olduğu iddia edilen bir Yandex e-posta adresi verdiğini söyledi. Başlangıç noktası olarak DiMaggio, LockBitSupp’un kimliğinin gizemini çözebildiğini ve onu Dmitry Khoroshev adında birine yönlendirdiğini söyledi. Ancak bu bulgu ne kadar heyecan verici olsa da DiMaggio bundan tam olarak emin olamıyordu.
Ama sonra kendisinin bile beklemediği bir şey oldu. Yetkililer, LockBitSupp’un kimliğini açığa çıkarmak amacıyla ele geçirilen LockBit web sitesini güncelledi. DiMaggio, bu noktada özel sektör ortağı olarak ilişkisi olduğu FBI’a ulaşarak Khoroshev’i LockBit’in yöneticisi olarak tanımladığını söylediğini ve bunu açıklayan bir rapor yazmayı planladığını söyledi. DiMaggio, amacın FBI’a raporunu yayınlamak için beklemesi gerekip gerekmediğini sormak olduğunu söyledi.
“Bana beklememi söyledilerse doğru adamı bulma şansım oldukça yüksekti. Eğer bana ne istersem yapmamı söyleselerdi, o zaman muhtemelen hala beklerdim çünkü bu yanlış adamı bulduğum için olabilirdi,” diyen DiMaggio, FBI’ın kendisine beklemesini söylediğini de sözlerine ekledi.
DiMaggio, San Francisco’daki RSA siber güvenlik konferansına gidiyordu, bu yüzden “Eşyalarımı topladım, San Francisco’ya uçtum, indim, otele vardım ve tüm günü, tüm geceyi çalışarak ve yazarak geçirdim.” dedi DiMaggio. “Dmitry hakkında sahip olduğum her şeyi yazıyordum. Ve bu zamanlayıcının geçmesini bekleyecektim. Ve bunu yayınladıklarında, eğer aynı adama sahip olsaydık, raporumu yayınlayacaktım.”
24 saatlik geri sayım söz verildiği gibi sıfıra ulaştığında, ABD Adalet Bakanlığı Dmitry Khoroshev’i LockBit’in beyni ve yöneticisi olmakla suçladı. Bu noktada DiMaggio, Khoroshev’i kişisel bilgilerden arındıran kendi raporunu yayınlayabilir.
“İlk defa birine iftira atıyordum. Ve ismini açıkladılar, ben de bu adamla ilgili her şeyi açıkladım. Yaşadığı yer elimdeydi, güncel ve geçmiş telefon numaraları elimdeydi” dedi DiMaggio. “Ve oğlum, iddianame öncesinde yasal telefon numarasına sahip olan bu adamı sadece doğru adamı bulup bulmadığımı görmek için telefonla aramak zor değildi ama aramadım.”
DiMaggio, vedalaşmanın bir yolu olarak Khorosehv’e bir mesaj bile yayınladı ve ona diğerlerinden önce onu ifşa etmesi gerektiğini söyledi.
“LockBitSupp, sen akıllı bir adamsın. Artık meselenin para olmadığını ve durmadan önce bir milyon kurbanın olmasını istediğini ama bazen ne zaman çekip gitmen gerektiğini bilmen gerektiğini söyledin. İşte o zaman geldi eski dostum,” diye yazdı DiMaggio.
“Sen bana karşı her zaman gerçek oldun ve ben de sana karşı gerçek olmak istiyorum. Paranızı alın ve yapamayacağınız bir duruma düşmeden önce hayatınızın tadını çıkarın. Tıpkı REvil gibi sen de işleri çok ileri götürdün. Devam etme zamanı geldi. Senden nefret etmiyorum; Yaptığınız şeyden nefret ediyorum ve bugün sizi havaya uçurmak hoşuma gitmedi çünkü birbirimizi uzun zamandır tanıyoruz. Gerçek şu ki, eğer bunu bugün ben yapmasaydım, başkası yapardı. Bir düşman olarak sana, OSINT el kitabına sahip bir palyaço tarafından parçalanmanı izleyemeyecek kadar saygı duyuyorum, ki artık kimliğinin bilindiğine göre bu yeterli olacaktır. Geçmişimizle birlikte bunun benden gelmesi gerekiyordu. Devam etme zamanı geldi” diye yazdı.
DiMaggio, o zamandan beri Khoroshev’den haber alamadığını söyledi.
Operasyonu hakkında açıkça konuşan DiMaggio, araştırmacıların yalnızca bilgisayar korsanlarından veri toplamak veya forumlarda gizlenmekle kalmayıp, siber suçluların gruplarına sızarak da siber suçlular hakkında nasıl bilgi edinebileceklerini göstermeyi umduğunu söyledi. Ancak DiMaggio, araştırmacıların, yaptığı şeyin sonuçlar doğurabileceğini bilmesini istediğini de söyledi; ancak şimdilik hiçbir şey olmamasına rağmen Khoroshev’in intikam almak istediğine dair yalnızca söylentileri var.
DiMaggio, “Böyle suçlularla sikiştiğinizde kimse bundan zarar görmeden kurtulamaz” dedi.
Kaynak: https://techcrunch.com/2024/08/09/how-a-cybersecurity-researcher-befriended-then-doxed-the-leader-of-lockbit-ransomware-gang/