Mahkeme Dosyası, Windows Cihaz Kimliğinin FBI'ın Dağınık Örümcek Hacker İddiasını Takip Etmesine Yardımcı Olduğunu Ortaya Çıkardı Yazılım

Mahkeme Dosyası, Windows Cihaz Kimliğinin FBI'ın Dağınık Örümcek Hacker İddiasını Takip Etmesine Yardımcı Olduğunu Ortaya Çıkardı

ABD'li savcılar, yeni ortaya çıkan federal bir şikayete göre, Scattered Spider hacker'ı olduğu iddia edilen kişinin kalıcı bir Windows cihaz kimliği k...

ABD'li savcılar, yeni ortaya çıkan federal bir şikayete göre, Scattered Spider hacker'ı olduğu iddia edilen kişinin kalıcı bir Windows cihaz kimliği kullanarak lüks bir mücevher perakendecisine yapılan izinsiz girişle bağlantılı olduğunu belirtti.

Microsoft kayıtları, bu kimliği önce saldırganların Mayıs 2025'teki saldırı sırasında erişim sağlamak için kullandıkları hesaba, ardından da savcıların 19 yaşındaki Peter Stokes'a ait olduğunu söylediği çevrimiçi hesaplara bağladı.

Stokes komplo, bilgisayara izinsiz giriş ve dolandırıcılıkla suçlanıyor. İnternette "Buket" olarak bilinen ABD-Estonya çifte vatandaşı, THN'nin haberine göre Finlandiya'dan iade edildi ve ilk kez 30 Haziran'da Chicago'da mahkemeye çıktı. Yargılanana kadar masum olduğu varsayılıyor.

Hırsızlık nasıl çalıştı?

Önemli Gelişmeler

Saldırganlar, 12-15 Mayıs 2025 tarihleri arasında perakendecinin BT yardım masasını Google Voice numaralarından aradılar, kilitlenmiş çalışanlar gibi davrandılar ve personelden çalışanların şifrelerini ve çok faktörlü kimlik doğrulamalarına bağlı mobil cihazları sıfırlamalarını sağladılar.

Birkaç saat içinde ikisi BT yöneticilerine ait olan üç hesabı kontrol ettiler. Ngrok'u ve Teleport adında ikinci bir tünel açma aracını kurdular, verileri Amazon bulut depolama alanına taşıdılar ve en az 77 gigabayt çıkardılar.

Fidye yazılımı dağıtmaya çalışmış gibi görünüyorlar, ancak perakendecinin güvenlik ekibi bunu engelledi ve onları ağdan çıkardı. Saldırganlar yine de konu başlığı "ÖNEMLİ: VERİLERİ ÇALDIK, HEMEN İLETİŞİME GEÇİN [sic]" şeklinde bir fidye e-postası gönderdiler ve daha sonra 8 milyon dolarlık kripto para istediler. Şirket ödeme yapmadı. İhlal, kesinti, soruşturma ve temizlik açısından hâlâ yaklaşık 2 milyon dolara mal oldu.

Gelecekte Ne Bekleniyor?

Giriş yolu bir yazılım hatası değil, yardım masasıydı. Düzeltme, yama değil, bir süreçtir: herhangi bir sıfırlamadan önce, zaten kayıtlı olan bir numaraya geri arama, yönetici oturumu kapatma veya ayrıcalıklı hesaplar için video kontrolleri ile kimliği doğrulayın. FIDO2 anahtarları gibi kimlik avına karşı dayanıklı MFA, grubun diğer yöntemlerini köreltir, ancak yardım masası bir telefon görüşmesi sırasında hesabı sıfırlarsa hiçbir şey yapmaz.

Müfettişleri Stokes'a yönlendiren kimlik

Müfettişler, ngrok hesabını açan cihazdan Stokes'a ulaştı. Microsoft, FBI'a, Global Cihaz Tanımlayıcısı g:6755467234350028'i taşıdığını söyledi; Microsoft bunu tek bir Windows kurulumuna bağlı kalıcı bir tanımlayıcı olarak tanımlıyor; işletim sistemi güncellemelerinden kurtulan ancak Windows yeniden yüklendiğinde değişen bir tanımlayıcı.

