Scattered Spider Üyelerine TfL Hack’inde 5.5 Yıl Hapis: 29 Milyon Sterlinlik Siber Suç Siber Güvenlik

Scattered Spider Üyelerine TfL Hack’inde 5.5 Yıl Hapis: 29 Milyon Sterlinlik Siber Suç

Scattered Spider grubunun iki üyesi, Londra Ulaşım Otoritesi'ne yönelik 29 milyon sterlinlik siber saldırıdan 5.5 yıl hapis cezası aldı.

İngiltere siber güvenlik tarihinin en büyük kovuşturmalarından birinde, Scattered Spider (Octo Tempest, UNC3944, 0ktapus) grubunun iki üyesi, Londra Ulaşım Otoritesi'ne (TfL) yönelik 2024 yılındaki siber saldırı nedeniyle 5.5 yıl hapis cezasına çarptırıldı. 18 yaşındaki Owen Flowers ve 20 yaşındaki Thalha Jubair, 16 Temmuz 2026'da Woolwich Crown Court'ta verilen kararla, 1990 tarihli Bilgisayar Suistimali Yasası'nın en ağır maddesi olan 3ZA kapsamında suçlu bulundu. Saldırı, 148 TfL sistemini çalışamaz hale getirirken, ulaşım otoritesinin 27.000 çalışanının tamamı şifrelerini sıfırlamak için bizzat ofise gitmek zorunda kaldı. Ulusal Suç Ajansı (NCA) ve Kraliyet Savcılık Servisi (CPS), TfL'nin kayıplarını ve kurtarma maliyetlerini 29 milyon sterlin olarak hesapladı.

Her iki sanık da 22 Haziran 2026'da, yargılanmalarının başlaması gereken gün suçlarını kabul etti. CPS, Flowers ve Jubair'in, insan refahına ciddi zarar verme veya önemli bir risk oluşturma konusunda pervasız davrandıkları gerekçesiyle 3ZA maddesi kapsamında başarıyla kovuşturulan ilk hackerlar olduğunu belirtti. NCA ise bu davayı, İngiltere mahkemelerinin gördüğü en büyük siber suç kovuşturması olarak nitelendirdi. Saldırı, 31 Ağustos - 3 Eylül 2024 tarihleri arasında gerçekleşti ve TfL'nin günde ortalama 9 milyon yolculuğu yöneten sistemlerini etkiledi. Savunmasız Londralıların şehir içi ulaşımını sağlayan Dial-a-Ride rezervasyon hizmeti, dijital ödeme kanalı ve indirimli seyahat kartı verilmesi durdu; Oyster fotokart başvuruları kapatıldı, temassız biletleme genişlemesi ertelendi ve geri ödemeler yavaşladı.

TfL, müşterilerine isim, e-posta adresi ve bazı durumlarda ev adreslerinin ele geçirildiğini bildirdi. Ayrıca, yaklaşık 5.000 kişinin banka hesap numaraları ve sort kodlarını içeren Oyster geri ödeme verilerinin de sızdırılmış olabileceği açıklandı. CPS, yalnızca iki saldırganın erişimle ne yapmayı planladığını bildiğini, ancak sohbet kayıtlarının çıkışta erişimi silmeyi düşündüklerini gösterdiğini aktardı. Davanın en büyük rakamı buradan geliyor: NCA, ağın başarılı bir şekilde kapatılmasının İngiltere ekonomisine 56 milyar sterline kadar mal olabileceğini, CPS ise aynı varsayımsal maliyeti milyarlarca sterlin olarak ifade etti. Ancak CPS, TfL'nin saldırganları kontrol altına almak için kendi ağını kapatmasıyla bu senaryonun varsayımsal kaldığını vurguladı.

