Kendisine Atlas İstihbarat Grubu (AIG, diğer adıyla Atlantis Siber Ordu) adını veren bir tehdit grubu, yakın zamanda biraz farklı görünen ve potansiyel olarak trend belirleyen bir siber suç modeliyle ortaya çıktı.
Grubu ilk tespit eden Cyberint araştırmacıları, tehdit aktörünü ana web sitesi üzerinden çalıntı veritabanlarına erişim, özel veri sızıntıları, dağıtılmış hizmet reddi (DDoS) hizmetleri ve ilk erişim dahil olmak üzere çeşitli hizmetler satıyor olarak nitelendirdi. RDP istemcileri ve Web kabukları aracılığıyla kurumsal ağlara. Cyberint bu hafta, araştırmacılarının Mayıs ayında AIG’yi tespit ettiğini ve o zamandan beri hızla büyüdüğünü gözlemlediğini söyledi.
Tehdit aktörünü benzer tekliflere sahip sayısız diğerlerinden farklı kılan şey, operatörlerin kendilerinin gerçek hack faaliyetlerini tamamen operasyonla doğrudan bağlantısı olmayan bağımsız siber paralı askerlere dış kaynak sağlıyor gibi görünmesidir. Örneğin, bir müşteri AIG’nin DDoS, veri hırsızlığı veya kötü niyetli spam hizmetlerini satın aldığında, grup asıl görevleri yerine getirmek için bağımsız yükleniciler için reklam yapar ve işe alır. Bu, çoğu tehdit grubunun aksine. farklı kampanyalar için aynı hacker ekibini toplayan ve sürdüren.
OpSec için Bir Model
Cyberint’e göre, AIG’nin modeli, liderlerini suç amaçlı bilgisayar korsanlığı faaliyetinde bulunanlardan ayrı tutarak yüksek düzeyde operasyon güvenliği sağlamak için tasarlanmış gibi görünüyor.
Cyberint güvenlik araştırmacısı Shmuel Gihon, “AIG, bu iş modelini kullanan gördüğüm ilk grup” diyor. “Her takımın kendi liderleri vardır ve her takımın kilit üyeleri vardır. Ama burada durum farklıdır: her şeyi ve herkesi kontrol eden bir liderimiz var.”
AIG’nin iş modeli ortaya çıkıyor son yıllarda tüm dünyada ortaya çıkmaya başlayan kiralık hacker gruplarının artan sayısından yararlanmak için tasarlandı. Birçoğu Hindistan, Rusya veya Birleşik Arap Emirlikleri dışında faaliyet gösteren gruplar, hedef ağlara girme, veri çalma ve onları işe alan müşteriler adına çeşitli diğer kötü niyetli faaliyetler yürütme konusunda uzmanlaşmıştır. Böyle bir gruba bir örnek, Trend Micro’daki araştırmacıların ve diğerlerinin birkaç yıldır binlerce kuruluşa ve kişiye yönelik saldırılarla bağlantı kurduğu, siber-paralı asker grubu olan Rusya merkezli “Void Balaur”dur.
Gihon, Cyberint’in AIG’nin faaliyetlerine ilişkin analizinin, AIG’nin “Bay Kartal” tanıtıcısını kullanan gizli bir kişi tarafından yönetildiğini gösterdiğini söylüyor. Bu kişi, tüm AIG kampanyalarını ve planlarını başlatmaktan sorumlu görünüyor. Cyberint, şimdiye kadar bu lider altında faaliyet gösteren ve grubun hizmetlerinin reklamını yapmak, müşterilerle iletişim kurmak ve Telegram kanallarını işletmek gibi görevlerden sorumlu en az dört kişiyi daha tespit edebildi.
“Onları farklı kılan şey, çok iyi olmalarıdır. [at] kendilerini anonim hale getiriyorlar ve bu operasyona teknik kişiler olarak değil, girişimciler olarak yaklaşıyorlar,” diyor Gihon. Grubun davranışı, çekirdek üyelerin – veya en azından liderinin – operasyon yerine liderlik etmeye karar vermiş kırmızı ekip üyeleri veya kötü niyetli bilgisayar korsanları olduğunu gösteriyor.
“Bir süredir karanlık ağda ve siber suç endüstrisinde bulunuyorlar ve işlerin nasıl yürüdüğünü gözlemlediler” diye ekledi.
Telgraf İletişimi
Cyberint, grubun operasyonları için aralarında binlerce abone bulunan üç farklı Telegram kanalı kullandığını gözlemlediğini söyledi.
Kanallardan biri, sızdırılmış veritabanları için bir pazar yeridir. Veritabanları, dünyanın dört bir yanından hükümet, finans, imalat ve teknoloji gibi farklı sektörlerdeki kuruluşlara ait görünüyor. Telegram kanalı üzerinden satışa sunulan veritabanlarının toplanması, AIG’nin belirli bir bölge veya sektöre odaklanmadığını gösteriyor. Bunun yerine grup, potansiyel alıcılar için değerli olabileceğini düşündüğü kuruluşları hedef alıyor gibi görünüyor.
Veritabanlarından bazıları 15 avro gibi düşük bir fiyata mevcuttur ve e-posta ve fiziksel adresler, telefon numaraları gibi bilgileri ve kötü niyetli spam, hedefli kimlik avı grupları ve bilgisayar korsanlarının dağıtıcılarının ilgisini çekebilecek diğer bilgileri içerir.
“AIG, bu veritabanlarının özel olduğunu iddia ediyor, bu yüzden varsayım, onu elde ettikleri yönünde. [via] müteahhitleri,” diyor Gihon. Düşük fiyat göz önüne alındığında, AIG’nin bunları üçüncü bir taraftan alması ve yeniden satması pek olası değil, diyor.
AIG, aradığı çeşitli bilgisayar korsanlığı hizmetleri için reklam yayınlamak için kullandığı ve bilgisayar korsanlarının sözleşmeler için teklif verme fırsatı bulduğu ikinci bir Telegram kanalına sahiptir. Kanal, tehdit grubunun kötü amaçlı yazılım geliştiricileri, sosyal mühendisler, kırmızı ekip üyeleri ve diğer siber paralı askerleri bulma kaynağı olarak hizmet ediyor.
AIG’nin iletişim kanalı olarak hizmet veren üçüncü Telegram kanalı, grubun duyuruları, amaçlanan hedef listelerini ve diğer bilgileri yayınladığı yerdir. Tehdit aktörü ayrıca, insanların kripto para birimi kullanarak AIG’nin hizmetlerini ve çalınan veritabanlarını satın alabilecekleri bir e-ticaret mağazasına sahiptir.
Gihon, AIG’nin iş modelinin ona diğer tehdit gruplarının sahip olmadığı bir esneklik düzeyi sağladığını söylüyor.
“Lider, üyelerden hiçbirine bağlı değildir çünkü hepsi müteahhittir” diyor. “Yani, çoğu zaman aynı insan grubu oldukları gerçeği göz önüne alındığında, diğer grupların iniş çıkışları olsa da, Bay Eagle her zaman en iyinin en iyisini işe alma ayrıcalığına sahip” diyor. “Bu, bu takımı oyunun sonunda çok ölümcül yapabilir.”