Blog

Pompompurin Hacker: Bir OSINT & Tehdit İstihbaratı Analizi

Raidforum'dan Intelxbroker'a

Tehdit istihbaratı ve OSINT (Açık Kaynak İstihbaratı), özellikle BreachForums gibi hacker forumlarında, çevrimiçi takma adların veya takma adların arkasındaki kişileri tanımlamada güçlü araçlardır. OSINT, gizli kimlikleri ortaya çıkarmak için sosyal medya profilleri, gönderiler ve çevrimiçi etkileşimler gibi halka açık verilerin analizine dayanır. BreachForums örneğinde, araştırmacılar teknik ve sosyal istihbaratın bir kombinasyonunu kullanarak "pompompurin" ve "IntelBroker" gibi kilit figürlerin faaliyetlerini izleyebilirler. Veri sızıntılarının çapraz referanslanması, sosyal mühendislik ve çevrimiçi davranışların izlenmesi, bu takma adların arkasındaki gerçek dünya bireylerini tanımlamaya yol açan değerli ipuçları sağlayabilir.

Kolluk kuvvetleri BreachForums gibi forumları hedef aldığında, kullanıcıların hem normal ağındaki hem de karanlık ağdaki ayak izlerini takip etmek için genellikle gelişmiş tehdit istihbarat tekniklerini kullanırlar. Örneğin, "pompompurin "i tanımlamak için dijital adli bilişim, iletişim kalıplarını izleme ve güvenliği ihlal edilmiş sistemleri analiz etme yöntemlerinin bir karışımı kullanılmıştır. VPN'lerin, şifreli sohbetlerin ve takma adların kullanımı zorluklar yaratmaktadır, ancak doğru istihbarat çerçeveleri ve OSINT stratejileri ile araştırmacılar, Fitzpatrick'in tutuklanması ve cezalandırılmasında görüldüğü gibi, siber suçlulara karşı yasal işlem başlatmak için genellikle yeterli bilgiyi bir araya getirebilmektedir.

Osint - Osint'in Kapsamı

Açık Kaynak İstihbaratı (OSINT), kamuya açık olan bilgilerin toplanması ve analiz edilmesi anlamına gelir. Kamuya açık kayıtlarda, sosyal medya platformlarında, web sitelerinde, haber makalelerinde ve diğer kamuya açık kaynaklarda bulunan verileri kapsar. OSINT, ulusal güvenlik, kolluk kuvvetleri, kurumsal güvenlik ve gazetecilik dahil olmak üzere çeşitli alanlarda paha biçilmez bir varlık haline gelmiştir. OSINT diğer istihbarat toplama yöntemlerinden farklıdır çünkü yalnızca açık bilgi kaynaklarına dayanır. Bu kaynaklar genel olarak kategorize edilebilir:

• Medya : Gazeteler, dergiler, radyo ve televizyon yayınları.
• İnternet : Web siteleri, bloglar, sosyal medya ve çevrimiçi forumlar.
• Kamu Kayıtları : Devlet raporları, mali açıklamalar, mahkeme kayıtları ve diğer resmi belgeler
• Profesyonel ve Akademik Yayınlar : Dergiler, konferans bildirileri ve araştırma çalışmaları.

Soruşturmalarda OSINT'in Önemi

Kalabalık bir şehirde, Ana adında bir dedektif, siber suçlulardan oluşan bir ağı ortaya çıkarmakla görevlendirildi. Kapsamlı gizli operasyonlar için kaynakları olmadığından, Açık Kaynak İstihbaratına (OSINT) başvurdu. Halka açık sosyal medya profillerini, haber makalelerini ve çevrimiçi forumları analiz ederek şüphelilerin dijital ayak izlerini bir araya getirdi. Bu uygun maliyetli yaklaşım sadece zaman ve kaynak tasarrufu sağlamakla kalmadı, aynı zamanda gerçek zamanlı içgörüler sağlayarak suçluların faaliyetlerini izlemesine ve bir sonraki hamlelerini tahmin etmesine olanak tanıdı.

Bir gün Ana, görünüşte zararsız bir blog yazısı aracılığıyla çok önemli bir ipucu keşfetti. Bunu kamu kayıtları ve diğer çevrimiçi verilerle çapraz referanslandırarak, siber suçlular tarafından kullanılan gizli bir sunucunun yerini tespit etti. Bu buluş, ağın çökertilmesinde çok önemli bir rol oynadı ve OSINT'in büyük miktarda kamusal bilgiye erişme ve analiz etme becerisiyle modern soruşturmalarda nasıl güçlü bir araç olabileceğini gösterdi.

Soruşturmalarda Tehdit İstihbaratının Rolü Tehdit istihbaratı, bir kuruluşun güvenliğine yönelik potansiyel veya mevcut tehditler hakkındaki verilerin toplanmasını, analiz edilmesini ve yorumlanmasını içerir. Bu bilgiler tehditleri anlamak ve azaltmak için kullanılır ve siber saldırılara karşı proaktif bir savunma sağlar.

Soruşturmalarda tehdit istihbaratı, siber tehditlerin kritik yönlerinin ortaya çıkarılmasında çok önemli bir rol oynar. Araştırmacılar tehdit istihbaratını analiz ederek siber saldırıları etkili bir şekilde belirleyebilir ve belirli tehdit aktörlerine atfedebilirler. Bu, onların motivasyonlarını, metodolojilerini ve kullandıkları araçları anlamayı içerir. Ayrıca tehdit istihbaratı, yasal ve kolluk kuvvetleri işlemlerini destekleyen önemli veriler sağlayarak hayati bir kanıt kaynağı olarak hizmet eder. Atfetmenin ötesinde, tehdit ortamının kapsamlı bir görünümünü sunarak araştırmacıların farklı olayları birbirine bağlamasına ve siber tehditlerin faaliyet gösterdiği daha geniş bağlam hakkında daha derin bir anlayış kazanmasına olanak tanır. Bu bağlamsal anlayış, soruşturmaların etkinliğini artırarak siber olaylara kapsamlı ve bilinçli müdahaleler yapılmasını sağlar.

Kötü şöhretli Pompompurin hacker'ını araştırırken, tehdit istihbaratının çok değerli olduğu kanıtlandı. Araştırmacılar tehdit verilerini titizlikle analiz ederek Pompompurin'in kimliğini, güdülerini ve yöntemlerini bir araya getirebildiler. Bu analiz, bilgisayar korsanı tarafından kullanılan benzersiz kalıpları ve araçları ortaya çıkararak çok sayıda siber saldırının doğrudan Pompompurin'e atfedilmesini sağladı. Toplanan istihbarat kritik kanıtlar sağlayarak yasal işlem ve kolluk kuvvetlerinin katılımı için sağlam bir temel oluşturdu. Dahası, tehdit istihbaratı daha geniş tehdit ortamının kapsamlı bir şekilde anlaşılmasını sağladı. Araştırmacıların görünüşte ilgisiz olayları birbirine bağlamasına ve Pompompurin ile bağlantılı karmaşık faaliyetler ağını ortaya çıkarmasına olanak sağladı. Bu bağlamsal farkındalık, bilgisayar korsanının ağının haritasını çıkarmada çok önemliydi ve Pompompurin'i adalete teslim etme arayışında çevrilmemiş hiçbir taş bırakılmamasını sağladı.

Breachforum'un Geçmişi; Çalıntı veri ticareti için en önde gelen yeraltı forumlarından biri olan RaidForums, "Omnipotent" olarak bilinen bir siber suçlu tarafından kuruldu. Platform, sızdırılmış veritabanlarına, bilgisayar korsanlığı araçlarına ve yasadışı hizmetlere ev sahipliği yaparak popülerlik kazandı. Ancak, 2022'nin başlarında, yıllar süren soruşturmanın ardından, FBI da dahil olmak üzere kolluk kuvvetleri RaidForums'u başarıyla ele geçirdi. Omnipotent tutuklandı ve hapse mahkum edildi; bu da siber güvenlik uzmanları ve kolluk kuvvetleri için önemli bir zafer anlamına geliyordu. Forumun kaldırılmasına yol açan operasyon, bu tür platformlarda yer alan faaliyetleri ve kişileri izlemek için Açık Kaynak İstihbaratı (OSINT) ve Tehdit İstihbaratı kullanan küresel yetkililer arasındaki işbirliğinin önemli bir örneğiydi.

RaidForums'un kapatılmasının ardından, Pompompurin olarak bilinen bir başka kötü şöhretli siber suçlu, BreachForums'u yaratarak karanlık web'deki boşluğa hızla yanıt verdi. Pompompurin attığı bir tweet'te bilgisayar korsanlarını ve eski RaidForums kullanıcılarını BreachForums'a katılmaya davet ederek bu platformu artık feshedilmiş olan platformun halefi olarak konumlandırdı. BreachForums, siber suçluların çalıntı veri ticareti yapmaları ve yasadışı faaliyetlerde bulunmaları için yeni bir merkez olarak hızla ilgi gördü. Ancak, 2023'ün başlarında FBI bir kez daha müdahale ederek karanlık web pazarlarına yönelik devam eden baskının bir parçası olarak BreachForums'u ele geçirdi. Bu eylem Pompompurin'in tutuklanmasına yol açarak forumun faaliyetlerini geçici olarak durdurdu.

Pompompurin'in tutuklanmasının ardından, "Baphomet" olarak bilinen başka bir kullanıcı BreachForums'un faaliyetlerine yeni bir alan adı altında devam etti. Baphomet'in çabaları forumun kısa bir süre için faaliyetlerini sürdürmesine yardımcı oldu, ancak forum sonunda kolluk kuvvetlerinin artan baskısıyla karşı karşıya kaldıktan sonra eski üst düzey alan adı (TLD) altında sonlandırıldı.

Forumun feshedilmesine rağmen, "IntelBroker" kullanıcısı BreachForums'un faaliyeti ve sürekliliği hakkında övünmeye başladı ve siber suç topluluğunun kesintilere rağmen çalışmaya devam edeceğini ima etti. Bu olaylar dizisi, siber suç forumlarının sürekli evrimini ve kolluk kuvvetleri ile dark web aktörleri arasında devam eden mücadeleyi vurgulamaktadır.

Pompompurin'in Araştırılması Gerçek adı Conor Brian Fitzpatrick olan Pompompurin, siber suçluların çalıntı verileri alıp sattığı önde gelen bir dark web forumu olan BreachForums'un yöneticisiydi. Pompompurin'e yönelik soruşturma, bu yasadışı pazarı ortadan kaldırmak ve veri ihlallerinin mağdurlarını korumak için dünya çapında kolluk kuvvetleri tarafından yürütülen büyük bir girişimdi.

