FBI, siber saldırganları parmaklıklar arkasına atmaktan vazgeçmek anlamına geliyor olsa bile siber suç çeteleri ile mücadelesine devam ediyor.
Hive olarak bildiğimiz kötü bir şöhret edinen bir fidye yazılım çetesini tek bir kişiyi dahi tutuklamaya gerek kalmadan çökerten FBI, bu yeni yaklaşımın bir örneğini sergilemiş oldu.
Değişen strateji ile siber suçlular hapsedilmek yerine uzaktan engelleniyor
Değişen strateji FBI’ın siber suçlarla mücadele yönetiminde olan elle tutulur bir değişimi gözler önüne seriyor. Bu, saldırganları hapsetmek yerine onları çökertmeye ve uzaktan engellemeye yoğunlaşıyor. Bunun diğer bir nedeni ise saldırganların çoğunluğunun ABD dışında yaşıyor olması oluyor.
Söz konusu mücadele yöntemi değişiminin belki de en iyi şekilde açıklayan Başsavcı Yardımcısı Lisa Monaco oldu. Monaco, Nisan ayında RSA Güvenlik Konferansı’nda yapmış olduğu açıklamada, FBI’ın eski standartlarına göre bu kadar büyük bir davayı herhangi bir tutuklama olmadan kutlama yapmanın ‘sapkınlık’ olacağını dile getirmişti. Fakat Monaco, ‘’Artık başarımızı sadece mahkeme salonundaki eylemlerle ölçmüyoruz.’’ şeklinde konuşmuştu.
Hive, ilk olarak Temmuz 2021 de FBI’ın hedefine takıldı
Hive bir zamanlar dünyanın en üretken saldırgan çeteleri arasında yer alıyordu ve Amerikan okullarının, işletmelerinin ve sağlık tesislerinin ağlarına ulaşımı kapatması ve sonrasında erişime tekrar açmak için fidye talebi ile ün kazanmıştı.
FBI, Temmuz 2022’de Hive’ın ağına sızarak hem Hive kurbanlarına büyük oranda yardımda bulundu hem de siber saldırganların olası saldırılarının önüne geçti.
Hive’ın çökertildiği zamanda Adalet Bakanlığı’nın Ulusal Güvenlik Birimi’nde Başsavcı Yardımcısı olarak görev yapan Adam Hickey, FBI’ın bu operasyon ile beraber dünya çapındaki mağdurlara yaklaşık olarak 130 milyon dolar kazandırmış olduğunu ve bunun da yöntem değişikliğinin ne kadar etkili olduğunu kanıtlamış olduğunu belirtti.
Hickey, ‘’İnsanları hapse atmanın siber tehdide karşı koymanın tek yolu olduğunu düşünmek için goril olmak gerekir.’’ ifadelerini kullandı.
Fakat bu değişikliğin de sınırları bulunuyor. FBI yetkilileri ve bağımsız siber güvenlik uzmanlarıyla yapılan röportajlar, FBI’ın bu işi nasıl başardığı ve Hive operasyonunu neden tam anlamıyla sonlandıramayıp yalnızca zayıflatabildiği ile ilgili yeni ayrıntılar paylaşıyor.
Çeteye girme çabası için uzun ve yoğun emek vermek gerekiyordu. Hive, ilk olarak Temmuz 2021 de FBI’ın hedefine takıldı.
Yüksek profilli fidye yazılım örgütleri Amerikan gaz boru hatlarını ve et işleyicilerini felç etmeye yönelik düzenlediği saldırılar, o dönemler bilinmeyen Hive çetesi Florida’da adı verilmeyen bir kuruluşun ağını kapattı.
Hive’ın ABD’de bilinen ilk saldırısı olduğu için FBI prosedürü, büronun mağdura en yakın olan Tampa Saha gelecekteki tüm Hive vakalarının sorumluluğunu alması gerektiğini gösteriyordu.
Tampa ofisinde özel ajan olarak görev yapan Justin Crenshaw, kendisi ve ekibi ile o dönemde örgüt ile ilgili hiçbir şey bilmediklerini, fakat hızla araştırmaya başladıklarını aktardı.
ABD kolluk kuvvetlerinin öngörülerine göre, sonraki 18 ay içinde Hive dünya çapında bin 500’den fazla saldırı gerçekleştirdi ve mağdurlarından yaklaşık olarak 100 milyon dolar kripto parayı ele geçirdi.
Çete, kısmen acımasızlığı güçlü bir büyüme motoruna çevirerek, diğer siber saldırganların sınır dışı ilan etmiş olduğu hastaneler ve sağlık hizmet sağlayıcıları gibi kuruluşları gözüne kestirerek bu kadar hızlı bir büyümeye ulaşmış oldu.
Hive arka arkaya saldırılarda bulunurken, Tampa ajanları büroya başvuran her mağdurla görüşme sağladı ve bu süreç yavaş yavaş örgüt ile ilgili elle tutulur derecede istihbarat toplamasını sağlamış oldu.
Örneğin, Hive’ın nasıl tek bir grup değil de birkaç grup olduğunu, sıkı bir mafyadan ziyade McDonald’s benzeri markalaşmış bir franchise’a daha yakın olduğu bilgisine ulaştılar.
Örgüt, siber suç uzmanlarının ‘hizmet olarak fidye yazılımı’ ismini vermiş oldukları bir modelle çalışıyordu. Bu modelde, Hive’ın çekirdek üyeleri şifreleme yazılımlarını, ağlara sızma ve fidye yazılımı yükünü dağıtma hakkında uzmanlaşmış diğer saldırganlardan oluşan geniş bir ağa ya da bağlı kuruluşlara kiralıyordu.
İlk adım 12 ay sonra atıldı
İlk vakanın Tampa masasına ulaşmasından 12 ay sonra, Crenshaw sonunda bir atılım gerçekleştirdi.
Grubun uzaktan yönetim paneline, yeni çete üyelerinin ellerine geçen her hastane, okul ve küçük işletmenin verilerini karıştırmalarına ve sonrasında kurtarmalarına olanak sunan anahtarları güvene aldıkları dijital bir sinir merkezine girme fırsatı yakaladı.
Bu buluş FBI’ı dikkate alarak bir yol sundu. Bu buluşun görevi Hive’ın mağdurlarını, çete onlara saldırdığı anda ortaya çıkarma ve sonrasında ağlarını eski haline döndürmek için gerek duydukları şifre çözme anahtarlarını onlara iletmekti.
Sonraki 6 ay boyunca FBI Tampa dünya genelinde 300’ün üzerinde yeni mağdura anahtar sağladı.
Crenshaw’ın ekibi kurbanlara teknik fayda sağlama konusunda o kadar başarı sağladı ki sonunda Crenshaw ve ekibi kendilerine ‘Hive yardım masası’ lakabını taktı.
Fakat FBI’ın Hive’a sızma konusundaki başarısı hiçbir zaman örgütün toplu olarak imhası ile sonuçlanmadı. Verilere göre, içlerine FBI sızmışken bile istikrarlı bir şekilde temposuna devam etti.
Hive’ın ödeme yapmayı reddeden kurbanların isimlerini ve kişisel bilgilerini ifşa ettiği DarkWeb sitesinde, Ağustos ayında 7, Eylül ayında 8, Ekim ayında 7, Kasım ayında 9 ve Aralık ayında 14 kurban listeye eklendi. Bu rakamlar sızma öncesi rakamlarla örtüşüyordu.
Hive’ın bu kadar aktif olmasının bir nedeni ise, hassas dosyalarını internete sızdırmakla tehdit ederek mağdurlar üzerinde ek bir baskı kurabileceğini öğrenmiş olmasıydı.
Hive davası hala davam ediyor
Bu senenin Ocak ayı başlarında Tampa ofisi, Hive davasını tamamıyla değiştirecek ikinci fırsatı yakaladı.
Daha titiz bir inceleme sonucunda FBI, Hive’ın saldırılarını düzene sokmak adına kullanmış olduğu ana sunucuları Los Angeles’taki bir veri merkezinden kiraladığı bilgisine ulaştı. Yalnızca iki hafta sonra donanıma el koydu. Kısa bir süre sonra da Hive’ın kapatıldığı bilgisini paylaştı.
Crenshaw, Hive üyeleri halen dışarıda olduğu için davanın sona ermediğini aktardı. Hatta bu sunucular, FBI’ın 18 ay boyunca Hive ile çalışan bağlı kuruluşların maskesini düşürmesi konusunda fayda sağlayabilir.
Yeni stratejinin eksisi ve artısı
Geçtiğimiz ay ABD Adelet Bakanlığı, Hive’a bağlı olarak çalışmak ile suçlanan Rus vatandaşı hakkındaki iddianemeyi sunmuştu. Mikhail Matveev isimli bu şahıs halen firarda ve iki farklı fidye yazılım grubu ile çalışmış. Bu da siber saldırganların örgütler arasında dolaşmasının ve birinin çökmesi ile yeniden tespit edilmesinin ne kadar kolay olacağının bir ispatı olmuş oluyor.
Birden fazla kurban adına fidye yazılımı müzakerecisi olarak görev yapan siber güvenlik firması GroupSense’in CEO’su Kurtis Minder, ‘’Liderliği ele geçirmediğiniz ve onları tam anlamıyla kilit altına almadığınız sürece, ‘fidye yazılımı’ gruplarının anlamlı bir şekilde yeniden ortaya çıkmasını durdurmanız pek olası değil.’’ açıklamalarında bulundu.
Minder ayrıca, ‘’FBI’ın elindekilerle en iyisini yapmaya çalışsa da, yine de bu insanların tekrar geri dönmesi oldukça basit.’’ ifadelerine yer verdi.
Joyce, Hive’ın ele geçirilmesi gibi operasyonların kime güvenebileceklerinden ya da neye inanabileceklerinden emin olmayan birçok saldırganın aklının karışmasına sebep olacağını söyledi. Joyce, ‘’Bu kafa karışıklığı onları yavaşlatıyor ve faaliyet gösterme yeteneklerini engelliyor.’’ şeklinde konuştu.
FBI’ın dijital sabotajı geçici kazanımlar sağlamış olsa dahi suçlular şimdi ABD kolluk kuvvetlerinden peşlerinde olduğunu çok iyi bilerek tekrar ayağa kalkabilir ve faaliyetlerine tekrar başlayabilirler.
