Altran’ı hacklemeseler daha iyi olurdu. Ocak 2019’da mühendislik ve inovasyon danışmanlığı devini hedef alan bir siber saldırının ardından başlatılan Fransız polis soruşturması, Ukrayna’da bir fidye yazılımı çetesine karşı düzenlenen uluslararası baskına yönelik dört yıl süren soruşturmanın ardından henüz sonuçlandı.
Siber suç örgütünün sağ kolu olduğundan şüphelenilen 32 yaşındaki bir adamın da aralarında bulunduğu beş kişi, Volodymyr Zelensky’nin ülkesinde yerel polis tarafından tutuklandı. Almanya, Amerika Birleşik Devletleri, Fransa ve Norveç’ten yaklaşık yirmi araştırmacı da takviye olarak hazır bulundu. Fidye yazılımı saldırılarına karşı mücadelede “benzeri görülmemiş bir çaba” memnuniyetle karşılandı Avrupa polis teşkilatı Europol.
Sembolik vaka
Yeni siber suçlarla mücadele ofisinin siber soruşturmalar birimi başkanı ZDNET.fr Christophe Durand, “Bu, cezasız kalmanın olmadığını gösteren sembolik bir vakadır” dedi. “Artık araştırmalarımızın hızını artırmayı amaçlıyoruz” diye ekliyor.
Bu adamlar, LockerGoga, MegaCortex, Hive ve Dharma kötü amaçlı yazılımlarıyla 71 ülkede 250’den fazla sunucuya yönelik saldırılara katılmakla suçlanıyor. Polis, bunun birkaç yüz milyon avro tutarında hasara yol açacağını hesaplıyor.
Bu davada yaşları yirmi ile otuz yaşları arasında toplam 18 kişi tutuklandı. Bu tutuklamalar ilk tutuklama dalgasının ardından geldi. Ekim 2021’de gerçekleştirilen. Daha sonra Fransız polisinin edindiği bilgiler doğrultusunda İsviçre ve Ukrayna’da 13 kişi tutuklandı.
Fransız pisti
Adli yetkililer artık, geliştiriciden ilk erişim satıcılarına kadar, kötü amaçlı programların dağıtımından sorumlu aklayıcılar ve bilgisayar korsanları da dahil olmak üzere çetenin önemli bir bölümünü yakaladıklarına inanıyor. Ancak çetenin kimliği tespit edilen ancak yeri belirsiz olan elebaşına ilişkin soruşturmanın tamamlanması için bir tutuklama eksik.
Uluslararası soruşturma, Bilgi ve İletişim Teknolojileriyle İlgili Suçlarla Mücadele Merkez Ofisi (OCLCTIC) polis memurlarının çalışmaları ile güçlendirildi. Altran hacklemesini araştırmaktan sorumlu olan ekip, İsviçre’de yaşayan ve çetenin geliştiricisi olduğundan şüphelenilen bir adamın izlerini bulmuşlardı.
Fransa onun iadesini talep ederse, İsviçre adaleti onun suçlanabileceği diğer bilgisayar korsanlığı olaylarını da soruşturuyor. Ancak ZDNET.fr’nin açıkladığı gibi bu tutuklama, geçen yıl LockerGoga fidye yazılımı için bir şifre çözücünün yayınlanmasına olanak tanıdı. Bu fidye yazılımı saldırılarından birkaç yıl sonra, fidye yazılımı açısından mutlu bir son umut etmenin mümkün olduğunu kanıtlasa bile, göreceli olarak ilgi çekici bir araç.
Fransa’daki sunucu
Fransız polisi ilk olarak Fransa’da bulunan ve bir Ukrayna vatandaşı tarafından üçüncü şahıslara kiralanan bir komuta ve kontrol sunucusunu tespit etmeyi başardı. Kötü niyetli bilgisayar korsanlarının izini sürmek için fidye ödemelerinin izini sürmeden önce. Buna göre EkspresAltran, dijital hizmet şirketi Capgemini tarafından satın alındığından beri, hasarı sınırlamak için 300 bitcoin (o zamanlar yaklaşık bir milyon euro) ödemişti, ancak siber suçlulardan şifre çözme anahtarı almayı başaramadı.
Fransız polis memurları, özellikle Trickbot Trojan ve Cobalt Strike sızma testi araçlarının kullanımına dayanarak suç altyapısının haritasını çıkarmayı da başardı.
Siber suçluların ayrıca PowerShell’i temel alan saldırgan bir güvenlik araç seti olan Empire programını kullandıklarından da şüpheleniliyor. Europol, hacklemelerinin kaba kuvvet saldırıları, SQL enjeksiyonları ve kimlik bilgilerini çalmayı amaçlayan kimlik avı mesajlarının bir karışımına dayandığını söyledi.