• Bir Siber Suç Merkezini Bozmak: Amaç, çalınan verilerin paylaşıldığı, bilgisayar korsanlığı tekniklerinin kullanıldığı ve saldırıların planlandığı bir merkez olarak hizmet veren BreachForums'u kapatmaktı.
• Büyük Bir Oyuncuyu Adalete Teslim Etmek: Pompompurin, dark web suç ekosisteminde kilit bir figürdü ve çok sayıda veri ihlalinden ve savunmasız bireylerin ve işletmelerin sömürülmesinden sorumluydu.
• Uluslararası İşbirliği: Soruşturma, siber suçların küresel niteliği nedeniyle FBI ve uluslararası kolluk kuvvetleri arasında işbirliği gerektirmiştir: Veri Toplama Teknikleri

1. Web Kazıma

• Web sitelerinden ve sosyal medyadan veri toplamak için kullanılan yöntemler ve araçlar

2. Kamu Kayıtları Analizi

• Bilgi için kamuya açık belge ve kayıtlardan yararlanma

3. İlgili konuşmalar ve trendler için sosyal medya platformlarını takip etme

Sızıntı istihbaratı, özellikle siber suçluların belirlenmesi ve izlenmesi söz konusu olduğunda, modern tehdit soruşturmalarında çok önemli bir rol oynamaktadır. OSIVE (Açık Kaynak İstihbarat Görselleştirme Motoru) gibi araçlar ve OSINTLeak gibi platformlar, veri sızıntılarını ve ele geçirilmiş veri tabanlarını analiz ederek araştırmacılara kritik bilgiler sağlar. OSIVE, şu adresten edinilebilir OSINTLeakaraştırmacıların dark web forumlarında veya yeraltı pazarlarında bulunan e-posta adresleri, şifreler ve diğer kişisel bilgiler gibi sızdırılmış istihbaratı toplamasına ve görselleştirmesine yardımcı olur. Tehdit istihbaratı analistleri bu araçları kullanarak ilişkileri haritalandırabilir, dijital kimlikleri izleyebilir ve tehdit aktörlerinin davranışlarını ve ağlarını daha iyi anlamak için birden fazla sızıntıdaki verileri ilişkilendirebilir.

Pompompurin hakkında bilgi bulmak için kullanılan önemli veritabanlarından biri, aşağıdaki gibi platformlar aracılığıyla erişilebilen BreachForums veritabanıdır Breach.vip. Pompompurin kolluk kuvvetlerinin hedefi haline geldiğinde, bilgisayar korsanlarının büyük miktarlarda çalıntı veri ticareti yaptığı BreachForums'a katılımı, onu sızıntı istihbaratı soruşturmalarına karşı savunmasız hale getirdi. OSINT araştırmacıları, BreachForums'un arşivlerindeki kullanıcı faaliyetlerini, sızdırılan kimlik bilgilerini ve diğer meta verileri çapraz referanslandırarak Pompompurin'e kadar uzanan kalıpların izini sürebilmektedir. BreachForums'un ilk kaldırılmasından sonra bile, veritabanının kullanılabilirliği, devam eden soruşturmalar için zengin bir bilgi sağlar. OSIVE gibi OSINT araçlarının entegrasyonu ve BreachForums gibi veri tabanlarına erişim, araştırmacılar Pompompurin gibi yüksek profilli figürlerin maskesini düşürmeye çalışırken, siber suçluların ağlarını haritalandırmak ve kimliklerini ortaya çıkarmak için çok önemli yetenekler sunuyor. Peter Kleissner ile RaidForums ve BreachForums arasındaki çatışma BreachForum, RaidForum ve IntelX'in sahibi Peter Kleissner arasındaki çatışma, dark web toplulukları ve açık kaynaklı istihbarat (OSINT) platformları arasında artan gerilimin bir simgesi. Avusturyalı bir siber güvenlik uzmanı ve IntelX'in kurucusu olan Kleissner, veri ihlallerinden kaynaklanan hassas bilgileri açığa çıkaran, sızdırılmış veri tabanlarında derinlemesine arama sağlayan hizmetler sunuyor. Bu durum onu, çalışmalarını anonimliklerine ve operasyonlarına doğrudan bir tehdit olarak gören BreachForum ve RaidForum gibi yeraltı forumlarının üyeleriyle karşı karşıya getirdi.

Pompompurin tarafından yönetilen BreachForum ve daha önce Omnipotent tarafından yönetilen RaidForum, saldırıya uğramış verilerin, kişisel bilgilerin ve yasadışı hizmetlerin alışverişini kolaylaştırmakla ünlendi. IntelX, kullanıcıların geçmiş veri ihlallerini aramasına izin verdiğinden, OSINT soruşturmaları için güçlü bir araç haline geldi ve siber suçluların izlenmesinde kolluk kuvvetlerine ve özel sektör araştırmacılarına yardımcı oldu. Bu durum, Kleissner'in platformunu yetkililerin dijital ayak izlerini takip etmeleri için bir geçit olarak gören dark web forum kullanıcılarının önemli ölçüde düşmanlığına yol açtı. Bu forumların üyeleri Peter Kleissner'a doxxing yaparak misilleme yapmış ve adres, telefon numarası ve aile bilgileri gibi kişisel bilgilerini platformlarına sızdırmışlardır. Bu eylemler, onu siber suç topluluğu içinde bir hedef olarak konumlandırarak gözünü korkutmayı ve itibarsızlaştırmayı amaçlıyordu. Doxxing, dark web kullanıcılarının tespit edilmekten kaçmak için güvendikleri anonimliği zayıflatan IntelX gibi OSINT platformlarına direnmeye yönelik daha geniş bir çabanın parçasıydı.

Bu çatışma, yasadışı faaliyetlere ışık tutmayı amaçlayan IntelX gibi platformlar ile gizlilik ve veri sömürüsü üzerine kurulu dark web forumları arasındaki temel ayrımı vurgulamaktadır. Kolluk kuvvetleri bu yeraltı pazarlarını çökertmeye devam ettikçe, IntelX gibi OSINT sağlayıcılarının rolü giderek daha kritik hale geliyor ve siber suçlular ile istihbarat uzmanları arasındaki gerilimi daha da tırmandırıyor.

https://doxbin.net/upload/PeterKleissnerIntelx

https://t.me/intelxio/238 https://t.me/intelxio/260

Analiz Yöntemleri

1. Veri korelasyonu • Örüntüleri ve bağlantıları belirlemek için toplanan verileri ilişkilendirme teknikleri
2. Duygu Analizi • Kamuoyu duyarlılığını ve tepkilerini ölçmek için doğal dil işleme (NLP) kullanımı
3. Ağ Analizi • Ağları ortaya çıkarmak için veri içindeki ilişkileri ve etkileşimleri haritalama

**Adım 1: Kimlik Doğrulama ve Geçmiş Kontrolü

Önemli Veri Noktaları:** • İsim: Conor Brian Fitzpatrick • DOB: 26 Eylül 2002 • SSN: 081-92-4399 • Sürücü Belgesi: 507274801 • Adres: 531 Union Ave, Peekskill, NY 10566 • Telefon Numaraları: +1 9146423144, +1 9144025399, +1 9146999668

Araçlar ve Yöntemler:

1. Kamu Kayıtları Arama: • Kimliği doğrulamak ve adres, SSN ve DOB gibi ayrıntıları çapraz kontrol etmek için Whitepages, Spokeo veya Pipl gibi kamu kayıtları arama motorlarını kullanın. • Sürücü Belgesi Arama (yerel düzenlemelere bağlı olarak, bazı web siteleri araç kaydı veya ehliyet kontrolleri sunar).
2. Adres Doğrulama: • 531 Union Ave, Peekskill, NY adresindeki fiziksel konumu onaylamak için sağlanan bağlantıyla Google Haritalar'ı kullanın. Sokak görünümü ve adres bilgileri konutun görsel olarak tanımlanmasına yardımcı olacaktır.
3. Telefon Numarası Arama: • Verilen telefon numaralarının geçerli ve kişiye kayıtlı olup olmadığını belirlemek için TrueCaller, NumLookup veya SpyDialer gibi ters telefon arama hizmetlerini kullanın. Verizon Wireless ve Cablevision Lightpath gibi hizmet sağlayıcıları çapraz kontrol edin.

**Adım 2: Sosyal Medya ve Çevrimiçi Ayak İzi Analizi

Önemli Veri Noktaları:** • E-postalar: pom@pompur.in • Twitter: https://twitter.com/xml • Telgraf: https://t.me/paste Araçlar ve Yöntemler:

1. E-posta Takibi: • Hunter.io, EmailRep veya HaveIBeenPwned gibi e-posta arama araçlarını kullanarak pom@pompur.in e-postasının herhangi bir genel veri ihlaliyle veya diğer çevrimiçi hizmetlerle bağlantılı olup olmadığını belirleyin. Bu e-postanın hangi hizmetlerde kayıtlı olduğunu da belirleyebilirsiniz.
2. Twitter Analizi: • Twitonomy veya TweetBeaver gibi araçları kullanarak bir Twitter tanıtıcısı analizi gerçekleştirin. Bu, tweet kalıplarını, bağlantıları, takipçileri ve kişisel veya yasadışı faaliyetleri ortaya çıkarabilecek herhangi bir tweet geçmişini haritalandırmaya yardımcı olur.
3. Telegram Grup Kazıma: • Kullanıcının Telegram etkinliğini araştırmak için Telegago veya Telegram OSINT Aracını kullanın. Grup üyeliklerini, paylaşılan dosyaları veya dark web forumlarına veya suç topluluklarına olası bağlantıları arayın. Adım 3: Akrabalar ve Aile Bağlantıları Önemli Veri Noktaları: • Anne: Mary McCarra Fitzpatrick (DOB: 1967) • Baba: Mark E. Fitzpatrick (DOB: 1961) • Küçük Kardeş: Brendan Fitzpatrick • İleri Derecede Otistik Kardeş: Aiden Fitzpatrick Araçlar ve Yöntemler:
4. Aile Arama Araçları: • Aile geçmişinin izini sürmek ve sağlanan ilişkileri doğrulamak için FamilyTreeNow veya Ancestry.com gibi soybilim web sitelerini kullanın. Bu, kişisel bağlantıları doğrulamaya yardımcı olur ve ek akrabaları ortaya çıkarabilir.
5. Sosyal Medya Araması: • Tam adlarını ve doğum tarihlerini kullanarak Facebook, LinkedIn veya Instagram'da aile üyelerini arayın. Bu, ailenin sosyal bağlantılarını, alışkanlıklarını ve hedefin faaliyetleriyle görünür bağlarını haritalandırmanıza yardımcı olabilir.
6. Kamu Kayıt Doğrulaması: • MyHeritage veya PeopleFinders gibi hizmetleri kullanarak adresleri, telefon numaralarını veya aile üyeleriyle bağlantılı önceki sabıka kayıtlarını arayın. Adım 4: Yasal Belgeler ve Mahkeme Kayıtları Önemli Veri Noktaları: • İsim: Conor Brian Fitzpatrick • FBI Tutuklaması: Bilgisayar suçlarıyla ilgili, muhtemelen BreachForums operasyonu nedeniyle. Araçlar ve Yöntemler:
7. Mahkeme Belge Arama: • CourtListener, PACER (Mahkeme Elektronik Kayıtlarına Kamusal Erişim) veya Justia Dockets kullanarak kamuya açık mahkeme belgelerini arayın. Bu platformlar yasal dosyalara, iddianamelere ve ilgili dava materyallerine erişim sağlayabilir. • Örnek: FBI tutuklamasıyla ilgili kayıtların aranması, kesin suçlamaları, mahkeme işlemlerini ve cezayı ortaya çıkarabilir.
8. Medya Raporları: • Conor Brian Fitzpatrick'in tutuklanmasıyla ilgili medya raporlarını toplamak için Google Haberler ve Factiva gibi araçları kullanın. Krebs on Security veya Bloomberg (daha önce bağlantı verildiği gibi) gibi saygın kaynaklardan makaleler, suç faaliyetleri ve soruşturmalar hakkında ayrıntılı bilgiler sunar. Adım 5: Dark Web ve Yeraltı Forumlarında Arama Önemli Veri Noktaları: • Takma Ad/Kullanıcı Adı: Pompompurin • Çevrimiçi Varlık: BreachForums, Skidbin ve diğer dark web topluluklarının yöneticisi. Araçlar ve Yöntemler:
9. Karanlık Web İzleme: • DarkOwl, IntelX veya Recorded Future gibi OSINT araçlarını kullanarak dark web forumlarını ve pazar yerlerini "Pompompurin" veya diğer bağlantılı takma adlardan bahsedilip bahsedilmediğini izlemek için kullanın. Bu platformlar genellikle dark web faaliyetlerini indeksler ve zengin bilgi sağlayabilir.
10. Forum Analizi: • Pompompurin tarafından yapılan gönderileri bulmak için BreachForums'u ve kalan Skidbin arşivlerini araştırın. Yasa dışı faaliyetlerle ilgili verileri çıkarmak için forum kazıma tekniklerini veya özel sorguları kullanın. • Yeraltı bağlantılarına ve diğer siber suçlularla olası bağlara dikkat edin. Adım 6: Veri İhlali Araştırması ve Finansal Bilgiler Önemli Veri Noktaları: • SSN: 081-92-4399 • E-postalar ve Diğer Hesaplar Araçlar ve Yöntemler:
11. HaveIBeenPwned: • SSN, e-posta veya ilgili hesapların geçmiş veri ihlallerinde sızdırılıp sızdırılmadığını görmek için bu aracı kullanın. Bu, kişinin verilerinin tehlikede olup olmadığını belirlemeye yardımcı olur.
12. Finansal Takip: • BeenVerified veya LexisNexis gibi hizmetleri kullanarak finansal geçmiş, potansiyel iflas kayıtları ve hedefle ilgili varlık sahipliğini içeren geçmiş kontrolleri yapabilirsiniz. Bulgular & Tehdit İstihbaratı Yakın zamanda yaşanan bir olayda, siber güvenlik dünyası FBI'ın dark web'de yasadışı faaliyetler için kötü şöhretli bir merkez olan Breach Forum'a yaptığı kararlı baskınlarla sarsıldı. Sonrasında ortaya çıkan karmaşık bir istismar ağı, tehlikeye atılmış kimlik bilgileri ve beklenmedik güvenlik açıkları, siber suç ağlarının iç işleyişine ışık tuttu. gov.uscourts.vaed.535542.2.0.pdf
13. Bulgular ve Tehdit İstihbaratı - Carie • Belirlenen Tehditler • Soruşturma sırasında ortaya çıkarılan potansiyel tehditlerin özeti • Atıf ve Kaynak Doğrulama • Toplanan verilerin güvenilirliğini ve kaynağını doğrulama yöntemleri • Risk Değerlendirmesi • Belirlenen tehditlerin potansiyel etkisinin ve olasılığının değerlendirilmesi
14. Raporlama ve Tavsiyeler - Carie • Bulguların Raporlanması • Araştırma sonuçlarının derlenmesi ve sunulması için en iyi uygulamalar • Hafifletme Stratejileri • Belirlenen tehditlerin ele alınması ve azaltılması için önerilen eylemler • Gelecek İzleme • Gelecekteki sorunları önlemek için sürekli izleme süreçlerinin oluşturulması

Güvenlik Araştırmacısı

https://www.linkedin.com/in/sashwin-0xp4tcher

2024 yılı, fidye yazılımı gruplarının faaliyetlerinde önemli değişimlerin yaşandığı bir dönem olarak dikkat çekmektedir. Özellikle LockBit ve RansomHub arasındaki rekabet, siber güvenlik dünyasında öne çıkmaktadır. Bu analizde, mevcut veriler ışığında fidye yazılımı ekosistemindeki gelişmeleri ve olası senaryoları değerlendireceğiz.

Genel Durum Yılın sonuna yaklaşırken, fidye yazılımı gruplarının saldırı sayıları şu şekilde: LockBit: 549 saldırı RansomHub: 529 saldırı Play: 347 saldırı Akira: 245 saldırı Hunters: 217 saldırı Medusa Blog: 202 saldırı Black Basta: 186 saldırı Bu veriler, fidye yazılımı gruplarının etkinliklerinde belirgin bir artış olduğunu gösteriyor. Özellikle LockBit ve RansomHub arasındaki farkın azalması, rekabetin kızıştığını işaret ediyor.