Microsoft kayıtları, cihazın ngrok kayıt sayfasını 12 Mayıs 2025 19:21 UTC'de, yani ngrok hesabının oluşturulduğu dakikada ziyaret ettiğini ve yaklaşık üç saat sonra aynı proxy aracılığıyla perakendecinin web sitesine ulaştığını gösteriyor.

Cihaz aynı zamanda savcıların Stokes'a atfettiği Snapchat, Apple ve Facebook hesaplarıyla aynı IP adreslerini de göstermeye devam etti: Haziran 2024'te memleketi Tallinn, Estonya'daki bir adres, ardından Kasım 2025'te New York ve Şubat 2025'te Tayland'da bulunan ve Dışişleri Bakanlığı seyahat kayıtlarıyla eşleşen bir adres.

Şikayet, saldırıyı bir VPN proxy'sinin, tünel açma araçlarının ve takma adların arkasına gizleyen ancak kendisini gizleyen bir operatörü gösteriyor. Savcılar, Snapchat'inde para, saat ve üzerinde "GEZEGENİ HACKLE" yazan elmas zincirlerin yanı sıra bu şehirlere yaptığı gezilerin de gösteriş yaptığını söylüyor. Hatta Estonya'daki bir polis karakolunun fotoğraflarını bile yayınladı ve federallerin neyin kaçmasına izin verdiklerine dair hiçbir fikirleri olmadığını söyleyerek alay etti.

Teknik Analiz

Bir tutuklama ve neden tehdidi yavaşlatmayabilir?

Müfettişler artık saldırıyı düzenleyen makineye tek bir operatörü bağlayabiliyor. Ancak tek bir tutuklama daha geniş tehdide pek dokunmuyor.

Grup-IB, son zamanlarda yapılan ayrı bir araştırmada, Scattered Spider'ın aslında tek bir grup olmadığını öne sürüyor. Bu, çoğu beş kişiden büyük olmayan, ortak bir patron yerine ortak hileler, araçlar ve sohbet odaları ile birbirine bağlanan küçük, bağımsız hücrelerden oluşan gevşek bir kolektiftir. Grup-IB bunu Anonim hareketle karşılaştırıyor ve bu hücrelerden bazılarının tutuklanmasının "tehdidin kendisini durdurmayacağını" söylüyor.

Savcılar, Scattered Spider'ı 100'den fazla izinsiz girişin ve 100 milyon doların üzerinde fidyenin arkasındaki grup olarak tanımlıyor. Group-IB, etiketin bir sahneye bir çeteden daha iyi uyduğunu söylüyor ve gevşek yapının, her tutuklamada faaliyetin hayatta kalmasının nedeni olduğunu savunuyor.

Uzmanların Görüşleri

Daha uzun bir dava serisinin parçası

Yakın zamandaki diğer Dağınık Örümcek davaları da aynı şekli izliyor: bireyler birer birer tutuklanıyor, paylaşılan taktik kitabı bozulmadan. Nisan 2026'da İskoç vatandaşı Tyler Buchanan, ABD'de gruba bağlı dolandırıcılık ve kimlik hırsızlığı suçunu kabul etti.

Detaylar ve Etkileri

2025 yılında "Sosa" olarak bilinen Noah Urban, Scattered Spider ile bağlantılı bir SIM değiştirme planı nedeniyle 10 yıl hapis cezasına çarptırıldı. Ve Birleşik Krallık'ta yakın zamanda üye olduğu iddia edilen iki kişi Tahminen 29 milyon £'a mal olan Transport for London hack'ine kabul edildi.

Finlandiya polisi Stokes'u Japonya'ya uçmaya çalışırken Helsinki havaalanında durdurduğunda iki adet 2 terabaytlık sabit diske el koydu. Bütün bu vaka bu tür materyallerden oluşturuldu: cihaz kayıtları, hesap bağlantıları ve IP izleri. Bu kadar dağınık bir ağda, bir sonraki üyeye ulaşan araçları, altyapıyı veya bağlantıları barındırıyorsa, dürtüler inançtan daha önemli olabilir.

Paylaş: