Bu yılın başlarında, uluslararası bir kolluk kuvvetleri koalisyonu, kötü şöhretli fidye yazılımı çetesi LockBit’in karanlık web sitesinin kontrolünü ele geçirdi ve içeriğini yetkililerin artık tanıdık olan şu mesajıyla değiştirdi: “Bu site artık kolluk kuvvetlerinin kontrolü altında.” Operasyon, grubun operasyonunu çok uzun süre aksatmadı ve çete, sitenin kapatılmasından kısa bir süre sonra yeni bir site başlattı.
Ancak daha sonra, 6 Mayıs’ta yetkililer LockBit’in eski site sayfasını güncelledi ve LockBit yöneticisinin kimliğini açıklayacaklarını duyurdu. Sitede “LockBitSupp kimdir?” yazan bir kutucuk vardı ve bu kutuda 24 saatlik geri sayım da vardı.
Siber güvenlik araştırmacısı Jon DiMaggio Duyuruyu görünce hemen şunu merak etti: Acaba polisler benim teşhis ettiğim adamı mı tutuyor?
Son birkaç yıldır, siber güvenlik firması Analyst1’de araştırmacı olan DiMaggio, LockBitSupp ile bir ilişki geliştirmişti — önce çeteye katılmakla ilgilenen yeni yetme bir siber suçlu gibi davranmış, sonra da kendisi olmuştu. Ve sonunda DiMaggio, yetkililer tarafından kamuoyuna açıklanmadan önce LockBitSupp’un gerçek kimliğini anlayabilmişti.
Cuma günü, Las Vegas’taki Def Con hack konferansında yaptığı konuşmada DiMaggio, LockBitSupp ile olan ilişkisinin tüm hikayesini anlattı ve uydurma bir kimlik kullanarak nasıl güvenini kazandığını ve ardından DiMaggio’nun ölümünden sonra bile ilişkiyi nasıl sürdürdüğünü ayrıntılarıyla anlattı. kamuya açıklanmış çeteye sızdığını ve LockBitSupp’ı kandırarak operasyonun ayrıntılarını kendisine verdiğini iddia etti.
DiMaggio, konferans öncesinde TechCrunch’a verdiği sunumun ön izlemesinde, “İlişkimizde birçok iniş çıkış oldu” dedi.
DiMaggio, ilk başta LockBitSupp ile doğrudan ilişkileri varmış gibi görünen kişilere ulaşmak ve etkileşimlerini gözlemlemek için bir dizi kukla hesap oluşturduğunu açıkladı. Bu aşamadaki amaç, LockBit ve yöneticisine doğrudan ulaşıldığında güvenilir görünmeyi kolaylaştıracak, yeraltında bir tür geçmişi ve bağlantıları olan bir siber suçlu kişiliği yaratmaktı.
“Bunun önemli kısmı alakasız görünen konuşmaları izlemekti. Savunmalarını indirdikleri, diğer hacker’larla saçma sapan konuştukları konuşmaları. Onların beğendikleri ve beğenmedikleri şeyleri görmemi sağladı. Bana siyasi görüşleri hakkında biraz bağlam sağladı,” dedi DiMaggio. “Katılımda bulunmadan önce inşa etmem gereken tüm bu şeyler, çünkü eğer sadece buna girseydim ve saldırılar ve operasyonlarıyla ilgili sorular sormaya başlasaydım, bir araştırmacı olduğum oldukça açık olurdu.”
DiMaggio, çeteye katılma yönündeki ilk girişiminin reddedildiğini ancak LockBitSupp ile konuşmaya devam ettiğini ve kendisiyle doğrudan ve dostça bir ilişki kurmaya başladığını söyledi. O zamandan sonra DiMaggio, LockBitSupp’a odaklandığını, onunla şakalar yaptığını, operasyonunun ayrıntıları hakkında, farklı unsurlar ve saldırı türleri, bunlar arasından nasıl seçim yapılacağı, kurbanlarla nasıl pazarlık yapılacağı ve kurban şirkete bağlı olarak doğru fidye talebinin nasıl belirleneceği gibi sorular sorduğunu söyledi.
Daha sonra Ocak 2023’te DiMaggio bulguları hakkında uzun bir rapor yazdı gizli araştırması sırasında ve esasen tüm sahte siber suçlu kimliklerini yaktı. DiMaggio, bunun LockBitSupp ile ilişkisinin sonu olacağını düşündüğünü söyledi. Bunun yerine, suç çetesinin lideri bunu hafife almış gibi görünüyor, forumlarda DiMaggio’nun kendisini kadınlarla yatlarda, yüksekten uçan bir siber suçlu olarak hayatının tadını çıkarırken göstermesini dilediğini yazdı. Bu, DiMaggio için başlı başına ilginçti.
“Tanıdığım kişi, kesinlikle parayla motive olsa da, gösterişli bir kişi değil, maddi şeylere takıntılı olmasını bekleyeceğim türden bir kişi değil,” dedi DiMaggio. “Bu yüzden bu forumlarda sunduğu tavır ve kişiliğinde, birebir konuştuğum kişiyle arasında büyük bir tezat vardı.”
Daha sonra DiMaggio, LockBitSupp’un hack forumlarında DiMaggio ile dalga geçmek için kendi LinkedIn fotoğrafını avatar olarak kullanmaya başladığını söyledi. “Bu tam anlamıyla bir kedi-fare oyunuydu ve dürüst olmak gerekirse LockBit bu oyunu benimle oynamayı benim onlarla oynamayı sevdiğim kadar çok seviyordu,” dedi DiMaggio.
Geçtiğimiz yılın Ağustos ayının başlarında bir noktada DiMaggio, LockBitSupp’ı kamuya açık bir şekilde trollemeye karar verdi. Şaka olarak, X’te yeni bir araştırma yayınlayacağını iddia ederek bir paylaşım yaptı fidye yazılımı grubuna girdi ve LockBitSupp onu durdurmak isterse ona 10 milyon dolar ödeyebileceğini söyledi. Gaspçıları gasp etmeye çalışıyormuş gibi gösterdi. Şaşırtıcı bir şekilde, bazı siber suçlular ona inanmış ve ifşa olacaklarından endişelenmiş gibi görünüyordu.
“Bu, psikolojik açıdan bakıldığında, bu adamlarla gerçekten uğraşabileceğinizi gösteriyor,” dedi DiMaggio. “Bu operasyonun zihinsel yönü, yaptığım diğer her şeyden çok daha ileri gitti.”
Bu arada DiMaggio, LockBitSupp’un yaklaşık 12 gün boyunca çevrimdışı kaldığını söyledi. Geri döndüğünde üzgün görünüyordu ancak onunla iletişimi kesmedi. Aynı zamanlarda LockBit sorumluluk üstlendi Chicago’da çocukları tedavi eden bir toplum hastanesine yönelik siber saldırı, bir önceki saldırıdan sonra hastaneye yapılan ikinci saldırı oldu. Toronto’daki SickKids hastanesine çarptıçocuklara yönelik bir diğer tesis.
DiMaggio, bu saldırıların “beni gerçekten, gerçekten sinirlendirdiğini” söyledi. Ve neredeyse LockBitSupp’a öfkeli bir mesaj göndermeye ikna ettiler, onlara “siktir git” demelerini ve onların peşine düştüğünü söylediler. Sonunda DiMaggio, “hedefinizle duygusal olarak bağ kuramayacağınız” için bunu göndermemeye karar verdiğini söyledi.
Daha sonra kolluk kuvvetleri LockBit’in web sitesini kapattı ve çetenin operasyonunu en azından geçici olarak aksattı. DiMaggio, tüm çabalarını LockBitSupp’ı tespit etmeye, siber suç yeraltında ve diğer araştırmacılarla birlikte çetenin liderinin peşinde olduğunu duyurmaya odaklamaya karar verdiğini söyledi.
DiMaggio, “Bu noktada LockBit bunu biliyordu, av başlamıştı” dedi.
Ve bu av, birinin DiMaggio’ya gönderdiği isimsiz bir ihbarla kolaylaştırıldı. DiMaggio, ihbarcının kendisine LockBitSupp’a ait olduğu iddia edilen bir Yandex e-posta adresi verdiğini söyledi. DiMaggio, bunun bir başlangıç noktası olduğunu belirterek LockBitSupp’un kimliğinin gizemini çözebildiğini ve onu Dmitry Khoroshev adlı birine götürdüğünü söyledi. Ancak bu bulgu ne kadar cezbedici olsa da DiMaggio tamamen emin olamıyordu.