Mevcut Durum ve Grup Faaliyetleri

• LockBit: Uzun süredir fidye yazılımı sahnesinde lider konumda olan LockBit, 2024 yılında da etkinliğini sürdürmüştür. Ancak, yıl içinde yaşanan uluslararası operasyonlar ve grubun altyapısına yönelik baskılar, faaliyetlerinde geçici düşüşlere neden olmuştur. Özellikle Şubat 2024'te gerçekleştirilen bir operasyon, LockBit'in etkinliğini etkilemiştir.

• RansomHub: 2024 yılında hızla yükselen RansomHub, LockBit'in düşüşünden faydalanarak liderliği ele geçirmiştir. Şubat 2024'te faaliyetlerine başlayan grup, kısa sürede en aktif fidye yazılımı grubu haline gelmiştir. ESET'in H2 2024 Tehdit Raporu'na göre, RansomHub'ın bu yükselişi, eski LockBit ve BlackCat üyelerinin katılımıyla desteklenmiştir.

• Diğer Gruplar: Play, Akira, Hunters International ve Medusa gibi gruplar da 2024 yılında faaliyet göstermiştir. Ancak, saldırı sayıları açısından lider grupların gerisinde kalmışlardır. Özellikle Play grubu, ABD'de en aktif ikinci fidye yazılımı grubu olarak öne çıkmıştır.

2024 Yılında Öne Çıkan Trendler

• Fidye Yazılımı Saldırılarında Artış: Microsoft'un Dijital Savunma Raporu'na göre, fidye yazılımı bağlantılı olaylarda yıllık 2,75 kat artış gözlemlenmiştir. Ancak, şifreleme aşamasına geçen saldırıların oranı son iki yılda üç kat azalmıştır.

• Endüstriyel Sistemlere Yönelik Saldırılar: Kaspersky'nin raporuna göre, fidye yazılımı etkinliğinin artmasıyla birlikte endüstriyel kontrol sistemleri (ICS) bilgisayarlarının fidye yazılımından etkilenme oranı bir önceki çeyreğe göre 1,2 kat artmıştır.

• Sosyal Mühendislik Taktikleri: Black Basta gibi gruplar, sosyal mühendislik tekniklerini artırarak kuruluşların hassas sistemlerine erişim sağlamaktadır. Özellikle Microsoft Teams üzerinden sahte mesajlar ve kötü amaçlı QR kodları kullanarak saldırılar düzenlemektedirler.

Olası Senaryolar ve Gelecek Öngörüleri

• RansomHub'ın Liderliği Sürdürmesi: Mevcut ivmesini koruyan RansomHub'ın, 2025 yılında da en aktif fidye yazılımı grubu olarak faaliyet göstermesi muhtemeldir. ESET'in raporuna göre, grubun eski LockBit ve BlackCat üyelerinden oluşması, deneyim ve kaynak açısından avantaj sağlamaktadır.

• LockBit'in Yeniden Yapılanması: Uluslararası operasyonların baskısı altında kalan LockBit'in, yeni taktikler ve stratejiler geliştirerek sahneye geri dönme olasılığı bulunmaktadır. Ancak, artan kolluk kuvvetleri baskısı, grubun faaliyetlerini zorlaştırabilir.

• Yeni Grupların Ortaya Çıkışı: Fidye yazılımı ekosistemindeki boşlukları doldurmak isteyen yeni grupların ortaya çıkması muhtemeldir. Özellikle CosmicBeetle gibi yeni gruplar, Mart 2024'ten bu yana artan etkinlik göstermektedir.

Siber Güvenlik İçin Öneriler

• Proaktif Savunma Stratejileri: Kurumların, fidye yazılımı saldırılarına karşı proaktif savunma stratejileri geliştirmeleri önem taşımaktadır. Sürekli gelişen saldırı taktiklerine karşı güncel güvenlik önlemleri alınmalıdır.

• Farkındalık ve Eğitim: Çalışanların sosyal mühendislik saldırılarına karşı bilinçlendirilmesi ve düzenli eğitimlerle farkındalıklarının artırılması gerekmektedir.

• Yedekleme ve Kurtarma Planları: Kritik verilerin düzenli olarak yedeklenmesi ve olası bir saldırı durumunda hızlı bir şekilde kurtarma planlarının devreye sokulması hayati öneme sahiptir.

Sonuç olarak, 2024 yılı fidye yazılımı ekosisteminde önemli değişimlerin yaşandığı bir yıl olmuştur. LockBit ve RansomHub arasındaki rekabet, siber tehdit ortamının dinamik yapısını yansıtmaktadır. Kurumların, bu tehditlere karşı hazırlıklı olmaları ve güvenlik önlemlerini sürekli güncellemeleri gerekmektedir.

Rus Casuslar Benzeri Görülmemiş Bir Hacklemeyle Wi-Fi Üzerinden Bir Ağdan Diğerine Atladı

Bir ilk olarak, Rusya'nın APT28 isimli hacker grubu caddenin karşısındaki başka bir binada bulunan bir dizüstü bilgisayarı ele geçirerek bir casusluk hedefinin Wi-Fi ağını uzaktan ihlal etmiş gibi görünüyor.

Kararlı bilgisayar korsanları için, bir hedefin binasının dışındaki bir arabada oturmak ve Wi-Fi ağını ihlal etmek için radyo ekipmanını kullanmak uzun zamandır etkili ancak riskli bir teknik olmuştur. Bu riskler, Rusya'nın GRU isimli askeri istihbarat teşkilatı için çalışan casusların 2018 yılında Hollanda'da bir şehir caddesinde, arabalarının bagajına gizledikleri bir antenle hedef binanın Wi-Fi ağına girmeye çalışırken suçüstü yakalanmalarıyla çok açık bir şekilde ortaya çıktı.

Ancak bu olaydan sonra aynı Rus askeri hacker birimi yeni ve çok daha güvenli bir Wi-Fi hackleme tekniği geliştirmiş görünüyor: Hedeflerinin telsiz menziline girmek yerine, caddenin karşısındaki bir binada başka bir savunmasız ağ buldular, komşu binadaki bir dizüstü bilgisayarı uzaktan hacklediler ve hedefledikleri kurbanın Wi-Fi ağına girmek için bu bilgisayarın antenini kullandılar - Rus topraklarından ayrılmayı bile gerektirmeyen bir telsiz hackleme numarası.

Bugün Virginia, Arlington'da düzenlenen Cyberwarcon güvenlik konferansında siber güvenlik araştırmacısı Steven Adair, firması Volexity'nin 2022 yılında Washington DC'deki bir müşteriyi hedef alan bir ağ ihlalini araştırırken “en yakın komşu saldırısı” olarak adlandırdığı bu benzeri görülmemiş Wi-Fi hack tekniğini nasıl keşfettiğini açıklayacak. DC müşterisinin adını vermekten kaçınan Volexity, o zamandan beri ihlali Fancy Bear, APT28 veya Unit 26165 olarak bilinen Rus hacker grubuna bağladı. Rusya'nın GRU askeri istihbarat teşkilatının bir parçası olan grup, 2016'da Demokratik Ulusal Komite'nin ihlalinden 2018'de Hollanda'da dört üyesinin tutuklandığı başarısız Wi-Fi hackleme operasyonuna kadar çeşitli kötü şöhretli vakalarda yer aldı.

Volexity, 2022'nin başlarında yeni ortaya çıkan bu vakada, Rus bilgisayar korsanlarının hedef ağa sadece caddenin karşısındaki farklı bir tehlikeye atılmış ağdan Wi-Fi yoluyla atladığını değil, aynı zamanda bu önceki ihlalin de aynı binadaki başka bir ağdan Wi-Fi yoluyla gerçekleştirilmiş olabileceğini keşfetti - Adair'in tanımıyla Wi-Fi yoluyla ağ ihlallerinin bir tür “papatya zinciri”. Adair, “Bu, son derece uzakta olan ve esasen ABD'de hedeflenen hedefe fiziksel olarak yakın olan diğer kuruluşlara giren ve daha sonra caddenin karşısındaki hedef ağa girmek için Wi-Fi üzerinden dönen bir saldırganın olduğu ilk vaka” diyor. “Bu daha önce görmediğimiz gerçekten ilginç bir saldırı vektörü.”

Adair, bilgisayar korsanlarının müşterilerinin ağındaki bireyleri hedef almalarına dayanarak, GRU bilgisayar korsanlarının Ukrayna hakkında istihbarat arıyor gibi göründüğünü söylüyor. Papatya dizimi Wi-Fi tabanlı izinsiz girişin, Rusya'nın Şubat 2022'de Ukrayna'yı ilk kez tam ölçekli olarak işgal etmesinden hemen önceki ve sonraki aylarda gerçekleştirilmesinin tesadüf olmadığını söylüyor.

Adair, bu vakanın, sadece otoparkta ya da lobide dolaşan olağan şüphelilerden değil, yüksek değerli hedefler için Wi-Fi'ye yönelik siber güvenlik tehditleri hakkında daha geniş bir uyarı görevi görmesi gerektiğini savunuyor. “Artık bunu motive olmuş bir ulus-devletin yaptığını biliyoruz,” diyor Adair, ”Bu da Wi-Fi güvenliğinin biraz daha artırılması gerektiğini ortaya koyuyor.” Benzer uzaktan Wi-Fi saldırılarının hedefi olabilecek kuruluşlara, Wi-Fi menzillerini sınırlandırmayı, potansiyel davetsiz misafirler için daha az belirgin hale getirmek için ağın adını değiştirmeyi veya çalışanlara erişimi sınırlandırmak için diğer kimlik doğrulama güvenlik önlemlerini almayı düşünmelerini öneriyor.

Adair, Volexity'nin DC müşterisinin ağının ihlalini ilk olarak 2022'nin ilk aylarında araştırmaya başladığını, şirketin izlerini dikkatlice gizleyen bilgisayar korsanları tarafından müşterinin sistemlerine tekrarlanan izinsiz girişlerin işaretlerini gördüğünü söylüyor. Volexity'nin analistleri sonunda, ele geçirilen bir kullanıcının hesabının binanın uzak bir ucunda, dışa bakan pencereleri olan bir konferans odasındaki Wi-Fi erişim noktasına bağlandığını tespit etti. Adair, bu bağlantının kaynağını bulmak için bölgeyi bizzat araştırdığını söylüyor. “Fiziksel olarak ne olabileceğini araştırmak için oraya gittim. Akıllı televizyonlara baktık, dolaplarda cihaz aradık. Otoparkta biri mi var? Bir yazıcı mı?” diyor. “Hiçbir şey bulamadık.”

Ancak bir sonraki saldırıdan sonra, Volexity bilgisayar korsanlarının trafiğinin daha eksiksiz günlüklerini almayı başardığında, analistleri gizemi çözdü: Şirket, bilgisayar korsanlarının müşterilerinin sistemlerinde dolaşmak için kullandıkları ele geçirilmiş makinenin, barındırıldığı alan adının, yani yolun hemen karşısındaki başka bir kuruluşun adını sızdırdığını tespit etti. “O noktada, nereden geldiği yüzde 100 belliydi,” diyor Adair. “Sokaktaki bir araba değil. Yandaki binadan geliyor.”

Komşunun işbirliğiyle Volexity ikinci kuruluşun ağını araştırdı ve sokağa sıçrayan Wi-Fi izinsiz girişinin kaynağının belirli bir dizüstü bilgisayar olduğunu buldu. Bilgisayar korsanları, Ethernet üzerinden yerel ağa bağlı bir yuvaya takılı olan bu cihaza sızmış ve ardından Wi-Fi'sini açarak hedef ağa radyo tabanlı bir aktarıcı olarak hareket etmesini sağlamıştı. Volexity, hedefin Wi-Fi ağına girmek için bilgisayar korsanlarının bir şekilde çevrimiçi olarak elde ettikleri ancak muhtemelen iki faktörlü kimlik doğrulama nedeniyle başka bir yerde kullanamadıkları kimlik bilgilerini kullandıklarını tespit etti.

Volexity sonunda bu ikinci ağdaki bilgisayar korsanlarını iki olası izinsiz giriş noktasına kadar takip etti. Bilgisayar korsanlarının diğer kuruluşa ait bir VPN cihazını ele geçirdikleri anlaşıldı. Ancak aynı binadaki başka bir ağın cihazlarından da kurumun Wi-Fi ağına girmişlerdi; bu da bilgisayar korsanlarının nihai hedeflerine ulaşmak için Wi-Fi üzerinden üç ağa kadar papatya zinciri oluşturmuş olabileceklerini düşündürüyor. Adair, “Kim bilir kaç cihazı ya da ağı ele geçirdiler ve bunu kaç ağ üzerinde yaptılar,” diyor.

Aslında, Volexity bilgisayar korsanlarını müşterilerinin ağından çıkardıktan sonra bile, bilgisayar korsanları o Wi-Fi üzerinden tekrar girmeye çalıştılar ve bu kez misafir Wi-Fi ağında paylaşılan kaynaklara erişmeye çalıştılar. “Bu adamlar çok ısrarcıydı” diyor Adair. Ancak Volexity'nin bu bir sonraki ihlal girişimini tespit edebildiğini ve davetsiz misafirleri hızla kilitleyebildiğini söylüyor.

Volexity, soruşturmasının başlarında, Ukrayna'ya odaklanan müşteri kuruluşundaki bireysel çalışanları hedef almaları nedeniyle bilgisayar korsanlarının Rus kökenli olduğunu varsaymıştı. Ardından Nisan ayında, ilk izinsiz girişten tam iki yıl sonra Microsoft , Windows'un yazdırma biriktiricisindeki bir güvenlik açığının Rusya'nın APT28 hacker grubu (Microsoft bu grubu Forest Blizzard olarak adlandırıyor) tarafından hedef makinelerde yönetici ayrıcalıkları elde etmek için kullanıldığı konusunda uyarıda bulundu. Volexity'nin müşterisinin Wi-Fi tabanlı ihlalinde analiz ettiği ilk bilgisayarda geride kalan kalıntılar bu teknikle tam olarak eşleşiyordu. Adair, “Tam olarak bire bir eşleşti,” diyor.

Google'ın sahibi olduğu siber güvenlik firması Mandiant'ta tehdit istihbaratını yöneten ve GRU hackerlarını uzun süredir takip eden Cyberwarcon'un kurucusu John Hultquist, APT28'in papatya zinciri Wi-Fi korsanlığının arkasında olabileceği fikrinin mantıklı olduğunu söylüyor. Hultquist, Volexity'nin ortaya çıkardığı tekniği APT28'in “yakın erişim” hack yöntemlerinin doğal bir evrimi olarak görüyor ve GRU'nun diğer yöntemlerin başarısız olması durumunda Wi-Fi aracılığıyla hedef ağları hacklemek için bizzat küçük gezici ekipler gönderdiğini belirtiyor. Hultquist, “Bu aslında geçmişte yaptıkları gibi bir yakın erişim operasyonu ama yakın erişim olmadan” diyor.

Kimyasal Silahların Yasaklanması Örgütü Olayı

Yakınına fiziksel olarak bir casus yerleştirmek yerine uzaktan ele geçirilmiş bir cihazdan Wi-Fi yoluyla hacklemeye geçiş, GRU'nun 2018'de Lahey'de bir arabanın içinde GRU'dan ayrılan Sergei Skripal'e yönelik suikast girişiminin OPCW tarafından soruşturulmasına yanıt olarak Kimyasal Silahların Yasaklanması Örgütü'nü hacklemeye çalışırken yakalandığı operasyonel güvenlik felaketinin ardından atılan mantıklı bir sonraki adımı temsil ediyor. Bu olayda APT28 ekibi tutuklanmış ve cihazlarına el konulmuş, benzer yakın erişim saldırıları gerçekleştirmek üzere Brezilya'dan Malezya'ya kadar dünya çapında seyahat ettikleri ortaya çıkmıştı.

“Bir hedef yeterince önemliyse, insanları şahsen göndermeye isteklidirler. Ancak burada gördüğümüz gibi bir alternatif bulabilirseniz bunu yapmak zorunda değilsiniz,” diyor Hultquist. “Bu, bu operasyonlar için potansiyel olarak büyük bir gelişme ve muhtemelen daha fazlasını göreceğimiz bir şey - eğer henüz görmediysek.”

Andy Greenberg