Londra Ulaşım Otoritesi'ne (TfL) yönelik Eylül 2024'te gerçekleştirilen büyük çaplı siber saldırının failleri, İngiltere tarihinin en büyük siber suç davasında ağır cezalar aldı. Owen Flowers (18) ve Thalha Jubair (20), Bilgisayar Kötüye Kullanım Yasası (CMA) kapsamında yetkisiz erişim suçundan 5 yıl 6 ay hapis cezasına çarptırıldı. Yargıç Justice Turner, Woolwich Kraliyet Mahkemesi'nde verdiği kararda, sanıkların eylemlerinin arkasında tamamen maddi kazançtan ziyade 'bencil gösteriş' motivasyonunun yattığını belirtti. Bu dava, CMA kapsamında açılan ikinci ceza davası olma özelliği taşıyor.
Saldırganların, siber suç dünyasında Scattered Spider olarak bilinen bir grubun üyeleri olduğu düşünülüyor. Bu grup, daha önce Marks & Spencer ve Co-op gibi büyük şirketlere yönelik saldırılarla ilişkilendirilmişti. Scattered Spider, Lapsus$ ve ShinyHunters gibi diğer siber suç örgütleriyle birlikte, The Com adlı gevşek bir kolektiften türemişti. İngiltere Ulusal Suç Ajansı'na (NCA) göre, The Com bağlantılı gruplar genellikle kimlik avı, sesli kimlik avı (vishing) ve SIM takası gibi yöntemler kullanıyor. Ayrıca fidye yazılımı türlerini de dağıtarak çeşitli taktikler sergiliyorlar.
TfL siber saldırısı, kuruma 29 milyon sterlin (38 milyon dolar) doğrudan kayıp ve kurtarma maliyeti çıkarırken, TfL ek olarak 10 milyon sterlin (13,5 milyon dolar) gelir kaybı yaşadığını bildirdi. Saldırı doğrudan ulaşım sistemini etkilemese de, birçok iç ve müşteri odaklı sistemi olumsuz etkiledi. Örneğin, Oyster kart iade sistemine erişen saldırganlar, çocuklar ve gençler için Oyster fotokart başvurularının durdurulmasına neden oldu. Engellilerin kullandığı Dial-a-Ride otobüslerinin rezervasyon sistemi kapatılırken, TfL Go ve CityMapper gibi mobil uygulamalardaki canlı metro verileri çevrimdışı alındı.
Önemli Gelişmeler
Saldırıdan yaklaşık 7 ila 10 milyon kişinin etkilendiği tahmin ediliyor. TfL çalışanlarının bir kısmı Eylül 2024 boyunca evden çalışmak zorunda kaldı ve 27 binden fazla çalışanın şifrelerini bizzat sıfırlaması gerekti. NCA, saldırının ulaşım ağını tamamen durdurması halinde Birleşik Krallık ekonomisine maliyetinin 56 milyar sterline (75 milyar dolar) kadar çıkabileceğini belirtti.
Sonuç ve Değerlendirme
Saldırı nasıl gerçekleşti? Flowers ve Jubair, 31 Ağustos 2024'te TfL sistemlerine ilk erişimi sağladı ve erişimi 3 Eylül'e kadar sürdürdü. Bir NCA yetkilisi, iki gencin 'bilinen çevrimiçi suç pazarlarından ve forumlarından' elde ettikleri TfL çalışanlarının kısmi kullanıcı bilgilerini kullandığını ve sosyal mühendislik teknikleriyle iki faktörlü kimlik doğrulamayı (2FA) sıfırladığını doğruladı. '2FA'yı sıfırlamak için birden fazla deneme yaptılar, yani ısrarcıydılar - bildiğimiz gibi - ve ardından TfL sistemlerinde ayrıcalıklarını yükselttiler.' dedi. İkili, tüm operasyon boyunca Telegram üzerinden iletişim halindeydi ve Oyster kart sahiplerinin veritabanına eriştiklerini paylaştı. Ayrıca, yargıca göre eylemlerinin bir kısmını canlı izleyiciye yayınladılar.
Flowers'ın daha önce de kolluk kuvvetleriyle sorunları vardı; Ekim 2023'te West Midlands Polisi tarafından uyarıldı ancak bilgisayar kötüye kullanımı yasalarıyla ilgili eğitim teklifini reddetti. Jubair ise 14 yaşında suça başlamış olup 22 sabıka kaydına sahip. ABD'li yetkililer, milyonlarca dolarlık hırsızlık ve gasp içeren siber suçlarla bağlantılı olarak onu arıyor. NCA Ulusal Siber Suç Birimi Başkan Yardımcısı Paul Foster, bu davayı 'İngiltere mahkemelerinde görülen en büyük siber suç kovuşturması' olarak nitelendirdi ve Scattered Spider'ın son yıllarda İngiltere'ye yönelik en önemli siber tehdit olduğunu ekledi.
Kaynak: infosecurity-magazine.com