Flowers, TfL saldırısının bitiminden üç gün sonra, 6 Eylül 2024'te evinde tutuklandı ve NCA ajanları onu iki ABD sağlık kuruluşu olan SSM Health Care Corporation ve Sutter Health'e yönelik saldırı sırasında yakaladı. Soruşturmacılar dizüstü bilgisayarlar, kule bilgisayarlar, sabit diskler ve USB bellekler ele geçirdi. Bir dizüstü bilgisayarda, TfL altyapısına ağ bağlantısının ekran görüntüsü ve Flowers'ın Jubair'in saldırı sırasında TfL sistemlerinde hareket ettiğini kaydettiği videolar bulundu. İkili, Telegram üzerinden mesajlaşıyor ve çevrimiçi bir çalışma alanını paylaşıyordu. Savcılar, Flowers'ın her üç saldırıyı başlatmak için kullanılan uzak sunucuya bağlı olduğunu ve cihazlarının onu her üçüyle de ilişkilendirdiğini kanıtladı. Jubair'i TfL'ye bağlayan bilgiler ise yurt dışından, yerel savcıların yardımıyla elde edildi.

Flowers, sağlık kuruluşlarına yönelik saldırılarla ilgili iki suçlamayı daha kabul etti: SSM Health'e karşı bir komplo ve Sutter Health'e yönelik bir teşebbüs. CPS, Flowers'ın sohbetlerde "yaşam destek ünitesindeki 90 yaşındaki birini öldürebilir" diyerek bu sistemleri kilitlemekle tehdit ettiğini ancak tutuklanmasının bunu engellediğini belirtti. NCA, her iki erkeği de Scattered Spider'ın önde gelen üyeleri olarak tanımlarken, CPS daha temkinli davranarak sanıkların çeşitli zamanlarda, savcıların 2022-2025 arasında yüzlerce saldırı gerçekleştirdiğine inandığı bir grubun üyesi olduklarını iddia ettiklerini söyledi. FBI, grubu veri gaspı, SIM değiştirme ve sosyal mühendislikle ilişkilendiriyor. Jubair'in ABD'de başka bir davası daha bulunuyor; Eylül 2025'te New Jersey'de açılan bir şikayette, Mayıs 2022 ile Eylül 2025 arasında yaklaşık 120 ağ saldırısı ve en az 47 ABD kurbanı ile 115 milyon doların üzerinde fidye ödemesi yapıldığı iddia ediliyor.

NCA, iki adama karşı yürütülen operasyonun grubu etkili bir şekilde durdurduğunu ve Microsoft'un değerlendirmesine atıfta bulunarak tutuklamaların grubun faaliyet gösterme kabiliyetini önemli ölçüde azalttığını belirtiyor. Ancak aynı cümlede, diğer suçluların markayı kullanmaya devam edebileceğini de kabul ediyor. Ocak ayında Mandiant, ShinyHunters markalı gasp operasyonlarının genişlediğini ve aynı tür sosyal mühendisliği kullandığını tespit etti: çalışanlara yapılan vishing aramaları, SSO girişleri ve MFA kodlarını yakalamak için kurban markalı kimlik avı sayfaları ve ardından saldırganın cihazının MFA'ya kaydedilmesi. Ne NCA ne de CPS, Flowers ve Jubair'in TfL'ye nasıl ilk kez sızdığını açıklamadı. Google'ın araştırması, çözümü tek bir yerde topluyor: şifre sıfırlama, cihaz kaydı ve MFA değişikliklerinde kimlik doğrulaması yapmak; bu ekiplerin arayarak konuşarak geçtikleri manuel iş akışları.

NCA'nın Ulusal Siber Suç Birimi başkanı Paul Foster, herkesten tek bir şey istiyor: kolluk kuvvetlerini erken arayın. Bu mahkumiyetlerin, TfL bunu yapmamış olsaydı muhtemelen gerçekleşmeyeceğini söylüyor. City of London Polisi, cezalandırmayı sahip olmadığı bir yetki için lobi yapmak amacıyla kullandı. Siber Suç Risk Emirleri, bir mahkemenin bir bireyin cihazlarını, çevrimiçi hizmetlerini ve teknolojilerini oluşturdukları riskle orantılı olarak kısıtlamasına izin verecek. Komutan Ollie Shaw bunları "dijital hapishane" olarak tanımladı. Bu dava, siber suçlularla mücadelede yeni bir dönemin habercisi olurken, kurumların güvenlik önlemlerini artırması ve olaylara hızlı müdahale etmesi gerektiğini bir kez daha gösteriyor.

Kaynak: thehackernews.com

Paylaş: