Scattered Spider Hackers: 29 Milyon Sterlinlik TfL Saldırısında 5.5 Yıl Hapis Siber Güvenlik

Scattered Spider Hackers: 29 Milyon Sterlinlik TfL Saldırısında 5.5 Yıl Hapis

18 ve 20 yaşındaki iki hacker, TfL'ye yönelik 29 milyon sterlinlik siber saldırıdan 5.5 yıl hapis cezası aldı. İngiltere'de bir ilk.

İngiltere'de siber suç tarihinin en büyük davalarından biri sonuçlandı. 18 yaşındaki Owen Flowers ve 20 yaşındaki Thalha Jubair, Londra ulaşım otoritesi Transport for London'a (TfL) yönelik düzenledikleri siber saldırı nedeniyle 5.5 yıl hapis cezasına çarptırıldı. Woolwich Crown Court'ta 16 Temmuz 2026'da açıklanan karar, Bilgisayar Kötüye Kullanma Yasası'nın (Computer Misuse Act 1990) en ağır maddesi olan Section 3ZA kapsamında verilen ilk mahkumiyet olarak kayıtlara geçti. Saldırı, TfL'nin 148 sistemini kullanılamaz hale getirirken, 27.000 çalışanın şifrelerini sıfırlamak için bizzat ofise gitmesine yol açtı. Toplam kayıp ve kurtarma maliyeti 29 milyon sterlin olarak hesaplandı.

Her iki sanık da 22 Haziran 2026'da, duruşmalarının başlayacağı gün suçlarını kabul etti. Suçlama, insan refahına ciddi zarar verme veya verme riski oluşturma konusunda pervasız davranmak olarak tanımlandı. Crown Prosecution Service (CPS), Flowers ve Jubair'in Section 3ZA kapsamında başarıyla kovuşturulan ilk hacker'lar olduğunu belirtirken, Ulusal Suç Ajansı (NCA) bu davayı türünün ikinci kovuşturması olarak nitelendirdi. İki kurum arasındaki sayı farkı, birinin kovuşturmaları, diğerinin ise mahkumiyetle sonuçlananları saymasından kaynaklanıyor. NCA, davayı İngiltere mahkemelerinde görülen en büyük siber suç kovuşturması olarak tanımladı.

Saldırı, 31 Ağustos - 3 Eylül 2024 tarihleri arasında gerçekleşti. TfL'nin günlük ortalama 9 milyon yolculuğu yönettiği göz önüne alındığında, etkileri büyük oldu. Savunmasız Londralıların şehir içi ulaşımını sağlayan Dial-a-Ride rezervasyon hizmeti çöktü, dijital ödeme kanalı ve indirimli seyahat kartı düzenleme işlemleri durdu. Çocuklar ve gençler için indirimli Oyster fotokart başvuruları askıya alındı, temassız biletleme genişletmesi ertelendi ve iade işlemleri yavaşladı. TfL, müşterilerine isim ve e-posta adreslerinin yanı sıra, ellerinde bulunan ev adreslerinin de ele geçirildiğini bildirdi. Ayrıca, yaklaşık 5.000 kişinin Oyster iade verilerinin (banka hesap numaraları ve sort kodları dahil) sızdırılmış olabileceği açıklandı.

CPS, yalnızca iki sanığın erişimi ne amaçla kullandıklarını bildiğini, ancak sohbet kayıtlarının erişimi çıkarken silmeyi planladıklarını gösterdiğini belirtti. Davadaki en büyük rakam, NCA'nın ağın başarılı bir şekilde kapatılmasının İngiltere ekonomisine 56 milyar sterline kadar mal olabileceği tahmininden geliyor. CPS de benzer şekilde milyarlarca sterlinlik bir hipotetik zarardan bahsediyor. Ancak bu senaryo gerçekleşmedi çünkü TfL, saldırganları kontrol altına almak için kendi ağını kapattı. Flowers, TfL saldırısının bitiminden üç gün sonra, 6 Eylül 2024'te evinde yakalandı. NCA, ajanların onu iki ABD sağlık kuruluşu olan SSM Health Care Corporation ve Sutter Health'e yönelik saldırıyı sürdürürken bulduğunu açıkladı.

Uzmanların Görüşleri

Aramalarda dizüstü bilgisayarlar, masaüstü bilgisayarlar, sabit diskler ve USB bellekler ele geçirildi. Bir dizüstü bilgisayarda, TfL altyapısına ağ bağlantısının ekran görüntüsü ve Flowers'ın Jubair'in saldırı sırasında TfL sistemlerinde gezinirken çektiği videolar bulundu. İkili, Telegram üzerinden mesajlaşıyor ve çevrimiçi bir çalışma alanını paylaşıyordu. Savcılar, Flowers'ın her üç saldırıyı başlatmak için kullanılan uzak sunucuya bağlı olduğunu ve kendi cihazlarının onu üçüne de bağladığını kanıtladı. Jubair'i TfL'ye bağlayan bilgiler ise yurt dışındaki savcıların yardımıyla elde edildi. Flowers ayrıca sağlık saldırılarıyla ilgili iki suçlamayı daha kabul etti: SSM Health'e karşı komplo ve Sutter Health'e yönelik teşebbüs. CPS, Flowers'ın sohbetlerde 'yaşam destek ünitesine bağlı 90 yaşındaki birini öldürebileceğini' kabul ederek sistemleri kilitlemekle tehdit ettiğini belirtti. Tutuklanması onu durdurdu.

Sonuç ve Değerlendirme

NCA, her iki adamı da Scattered Spider (Octo Tempest, UNC3944, 0ktapus olarak da bilinen) fidye çetesinin önde gelen üyeleri olarak tanımlıyor. CPS daha temkinli davranarak, sanıkların çeşitli zamanlarda, savcıların 2022-2025 arasında yüzlerce saldırı gerçekleştirdiğine inandığı bir grubun üyesi olduklarını iddia ettiklerini söylüyor. FBI, grubu veri fidyesi, SIM değiştirme ve sosyal mühendislikle ilişkilendiriyor. Jubair'in ABD'de başka bir davası daha var: Eylül 2025'te New Jersey'de açılan bir iddianamede, bilgisayar dolandırıcılığı, tel dolandırıcılığı ve kara para aklama komplolarıyla suçlanıyor. İddianame, Mayıs 2022 ile Eylül 2025 arasında yaklaşık 120 ağ saldırısı ve en az 47 ABD kurbanı olduğunu, 115 milyon doların üzerinde fidye ödendiğini öne sürüyor. Jubair ayrıca ABD kritik altyapı şirketine ve ABD mahkemelerine yönelik saldırılarda yer almakla ve ajanlar bir sunucu cüzdanına el koyarken yaklaşık 8.4 milyon dolar değerinde kripto parayı çıkarmakla suçlanıyor. Bu iddialar henüz mahkemede kanıtlanmadı ve azami ceza 95 yıl. ABD Adalet Bakanlığı ve İngiltere'deki açıklamalar iade konusuna değinmiyor.

NCA, iki adama yönelik operasyonun grubu etkili bir şekilde durdurduğunu ve Microsoft'un değerlendirmesine atıfta bulunarak tutuklamaların grubun faaliyet gösterme kabiliyetini önemli ölçüde zayıflattığını belirtiyor. Ancak diğer suçluların markayı kullanmaya devam edebileceğini de kabul ediyor. Scattered Spider, hayatta kalan tek marka değil. Ocak ayında Mandiant, aynı tür sosyal mühendisliği kullanan ShinyHunters markalı fidye yazılımlarının yayıldığını tespit etti: çalışanlara vishing çağrıları, SSO girişleri ve MFA kodlarını ele geçirmek için kurban markalı kimlik avı sayfaları ve ardından saldırganın kendi cihazını MFA için kaydettirmesi. Ne NCA ne de CPS, Flowers ve Jubair'in TfL'ye ilk olarak nasıl sızdığını açıklamadı. Google'ın aynı araştırmadan gelen sıkılaştırma kılavuzu çözümü tek bir yere koyuyor: şifre sıfırlama, cihaz kaydı ve MFA değişikliklerinde kimlik doğrulama. NCA'nın Ulusal Siber Suç Birimi başkanı Paul Foster, herkesten tek bir şey istiyor: kolluk kuvvetlerine erken haber verin. Bu mahkumiyetlerin, TfL bunu yapmasaydı muhtemelen gerçekleşmeyeceğini söylüyor. City of London Polisi, cezayı, sahip olmadığı bir yetki için lobi yapmak için kullandı: Siber Suç Risk Emirleri, bir mahkemenin bir bireyin cihazlarını, çevrimiçi hizmetlerini ve teknolojilerini, oluşturdukları riskle orantılı olarak kısıtlamasına izin verecek. Komutan Ollie Shaw bunu 'dijital hapishane' olarak tanımladı.

Kaynak: thehackernews.com

Paylaş: