Siber suç örgütlerinin şüpheli lideri tutuklandı ve iade edildi

Birleşik Krallık

Ulusal Suç Ajansı (NCA) tarafından koordine edilen uluslararası bir operasyon, dünyanın en üretken Rusça konuşan siber suç aktörlerinden biri olduğuna inanılan bir adamın tutuklanması ve iadesiyle sonuçlandı.

NCA, 2015’ten beri çevrimiçi ‘J.P. Morgan’ lakabını ve suç şebekesini araştırıyor ve paralel soruşturmalar Amerika Birleşik Devletleri Gizli Servisi (USSS) ve FBI tarafından da yürütülüyor.

J.P. Morgan ve ortakları, kolluk kuvvetlerinin tespitinden kaçınmak için aşırı operasyonel ve çevrimiçi güvenlik uygulayan seçkin siber suçlulardır.

NCA’dan siber suç uzmanları, uluslararası ortaklarla yakın bir şekilde çalışarak, J.P. Morgan da dahil olmak üzere birkaç yüksek profilli çevrimiçi lakaptan sorumlu gerçek dünyadaki kişileri belirledi ve Avrupa genelinde tespitten kaçınmaya çalışırken onları başarıyla takip edip yerlerini tespit etti.

Araştırmacılar, bu kişilerin Reveton ve en son Ransom Cartel gibi kötü şöhretli fidye yazılımı türlerinin yanı sıra Angler gibi istismar kitlerinin geliştirilmesinden ve dağıtımından sorumlu olduklarını ve bunların dünya çapındaki kurbanlarından on milyonlarca dolar gasp ettiğini tespit ettiler.

ABD’de birkaç kişiye karşı yöneltilen suçlamaların ardından, 18 Temmuz 2023’te NCA ve ABD memurlarının desteğiyle Guardia Civil’in İspanya’nın Estepona kentindeki bir apartmanda 38 yaşındaki Maksim Silnikau’yu (Maksym Silnikov olarak da bilinir) tutukladığı koordineli bir eylem günü gerçekleşti.

Belaruslu Silnikau’nun J.P. Morgan takma adını ve siber suç topluluğunda ‘xxx’ ve ‘lansky’ gibi diğer kötü şöhretli takma adları kullandığına inanılıyor.

Silnikau, 9 Ağustos 2024 Cuma günü Polonya’dan ABD’ye siber suç suçlarıyla ilgili suçlamalarla yüzleşmek üzere iade edildi.

Belaruslu 38 yaşındaki Vladimir Kadariya ve Rusyalı 33 yaşındaki Andrei Tarasov da J.P. Morgan’ın suç grubunda önemli roller oynadıkları iddiasıyla ABD’de suçlamalarla karşı karşıya.

J.P. Morgan’ın suç faaliyetleri en azından 2011’de kendisinin ve ortaklarının ilk fidye yazılımı hizmeti iş modeli olan Reveton’u tanıttığı zamana kadar uzanıyor.

Bu tür hizmetler, düşük becerili suçluların ücret karşılığında etkili fidye yazılımı saldırıları başlatmalarına olanak tanıyan bir dizi araç sunar ve artık yaygın olarak kullanılmaktadır, yani siber suçlara giriş engelini önemli ölçüde düşürmüşlerdir.

Reveton mağdurları, çocuk istismarı materyali ve telif hakkıyla korunan programlar gibi yasa dışı içerikleri indirmekle suçlayan, ekranlarını ve sistemlerini kilitleyecek bir bildirimle birlikte kolluk kuvvetlerinden geliyormuş gibi görünen mesajlar aldılar.

Reveton, bir web kamerasının kullanımını tespit edebilir ve bildirime bir ödeme talebiyle birlikte kullanıcının bir görüntüsünü alabilirdi. Daha sonra mağdurlar, hapis cezası korkusuyla veya cihazlarına yeniden erişim sağlamak için büyük para cezaları ödemeye zorlandılar.

Dolandırıcılık, 2012’den 2014’e kadar her ay yaklaşık 400.000 dolar mağdurlardan gasp edilmesiyle sonuçlandı.

J.P. Morgan’ın ağı ayrıca, ‘kötü amaçlı reklamcılık’ kampanyaları yürütmek için kullandıkları kötü şöhretli Angler Exploit Kit de dahil olmak üzere bir dizi istismar kiti geliştirdi ve dağıttı.

Bu kampanyalar çeşitli biçimler aldı, ancak genel olarak siber suçluların meşru web sitelerinde reklam alanı satın almasını ve kötü amaçlı bir istismar kitiyle bağlanmış reklamlar yüklemesini içeriyordu.

Kit, web sitesinin sistemindeki güvenlik açıklarını arardı ve bu da nihayetinde kurbanın bilgisayarına fidye yazılımı (Reveton, CryptXXX, CryptoWall ve diğer türler) dahil olmak üzere kötü amaçlı yazılımlar göndermesini sağlardı.

Bu kampanyalar çeşitli biçimler aldı, ancak genel olarak siber suçluların meşru web sitelerinde reklam alanı satın almasını ve kötü amaçlı bir istismar kitiyle bağlanmış reklamlar yüklemesini içeriyordu.

Kit, web sitesinin sistemindeki güvenlik açıklarını arayarak, kurbanın cihazına fidye yazılımları (Reveton, CryptXXX, CryptoWall ve diğer türler) dahil olmak üzere kötü amaçlı yazılımların iletilmesini sağlıyordu.

Siber suçlular bir kurbanın cihazına bulaştıktan sonra, bunları çeşitli şekillerde istismar edebiliyor, genellikle bankacılık kimlik bilgilerini ve hassas kişisel bilgileri çalıyorlardı. Bir kurban, bilgilerinin çevrimiçi olarak yayınlanması tehdidi altında fidye ödemeye zorlanabilirdi.

NCA araştırmacıları, İngiliz uyruklu Zain Qaiser’in J.P. Morgan ile çalıştığını, Angler kötü amaçlı reklam kampanyaları başlattığını ve karı onunla paylaştığını tespit etti.

Qaiser, şantaj, Bilgisayar Kötüye Kullanımı Yasası ve kara para aklama suçlarından hüküm giydi ve 2019’da İngiltere’de altı yıl beş ay hapis cezasına çarptırıldı.

Angler, zirve döneminde tüm exploit kiti enfeksiyonlarının %40’ını temsil ediyordu ve yaklaşık 100.000 cihazı hedef alıyordu ve tahmini yıllık cirosu yaklaşık 34 milyon dolardı.

Exploit kitleri ve kötü amaçlı yazılımları iletmek için J.P. Morgan’ın ağı, kötü amaçlı yazılımları genellikle virüsten koruma yazılımları tarafından tespit edilmesini önleyecek şekilde çevrimiçi reklamların içine yerleştirip gizliyordu. Ukrayna, Kiev’deki fiziksel ofislerde zaman zaman Media Lab gibi çeşitli isimler altında faaliyet gösteriyorlardı.

Bu kötü amaçlı reklam kampanyaları, Birleşik Krallık da dahil olmak üzere dünya çapında yarım milyardan fazla kurbanı etkiledi.

NCA, Ukrayna Güvenlik Servisi Siber Departmanı ile yakın bir şekilde çalışarak onlara Media Lab ile ilgili bilgileri iletti ve eylem günü birkaç çalışanı ve grup üyesini hedef alan 15 arama yapmalarını sağladı.

Singapur Polis Gücü (SPF) de dahil olmak üzere ortaklarla çalışan NCA, fidye yazılımı türü Ransom Cartel’i yönetmek ve işletmek için kullanılan altyapıyı bulabildi ve eylem gününden sonra bunun çevrimdışı olduğundan emin oldu.

Portekiz’de de operasyon düzenlendi, suç örgütüyle bağlantısı olduğu değerlendirilen bir kişi gözaltına alındı ​​ve evi/iş yeri Adli Polis tarafından arandı.

Görüşmelerden ve aramalardan elde edilen temel kanıtlar, bu suç şebekesi ve ilişkili siber suç gruplarıyla bağlantılı diğer aktörleri hedef alan devam eden soruşturmayı desteklemek için inceleniyor. Bunların arasında 50 terabayttan fazla veri de yer alıyor.

NCA Müdür Yardımcısı Paul Foster, Ulusal Siber Suç Birimi Başkanı, şunları söyledi: “Bu eylem, J.P. Morgan ve dünya çapındaki bireylere ve işletmelere ölçülemez zararlar veren suç şebekesine yönelik karmaşık ve uzun süredir devam eden uluslararası soruşturmaların doruk noktasıdır.

“Önemli itibar ve mali zarara yol açmalarının yanı sıra, dolandırıcılıkları kurbanların ciddi stres ve kaygı yaşamasına neden oldu.

“Etkileri, kendilerinin başlattığı saldırıların çok ötesine geçiyor. Esasen, insanların siber suçlara karışmasını ve suçlulara yardım etmeye devam etmesini kolaylaştıran hem istismar kiti hem de fidye yazılımı hizmeti modellerine öncülük ettiler.

“Bunlar, faaliyetlerini ve kimliklerini yıllarca gizlemede usta olan son derece gelişmiş siber suçlulardır.

“Ancak NCA, Birleşik Krallık’a en büyük zararı veren suç gruplarını yönlendiren zincirin tepesindeki organize suçluları tespit etmeye kararlıdır.

“Benzersiz yeteneklerimizi kullanarak ve ABD Gizli Servisi, FBI ve diğer uluslararası ortaklarla yakın bir şekilde çalışarak, çevrimiçi takma adların ardındaki kişileri tespit edip izleyebildik, grubun faaliyetlerini haritalayıp teknik altyapılarını hedef alabildik ve suç operasyonlarının önemli bir kolunu çalışmaz hale getirebildik.

“Bu, Birleşik Krallık’ta halkını siber suçlardan korumaya yönelik devam eden çabalarımızda son derece önemli bir sonuçtur.

“Soruşturmamız devam ediyor ve özellikle faillerle ilgili olarak ilgili bilgiye sahip olan herkesin cyber.investigation@nca.gov.uk adresine e-posta göndererek veya 0800 555 111 numaralı telefondan Crimestoppers’ı anonim olarak arayarak NCA ile iletişime geçmesi rica olunur.”

Amerika Birleşik Devletleri Gizli Servisi Soruşturma Müdür Yardımcısı Brian Lambert şunları söyledi: “Bu tutuklama, ABD Gizli Servisi’nin, kötü şöhretli Angler Exploit Kit’i dağıttığı, kötü amaçlı reklamcılık yaptığı ve Ransom Cartel fidye yazılımı örgütünü işlettiği iddia edilen siber suç örgütlerine yönelik, yabancı, yerli ve özel ortaklarla koordinasyon halinde yürüttüğü uzun vadeli bir soruşturmanın altını çiziyor.”

“Siber suçlular, suç eylemlerini internetin anonimliği arkasına gizlemeye çalışsalar bile, uluslararası kolluk kuvvetlerinin özverisi sayesinde sonunda yakalanacaklarını ve eylemlerinden sorumlu tutulacaklarını bilmelidirler.”

Fidye yazılımı saldırıları, kullanıcının bilgisayarındaki dosyalara erişimini engellemeyi, ardından bu dosyaları şifrelemeyi ve erişimi yeniden kazanmak için fidye talep etmeyi içeren yasa dışı eylemlerdir. İngiltere’de, 1990 tarihli Bilgisayar Kötüye Kullanımı Yasası uyarınca fidye yazılımı saldırısı düzenlemek veya bir fidye yazılımı hizmeti ürünü satın almak bir suçtur.

Cyber ​​Choices programı, siber suç işlemenin kıyısında olanların yasayı anlamalarına ve becerilerini yasal olarak kullanmaları için teşvik etmelerine yardımcı olmak amacıyla oluşturulmuştur.

Bu, NCA tarafından koordine edilen ve Bölgesel Organize Suç Birimleri ve Yerel Polis Gücü Siber Ekipleri içindeki Cyber ​​Choices ekipleri tarafından yürütülen ulusal bir operasyondur.

FBI Müdür Yardımcısı Paul Abbate şunları söyledi: “Silnikau ve suç ortaklarının, ABD’de ve dünya çapında milyonlarca şüphesiz internet kullanıcısını hedef almak için kötü amaçlı yazılımlar ve çeşitli çevrimiçi dolandırıcılıklar kullandıkları iddia ediliyor.

“Çevrimiçi takma adların arkasına saklandılar ve kurban cihazlarını tehlikeye atmak ve hassas kişisel bilgileri çalmak için karmaşık, kapsamlı siber dolandırıcılık planlarına giriştiler. FBI, siber suçlulara agresif bir şekilde maliyet yüklemek ve eylemlerinden sorumlu tutmak için ortaklarla çalışmaya devam edecek.”

Kaynak: NCA