Dünyanın en büyük teknoloji şirketlerinden bazılarını hedef alan bir bilgisayar korsanlığı çılgınlığının ardından iki yıldan fazla bir süre boyunca yakalanmaktan kaçan ABD’li yetkililer, sonunda sorumlu bilgisayar korsanlarının en azından bir kısmını yakaladıklarını söylüyor.
Ağustos 2022’de güvenlik araştırmacıları, bir grup bilgisayar korsanının yaklaşık 10.000 çalışanın kimlik bilgilerini çalan karmaşık bir kimlik avı kampanyasının parçası olarak 130’dan fazla kuruluşu hedef aldığına dair bir uyarıyı kamuoyuna duyurdu. Bilgisayar korsanları özellikle dünya çapında binlerce şirket tarafından çalışanlarının evden oturum açmasına olanak tanıyan tek oturum açma sağlayıcısı Okta’yı kullanan şirketleri hedef alıyordu.
Okta’ya odaklandığı için hack grubuna “0ktapus” adı verildi. Grup bugüne kadar Caesars Entertainment, Coinbase, DoorDash, Mailchimp, Riot Games, Twilio (iki kez) ve düzinelercesini hackledi.
Bilgisayar korsanlarının kesinti süresi ve etki açısından en dikkate değer büyük siber saldırısı, Eylül 2023’te MGM Resorts’a yapılan ve kumarhane ve otel devine en az 100 milyon dolara mal olduğu bildirilen hacklemeydi. Bu durumda bilgisayar korsanları, Rusça konuşan fidye yazılımı çetesi ALPHV ile çalıştı ve şirketin dosyalarını geri alabilmesi için MGM’den fidye talep etti. Hack o kadar yıkıcıydı ki, MGM’nin sahip olduğu kumarhaneler günlerce hizmet vermekte zorlandı.
Son iki yıldır kolluk kuvvetleri bilgisayar korsanlarına yaklaşırken, siber güvenlik sektöründeki insanlar bilgisayar korsanlarını tam olarak nasıl kategorize edeceklerini ve onları bir gruba mı yoksa diğerine mi koyacaklarını bulmaya çalıştı.
Bilgisayar korsanlarının sosyal mühendislik, e-posta ve kısa mesaj kimlik avı ve SIM değiştirme gibi teknikleri yaygın ve yaygındır. Bireysel bilgisayar korsanlarından bazıları, farklı veri ihlallerinden sorumlu çeşitli grupların parçasıydı. Bu koşullar kimin hangi gruba ait olduğunu tam olarak anlamayı zorlaştırdı. Siber güvenlik devi CrowdStrike, hackerlardan oluşan bu şemsiye gruba “Dağınık Örümcek” adını verdi ve araştırmacılar 0ktapus ile bazı örtüşmeler olduğuna inanıyor.
Grup o kadar aktif ve başarılıydı ki, ABD siber güvenlik kurumu CISA ve FBI, kuruluşların beklenen saldırılara hazırlanmasına ve bunlara karşı savunma yapmasına yardımcı olmak amacıyla 2023 sonlarında grubun faaliyetleri ve teknikleriyle ilgili ayrıntıları içeren bir tavsiye belgesi yayınladı.
CISA, danışma belgesinde Scattered Spider’ın “büyük şirketleri ve onların sözleşmeli BT yardım masalarını hedef alan bir siber suçlu grubu” olduğunu yazdı. Ajans, grubun “genellikle gasp amacıyla veri hırsızlığı yaptığı” konusunda uyardı ve fidye yazılımı çeteleriyle bilinen bağlantılarına dikkat çekti.
Nispeten kesin olan bir şey, bilgisayar korsanlarının çoğunlukla İngilizce konuşması ve genellikle ergenlik çağında veya 20’li yaşların başında olduklarına inanılması ve bazen “ileri düzey ısrarcı gençler” olarak anılmasıdır.
Araştırma şefi Allison Nixon, “İlgili orantısız sayıda reşit olmayan çocuk var ve bunun nedeni, grubun bu reşit olmayanların içinde bulunduğu hoşgörülü yasal ortam nedeniyle kasıtlı olarak reşit olmayanları işe alması ve polisin bir çocuğu yakalaması durumunda onlara hiçbir şey olmayacağını bilmeleridir” dedi. Birim 221B’de o sırada TechCrunch’a söyledi.
Son iki yılda, 0ktapus ve Scattered Spider’ın bazı üyelerinin “Com” olarak bilinen benzer şekilde belirsiz bir siber suçlu grubuyla bağlantısı olduğu ortaya çıktı. Bu daha geniş siber suç topluluğundaki insanlar, gerçek dünyaya yayılan suçlar işlediler. Bunlardan bazıları soygun, hırsızlık ve tuğla örme gibi şiddet içeren eylemlerden sorumluydu; birinin evine veya dairesine tuğla atmak için haydutları işe almak; ve ayrıca birisinin yetkilileri kandırarak şiddet içeren bir suçun işlendiğine inandırması ve silahlı polis biriminin müdahale etmesini tetiklemesi. Bir şaka olarak doğmuş olsa da, sallamanın ölümcül sonuçları olduğu biliniyor.
İki yıl süren hacklemenin ardından yetkililer nihayet Scattered Spider’ın üyelerini tespit etmeye ve suçlamada bulunmaya başlıyor.
Temmuz ayında İngiltere polisi, MGM’deki hack olayıyla bağlantılı olarak 17 yaşında bir gencin tutuklandığını doğruladı.
Kasım ayında ABD Adalet Bakanlığı beş hacker hakkında suç duyurusunda bulunduğunu duyurdu: College Station, Texas’tan Ahmed Hossam Eldin Elbadawy (23); Ocak ayında tutuklanan Palm Coast, Florida’dan 20 yaşındaki Noah Michael Urban; Evans Onyeaka Osiebo, 20, Dallas, Teksas’tan; Joel Martin Evans, 25, Jacksonville, Kuzey Carolina’dan; ve Haziran ayında İspanya’da tutuklanan İngiltere’den 22 yaşındaki Tyler Robert Buchanan.
Kaynak: https://techcrunch.com/2024/11/23/the-rise-and-fall-of-the-scattered-spider-hackers/