Interpol Operasyonu Ramz ile SniperDz PhaaS Platformu Çökertildi: 9 Yıllık Siber Tehdit Sona Erdi Linux

Interpol Operasyonu Ramz ile SniperDz PhaaS Platformu Çökertildi: 9 Yıllık Siber Tehdit Sona Erdi

Interpol liderliğindeki 13 ülkeli operasyon, 9 yıldır faaliyet gösteren SniperDz phishing platformunu çökertti ve baş geliştiricisi Cezayir'de tutukla

Siber güvenlik firması Group-IB, Interpol öncülüğünde yürütülen uluslararası bir operasyonun, köklü bir phishing-as-a-service (PhaaS) platformu olan SniperDz'yi çökerttiğini ve ana geliştiricisinin Cezayir'de tutuklandığını duyurdu. Ramz Operasyonu adı verilen bu geniş çaplı müdahale, Ekim 2025'ten Şubat 2026'ya kadar Orta Doğu ve Kuzey Afrika (MENA) bölgesindeki 13 ülkede eş zamanlı olarak yürütüldü. Interpol, Mayıs sonunda açıkladığı sonuçlarda 201 tutuklama, 53 sunucuya el konulması ve 382 şüpheli ile 3.867 mağdurun tespit edildiğini bildirdi. Ayrıca, gelecekteki soruşturmaları desteklemek üzere katılımcı ülkeler arasında yaklaşık 8.000 veri ve istihbarat paylaşıldı.

Group-IB, operasyonun kilit ortaklarından biri olarak 11 Haziran'da yaptığı açıklamada, SniperDz'nin çökertildiğini ve platformun birincil geliştiricisinin Cezayir'de yakalandığını doğruladı. SniperDz, en az 2015'ten beri faaliyet gösteren küresel bir PhaaS platformuydu. Platform, siber suçlulara hazır kimlik avı kitleri, altyapı barındırma ve operasyonel destek gibi sofistike hizmetler sunuyordu. Palo Alto Networks'ün Unit 42 araştırma birimi, 2023-2024 arasında yalnızca SniperDz ile ilişkili 140.000'den fazla kimlik avı sayfası keşfetti. Araştırmacılar, saldırganların bu sayfaları SniperDz'nin kendi altyapısında barındırabildiği veya şablonları indirip kendi sunucularında kullanabildiğini belirtti.

İlginç bir şekilde, SniperDz hizmetlerini ücretsiz sunuyordu. Unit 42 raporuna göre, platformun bu yaklaşımının arkasında, kullanıcıların çaldığı kimlik bilgilerini toplayarak hizmet maliyetini karşılama stratejisi yatıyordu. Group-IB, dokuz yıllık incelemede SniperDz ile bağlantılı 20.000'den fazla benzersiz alan adı tespit etti. Bu alan adları, PayPal, Facebook, Instagram, Yahoo, Netflix ve Steam gibi en az 30 büyük küresel organizasyonu taklit ediyordu. Ayrıca, Arapça, İngilizce, Fransızca, İspanyolca ve İbranice olmak üzere beş dilde 80 kimlik avı şablonu belirlendi. Kurbanlar, genellikle kimlik bilgilerini, kişisel bilgilerini ve hassas verilerini çalmak için tasarlanmış ikna edici sahte web sitelerine yönlendiriliyordu.

SniperDz platformu, geleneksel kimlik avının ötesine geçerek sosyal mühendislik tekniklerini de kullanıyordu. Özellikle MENA bölgesindeki tanınmış siyasi figürlerin popülaritesini ve güvenilirliğini istismar eden sahte sosyal medya hesapları oluşturuluyordu. Group-IB, tehdit aktörlerinin bu hesapları kullanarak promosyon teklifleri veya ücretsiz internet erişimi gibi görünen kimlik avı bağlantılarını yaydığını açıkladı. Bu yöntem, mağdurların dikkatini çekmede oldukça etkiliydi.

Soruşturma, şüphelinin önemli bir operasyonel güvenlik (OpSec) hatası yaptığını ortaya çıkardı. Şüpheli, işbirlikçileri toplamak ve eğitmek için video eğitimleri yayınlamıştı. Ancak bu videolar, yönetici bilgilerini ve hesap kimlik bilgilerini istemeden ifşa etti. Ayrıca, platformun evrimini, işbirlikçi toplama çabalarını ve yeni kimlik avı şablonlarının sürümlerini belgeleyen yıllar süren sosyal medya etkinliği, Group-IB araştırmacılarının şüphelinin dijital ayak izini izlemesine ve onu tanımlamasına olanak sağladı. Group-IB, operasyonları koordine etmek için kullanılan ve 7.300'den fazla abonesi olan bir Telegram kanalı ile 19.000'den fazla kullanıcının takip ettiği bir Facebook hesabının, şüpheliyi 2015-2025 arasındaki platform faaliyetlerine bağlayan ek kanıtlar sağladığını belirtti.

Detaylar ve Etkileri

Group-IB, topladığı bilgileri Interpol'e ilettikten sonra, kolluk kuvvetleri Cezayir Ulusal Polisi ile koordineli olarak SniperDz altyapısını çökertti ve operasyonu yürüttüğü düşünülen kişiyi tutukladı. Group-IB CEO'su Dmitry Volkov, bu vakayı "düşman merkezli istihbaratın neden önemli olduğuna dair ders kitabı niteliğinde bir örnek" olarak nitelendirdi. Volkov, "Siber suçları engellemek, kimlik avı sayfalarını kaldırmaktan daha fazlasını gerektirir. Bunun arkasındaki insanları, altyapıyı ve suç ekosistemlerini anlamak gerekir. Tehdit istihbaratı, ilişkilendirme ve kolluk kuvvetleriyle yakın iş birliğini birleştirerek, neredeyse on yıldır süren kimlik avı faaliyetinden sorumlu kişiyi belirlemeye ve bu operasyonu sona erdirmeye katkıda bulunabildik," dedi.

Kaynak: infosecurity-magazine.com

Paylaş: