İki üniversite araştırmacısı bu hafta bir raporda, kötü niyetli bilgisayar korsanlarının açık kaynak istihbaratını kullanarak ilk faaliyetlerini izlemenin, gelecekte kalıcı bir tehdit haline gelme olasılıkları hakkında önemli ipuçları sunabileceğini iddia etti.
Bu bilginin, yeni başlayan bilgisayar korsanlarını suç yollarından uzaklaştırmak için erken müdahale çabalarına rehberlik edebileceğini belirttiler.
Güney Florida Üniversitesi Kriminoloji Bölümü’nde yardımcı doçent olan Christian Howell ve Georgia Eyalet Üniversitesi Ceza Adaleti ve Kriminoloji Bölümü’nde profesör olan David Maimon, yakın zamanda bir yıllık bir süre boyunca web sitesi tahrifatlarına katılan 241 yeni hacker’ı izledi.
Acemi Bilgisayar Korsanları İçin Erken Müdahale
Howell ve Maimon bilgisayar korsanlarını yeni olarak tanımladı çalışmaları için kötü niyetli aktörlerin web sitesi tahrifatlarını bildirmek için yaygın olarak kullandıkları bir platform olan Zone-H’de yayınlanan bilgilere dayanmaktadır. Bilgisayar korsanları temel olarak saldırılarının kanıtlarını, takma isimleri, tahrif edilmiş web sitesinin alan adı ve tahrif edilmiş içeriğin bir görüntüsünü Zone-H’ye yükler. Oradaki yöneticiler içeriği doğruladıktan sonra, bilgileri herkesin görebileceği şekilde arşive gönderirler. Zone-H şu anda yıllar içinde web sitesi tahrifatlarıyla sonuçlanan 15 milyondan fazla saldırının kaydını tutmaktadır.
İki araştırmacı, bilgisayar korsanlarının her birini, Zone-H’de açıklanan ilk web sitesi tahrifinden itibaren 52 haftalık bir süre boyunca izledi. Pek çok saldırgan, itibarlarını ve statülerini belirlemek için platformlar arasında aynı çevrimiçi takma adları kullandığından, araştırmacılar onları Facebook, Twitter, Telegram ve YouTube gibi sosyal medya kanalları da dahil olmak üzere birden fazla ortamda takip edebildi.
Maimon, “Bir bilgisayar korsanının kariyerinin ilk birkaç ayındaki davranışına dayanarak, kariyerlerinde ileride nerede olacaklarını tahmin edebilirsiniz,” diyor. Erken müdahale ederek, “Bu aktörleri kesinlikle bir siber suç yaşamından uzaklaştırabiliriz” diye ekliyor.
Maimon işaret ediyor Önceki arama Howell ve başka bir araştırmacıyla birlikte, erken müdahalenin tomurcuklanan suç davranışı üzerinde bir etkisi olabileceğini gösteren bir parçası olduğu. Araştırmada, kendileri hacker olduklarını iddia eden araştırmacılar, tahrif faaliyetinde bulunanları hedef alan yasal yaptırım çabaları hakkında seçilen bir hacker grubuna doğrudan mesajlar gönderdiler. Mesajları alanların birçoğunun, görünüşe göre kolluk kuvvetlerinin onları izlemesinden endişe duydukları için, tahrif faaliyetlerini azaltmalarına yol açtığını söylüyor.
Dört Farklı Yörünge
Her bilgisayar korsanının bir yıllık süre içinde gerçekleştirdiği toplam saldırı sayısı hakkında bilgi topladılar, web sitesi tahrifatlarının içeriğini analiz ettiler ve bilgisayar korsanları hakkında sosyal medyadan, yeraltı sitelerinden ve forumlardan açık kaynak istihbaratı topladılar.
Veriler, 241 bilgisayar korsanının, kötü amaçlı bilgisayar korsanlığı kariyerlerinin ilk yılında toplam 39.428 web sitesini tahrif ettiğini gösterdi. Davranışlarının analizi, yeni bilgisayar korsanlarının dört yoldan birini izlediğini ortaya çıkardı: düşük tehdit, doğal olarak direnme, giderek daha üretken ve ısrarcı.
Yeni bilgisayar korsanlarının çoğu (%28,8) düşük tehdit kategorisine giriyor, bu da temel olarak çok az tahrifat yaptıkları ve yıl boyunca saldırı sıklıklarını artırmadıkları anlamına geliyordu. Yaklaşık %23,9’u doğal olarak vazgeçiyordu, bu da kariyerlerine önemli bir hızla başladıkları, ancak daha sonra ilgilerini hızla kaybettikleri anlamına geliyor. Araştırmacılar, bu kategorideki bilgisayar korsanlarının, muhtemelen görüşlerini yitiren veya amaçlarından sıkılan siyasi amaçlı bilgisayar korsanlarını içerdiğini tahmin etti.
Daha sorunlu kategorilerdeki bilgisayar korsanları, yıl boyunca artan sayıda saldırı gerçekleştiren %25,8’lik kesim ve önemli sayıda saldırıyla başlayan ve yıl boyunca bu seviyeyi koruyan kalıcı kategorideki %21,5’tir.
Howell, “Üretkenliği giderek artan bilgisayar korsanları, kariyerlerinde ilerledikçe daha fazla saldırı gerçekleştirirken, kalıcı tehditler sürekli olarak çok sayıda saldırı gerçekleştirir. Her ikisi de sistem yöneticileri için sorunludur,” diyor Howell. Çalışmadaki bilgisayar korsanlarının yüzde kaçının web sitesi tahrifatlarının yanı sıra diğer siber suç türleriyle uğraştığını kesin olarak söylemenin zor olduğunu belirtiyor. “Ama Dark Web’de satan birkaç bilgisayar korsanlığı hizmeti buldum. Hepsinin olmasa da çoğunun başka bilgisayar korsanlığı biçimleriyle uğraştığından şüpheleniyorum.”
Belirsiz İşaretler
İki araştırmacı, sosyal medya platformlarında yüksek düzeyde etkileşimi olan ve web sitelerinin tahrifatlarını birden çok arşive bildiren bilgisayar korsanlarının aynı zamanda daha ısrarcı ve üretken aktörler olma eğiliminde olduklarını buldu. Ayrıca, tahrif ettikleri sitelerde takma adlarını ve onlarla iletişim kurmanın yollarını ifşa etme eğilimindeydiler. Howell ve Maimon, davranışı, bu aktörlerin siber suçlarda uzun vadeli bir kariyere hazırlanırken kendi markalarını oluşturma girişimlerine bağladılar.
Çoğu zaman, bu aktörler daha geniş ekiplerin parçası olduklarını veya daha geniş bir grubun parçası olduklarını da belirtmişlerdir. Howell, “Yeni bilgisayar korsanları genellikle daha sofistike üyelere sahip mevcut ekipler tarafından işe alınır” diyor.
Howell, çalışmanın halka açık kaynaklardan gelen siber istihbaratın hem tehditleri hem de yeni ortaya çıkan tehdit aktörlerini tahmin etmede yararlı olduğunu gösterdiğini söylüyor. Şu anda odak noktasının, ileriye dönük bu tahminleri iyileştirmeye yardımcı olabilecek AI algoritmaları geliştirmeye odaklandığını belirtiyor.
