Scattered Spider: Sanılanın Aksine Dağınık Bir Siber Suç Kolektifi Siber Güvenlik

Scattered Spider: Sanılanın Aksine Dağınık Bir Siber Suç Kolektifi

Scattered Spider, merkezi bir çete değil; bağımsız kümelerden oluşan, taktik ve araç paylaşan dağınık bir siber suç kolektifi.

Siber güvenlik dünyasında Scattered Spider olarak bilinen tehdit grubu, yapılan yeni bir analizle yeniden tanımlandı. Group-IB’nin 7 Haziran’da yayımladığı rapora göre, Scattered Spider tek bir organize tehdit grubu olmaktan ziyade, bağımsız kümelerden oluşan merkeziyetsiz bir siber suç kolektifi. Bu kümeler, ortak taktikler, araçlar ve çevrimiçi topluluklar aracılığıyla bağlantılı olsa da, operasyonlarını ayrı ayrı yürütüyor. Bu bulgu, gruba atfedilen saldırıların, bazı üyelerin tutuklanmasına rağmen neden devam ettiğini de açıklıyor.

Group-IB’nin araştırması, Scattered Spider’ın hiyerarşik bir yapıya veya ortak bir liderliğe sahip olmadığını ortaya koyuyor. Bunun yerine, Anonymous hacktivist kolektifine benzer şekilde, farklı gruplar doğrudan koordinasyon olmaksızın ortak bir kimlik altında faaliyet gösteriyor. Rapor ayrıca, daha önce Scattered Spider’a atfedilen bazı saldırıların aslında ilgisiz aktörler tarafından gerçekleştirilmiş olabileceğine dikkat çekiyor. Özellikle, Group-IB kendi 0ktapus takibini Marks & Spencer ve Co-op saldırılarıyla ilişkili kümelerden ayırıyor ve bu saldırıların aynı kişiler tarafından yapıldığına dair kanıt olmadığını belirtiyor.

Analiz, gözlemlenen kümeler arasında tekrarlayan hedefleme modelleri tespit etti. Bunlar arasında; teknoloji ve iletişim şirketlerinin çalışanlarının erişim noktası olarak hedef alınması, SIM takas operasyonları için mobil operatör personelinin hedeflenmesi, dolandırıcılık kampanyalarıyla kripto para kullanıcılarının hedef alınması ve fidye yazılımı faaliyetleri için işletmelerin ele geçirilmesi yer alıyor. Bu çeşitlilik, kolektifin geniş kapsamlı ve uyarlanabilir bir tehdit olduğunu gösteriyor.

Sosyal mühendislik, tüm Scattered Spider faaliyetlerinin ortak noktası olarak öne çıkıyor. Saldırganlar sıklıkla BT, güvenlik veya insan kaynakları ekiplerini taklit ederek çalışanları kimlik bilgilerini veya erişim izinlerini vermeye ikna ediyor. Araştırma, saldırganların Okta, Microsoft, Citrix ve Google gibi kimlik sağlayıcılarını taklit eden kimlik avı sayfaları kullandığını ortaya koydu. Ayrıca, bazı kümelerin kurumsal ele geçirmeleri kripto para hırsızlığı operasyonlarıyla birleştirdiği; çalıntı kimlik bilgileri, SIM takasları ve kimlik avı kampanyalarıyla kripto para kullanıcılarını hedef alırken, aynı zamanda potansiyel kurbanlar hakkında istihbarat toplamak için kuruluşları ele geçirdiği gözlemlendi.

Sonuç ve Değerlendirme

Raporda dikkat çeken bir diğer nokta ise, bazı kümelerin AnyDesk gibi ticari uzaktan erişim araçları kullanması ve telekomünikasyon şirketlerindeki içeriden kişileri yetkisiz erişime yardımcı olması için işe alması. Bu, kolektifin hem teknik hem de insan odaklı saldırı vektörlerini birleştirdiğini gösteriyor. Group-IB, Scattered Spider’ın merkeziyetsiz yapısı nedeniyle, bireysel üyelerin tutuklanmasının daha geniş tehdidi ortadan kaldırmayacağı sonucuna vardı.

Gelecekte Ne Bekleniyor?

Peki bu durumda kuruluşlar ne yapmalı? Group-IB, kümeler arasında paylaşılan ortak taktiklere karşı savunmaya odaklanılmasını öneriyor. Özellikle kimlik tabanlı saldırılar ve sosyal mühendislik girişimleri, en yaygın ve etkili yöntemler olarak öne çıkıyor. Çalışanların bu tür saldırılara karşı eğitilmesi, çok faktörlü kimlik doğrulama (MFA) gibi güvenlik önlemlerinin sıkılaştırılması ve şüpheli e-postaların raporlanması için net prosedürler oluşturulması kritik önem taşıyor.

Sonuç olarak, Scattered Spider’ın merkeziyetsiz yapısı, onu geleneksel siber suç gruplarından ayırıyor ve onunla mücadeleyi daha karmaşık hale getiriyor. Ancak, bu tehdidi anlamak ve ortak taktiklere karşı savunma stratejileri geliştirmek, kuruluşların riskini azaltmada önemli bir adım. Group-IB’nin bu analizi, siber güvenlik topluluğuna Scattered Spider’ı daha iyi anlama ve ona karşı daha etkili önlemler alma fırsatı sunuyor.

Kaynak: infosecurity-magazine.com

Paylaş: