Tehdit istihbaratı analistleri, olay müdahale ekipleri ve federal kolluk kuvvetlerinin tümü, bir dizi takma isimle tehdit grubu hakkında her şeyi biliyor gibi görünüyor: The Com, Scattered Spider, Muddled Libra, UNC3944, Starfraud ve Octo Tempest ve diğerleri. Peki neden bu grup (MGM Resorts ve Caesars Entertainment hacklerinin arkasındaydı) bugüne kadar hiçbir kesinti yaşamadan ABD kuruluşlarına ceza almadan başarılı bir şekilde saldırıyor?
Bu hafta yayınlanan raporlar, federal kolluk kuvvetlerinin, anadili İngilizce olanlardan oluşan siber suç grubunun kimliklerini gayet iyi bildiğini ancak henüz herhangi bir tutuklama gerçekleştiremediğini doğruladı. Aslında kaynaklar Reuters’e kolluk kuvvetlerinin bu kişilerin kimliklerini bildiğini doğruladı. Dağınık Örümcek Altı aydan fazla bir süredir hack kolektifi.
CrowdStrike’ın başkanı Michael Sentonas gibi siber güvenlik tehdidi avcıları, fidye yazılımı grubunun hâlâ çalışır durumda olması ve “kargaşaya” yol açmasının “kolluk kuvvetlerinin” başarısızlığı olduğunu belirterek, oldukça şaşkın bir tavır sergiledi.
Dağınık Örümcek Hakkında FBI Tavsiyesi
Federaller bazı yanıtlar verdi: 16 Kasım’da FBI ve CISA bir rapor yayınladı. Dağınık Örümcek hakkında tavsiyegüvenlik ihlali göstergeleri (IoC’ler) ve kurumsal güvenlik ekiplerine ağlarını korumaya yönelik ayrıntılar sağlamak için ek ayrıntılar sağlar.
Danışma belgesinde, “FBI ve CISA, kuruluşunuzun tehdit aktörü faaliyetlerine dayalı olarak siber güvenlik duruşunu iyileştirmek ve Dağınık Örümcek tehdit aktörlerinin tehlikeye girme riskini azaltmak için kuruluşlara aşağıdaki hafifletici önlemleri uygulamasını tavsiye ediyor.” ifadesine yer verildi. Uygulama kontrolleri, uzaktan erişim aracı denetimi ve FIDO/WebAuthn kimlik doğrulamasının veya genel anahtar altyapısı (PKI) tabanlı çok faktörlü kimlik doğrulamanın (MFA) uygulanması dahil olmak üzere bir öneri listesi içeriyordu.
Yararlı olsa da, grubun siber suçları hakkında bu kadar çok bilgi varsa, bu, fidye yazılımı grubunun üyelerinin neden tutuklanmadığına veya en azından operasyonlarının neden kesintiye uğramadığına cevap vermiyor.
Bilgisayar Korsanları Şiddet Tehditleriyle Daha Agresifleşiyor
Kurumsal Amerika ile kolluk kuvvetlerinin kesiştiği noktada yer alan çoğu şey gibi, ayrıntıların çoğu da gizlilik içinde korunuyor. Ancak grubun MGM Resorts gibi halka açık şirket ağları üzerinden yaygınlaşmasının etkileri iyi biliniyor.
Google Cloud Mandiant Consulting CTO’su Charles Carmakal, “UNC3944, bugün ABD’deki kuruluşları etkileyen en yaygın ve agresif tehdit aktörlerinden biri” diyor. “İnanılmaz derecede yıkıcılar.”
Ve grubun her zaman cezasız bir şekilde siber suçlar işlediği, hatta fiziksel şiddet tehditlerine kadar vardığı görülüyor. Microsoft araştırmacıları, adını verdikleri gruba ilişkin analizlerinde şöyle açıkladı: Octo FırtınasıMağdurlara ödeme yapmaları konusunda baskı yapmak için kişisel güvenlik korkusunu kullanıyor.
Microsoft’un Olay Müdahale ve Tehdit İstihbaratı ekipleri raporlarında, “Nadir durumlarda Octo Tempest, telefon görüşmeleri ve mesajlar yoluyla belirli kişileri hedef alarak korku tacirliği taktiklerine başvuruyor.” dedi. “Bu aktörler, mağdurları kurumsal erişim için kimlik bilgilerini paylaşmaya zorlamak amacıyla fiziksel tehditlerin yanı sıra ev adresleri ve aile adları gibi kişisel bilgileri de kullanıyor.”
Dağınık Örümcek Hakkında Dağlarca Veri
Analistlerin grup hakkında yayınladığı çok sayıda ayrıntı baş döndürücü. Scattered Spider, kimlik bilgilerini çalmak için Oktapus kimlik avı kitini kullanacağı ilk kez 2022 yılında işaretlenmişti. Grup başarıyla SIM takasında oyalandı ancak hizmet olarak fidye yazılımı sağlayıcısının bağlı kuruluşu haline geldiği 2023’ün ortalarında ilerleme kaydetmiş gibi görünüyor Kara kedi, diğer adıyla Alphv.
Becerilerini istikrarlı bir şekilde geliştiren grup üyeleri, sonunda akıllıca yeni bir sosyal mühendislik açısı ekledi: kimlik bilgilerini sıfırlamak ve doğrulanmış hesapları hedef ortamlara ilk dayanak noktası olarak devralmak için yardım masalarını aramak. Bu, Scattered Spider ekibinin sonuçta MGM Resorts’u tehlikeye atmak ve Las Vegas Strip operasyonlarını bir haftadan fazla sekteye uğratmak için kullandığı ve yalnızca MGM Resorts’un yüz milyonlarca dolarlık kayıplara yol açtığı bir kumardı. Grup eş zamanlı olarak Caesars’ı ihlal etti ve hızla 15 milyon dolarlık bir fidye ödemesi için pazarlık yaptı.
Mandiant’tan Carmakal, grubun bu iki olaydan sonra daha fazla incelenmesi gerektiğini söylüyor: “Son zamanlarda konaklama ve eğlence organizasyonlarını hedef almaları nedeniyle son zamanlarda çok fazla ilgi topladılar.”
Kolluk Kuvvetleri Siber Suçlarla Mücadele Ediyor
Federal yetkililer, Scattered Spider’a yönelik soruşturmanın herhangi bir ayrıntısını paylaşmıyor ancak siber güvenlik sektörünün içindeki kişiler, FBI gibi geleneksel kolluk kuvvetlerinin siber suçluları kovalamaya uyum sağlamakta zorlandığından şüpheleniyor.
Bugcrowd’un kurucusu Casey Ellis, “Kolluk kuvvetleri daha fazla yapıya ve organizasyona sahip çalışma gruplarına daha alışkın ve daha kaotik ve gevşek bir şekilde bir araya gelmiş tehdit aktörlerinin geri dönüşüyle mücadele ediyor” diyor.
Critical Start’ın üst düzey yöneticisi Callie Guenther’e göre aslında FBI’ın Scattered Spider gibi bilgisayar korsanlığı gruplarını engellemedeki başarısızlığı bir süre için bir sorun olabilir.
Günther, “FBI’ın bu grubu kontrol altına alma mücadelesi aynı zamanda kolluk kuvvetlerinin dijital çağda karşılaştığı daha geniş zorlukları da vurguluyor” diyor. “‘Dağınık Örümcek’ vakası, suç gruplarının fiziksel şiddet tehditleri de dahil olmak üzere agresif taktikler kullandığı yeni bir siber tehdit çağının göstergesidir. Suç stratejilerindeki bu artış, emniyet teşkilatının ve siber güvenlik uzmanlarının eşit derecede sağlam ve yenilikçi bir tepki vermesini gerektirir.”
Şimdilik, Scattered Spider’ın ağlarını aksatmasını engellemek bireysel kurumsal ekiplerin sorumluluğunda gibi görünüyor. Bu arada siber güvenlik topluluğu, istismarlarına ilişkin ayrıntıları toplamaya ve tutuklamaları beklemeye devam edecek.