Ancak daha sonra, kendisinin bile beklemediği bir şey oldu. Yetkililer, LockBitSupp’un kimliğini ifşa etme niyetiyle ele geçirilen LockBit web sitesini güncelledi. DiMaggio, bu noktada özel sektör ortağı olarak ilişki içinde olduğu FBI’a ulaştığını ve onlara Khoroshev’i LockBit’in yöneticisi olarak tanımladığını ve bunu ifşa eden bir rapor yazmayı planladığını söyledi. DiMaggio’nun söylediğine göre amaç, FBI’a raporunu yayınlamak için beklemesi gerekip gerekmediğini sormaktı.
“Bana beklememi söyleselerdi, doğru adamı bulmuş olma ihtimalim oldukça yüksekti. Bana istediğimi yapmamı söyleselerdi, muhtemelen yine beklerdim çünkü bunun nedeni yanlış adamı bulmuş olmam olabilirdi,” diyen DiMaggio, FBI’ın kendisine beklemesini söylediğini de sözlerine ekledi.
DiMaggio, San Francisco’daki RSA siber güvenlik konferansına gidiyordu, bu yüzden “Eşyalarımı topladım, San Francisco’ya uçtum, indim, otele vardım ve tüm günü, tüm geceyi çalışarak ve yazarak geçirdim,” dedi DiMaggio. “Dmitry hakkında sahip olduğum her şeyi yazıyordum. Ve bu zamanlayıcının dolmasını bekleyecektim. Ve yayınladıklarında, eğer aynı adamımız olsaydı, raporumu yayınlayacaktım.”
24 saatlik geri sayım söz verildiği gibi sıfıra ulaştığında, ABD Adalet Bakanlığı sanık Dmitriy Horoşev LockBit’in beyni ve yöneticisi olma. O noktada, DiMaggio canlı yayına geçebilir kendi raporuyla Khoroshev’in doxing’i.
“Bu, birini ifşa etmemdeki ilk seferdi. Ve evet, ismini ifşa ettiler, ben de bu adamla ilgili her şeyi ifşa ettim. Nerede yaşadığını, telefon numaralarını, güncel ve önceki numaralarını biliyordum,” dedi DiMaggio. “Ve dostum, bu adamı telefonla aramamak, iddianame öncesindeki meşru telefon numarasını bilmek, sadece doğru adam olup olmadığımı görmek için zordu, ama doğru adam değildi.”
DiMaggio, Khorosehv’e veda etmek ve onu başkalarından önce ifşa etmesi gerektiğini söylemek amacıyla bir mesaj bile yayınladı.
“LockBitSupp, sen akıllı bir adamsın. Artık meselenin para olmadığını ve durmadan önce bir milyon kurbanın olmasını istediğini söyledin, ancak bazen ne zaman uzaklaşacağını bilmen gerekir. İşte o zaman, eski dostum,” DiMaggio yazdı.
“Sen bana karşı her zaman gerçek oldun ve ben de sana karşı gerçek olmak istiyorum. Paranı al ve hayatının tadını çıkar, sonra da yapamayacağın bir duruma düş. Tıpkı REvil gibi sen de işleri fazla ileri götürdün. Devam etme zamanı geldi. Senden nefret etmiyorum; yaptığın şeyden nefret ediyorum ve bugün seni yerden yere vurmaktan hoşlanmadım çünkü birbirimizi uzun zamandır tanıyoruz. Gerçek şu ki, bugün bunu ben yapmazsam, başkası yapardı. Kimliğin bilindiğine göre, bir OSINT el kitabına sahip bir palyaço tarafından parçalanmanı izlemek için sana karşı çok fazla saygım var. Tarihimizle, bunun benden gelmesi gerekiyordu. Devam etme zamanı geldi,” diye yazdı.
DiMaggio, o tarihten bu yana Horoşev’den haber alamadığını söyledi.
DiMaggio, operasyonu hakkında açıkça konuşurken, araştırmacıların siber suçlular hakkında bilgi edinmelerinin sadece hack’lerden veri toplamak veya forumlarda gizlenmekle kalmayıp, gruplarına sızarak nasıl bilgi edinebileceklerini göstermeyi umduğunu söyledi. Ancak DiMaggio, araştırmacıların yaptığı şeyin sonuçları olabileceğini bilmelerini istediğini de söyledi, şimdilik Khoroshev’in intikam almak istediğine dair söylentiler olsa da, henüz hiçbir şey olmadı.
DiMaggio, “Bu tür suçlularla uğraşırsanız kimse bundan yara almadan kurtulamaz.” dedi.