ABD savcıları, Scattered Spider hacker grubuna üye olduğu iddia edilen bir kişiyi, lüks bir mücevher perakendecisine yapılan siber saldırıda kullanılan kalıcı bir Windows cihaz kimliği sayesinde tespit etti. Yeni açıklanan federal bir şikayet belgesine göre, Microsoft kayıtları bu kimliği önce saldırganların Mayıs 2025’teki ihlal sırasında erişimi sürdürmek için kullandığı hesaba, ardından da 19 yaşındaki Peter Stokes’a ait olduğu belirtilen çevrimiçi hesaplara bağladı.
Stokes, komplo, bilgisayar ihlali ve dolandırıcılıkla suçlanıyor. Çevrimiçi ortamda 'Bouquet' olarak bilinen ABD-Estonya çifte vatandaşı, Finlandiya’dan iade edilerek 30 Haziran’da Chicago’da ilk kez mahkemeye çıktı. Dava sonuçlanana kadar masum olduğu varsayılan Stokes’un, lüks kuyumcuya yönelik saldırıda kilit rol oynadığı iddia ediliyor.
Saldırı, 12-15 Mayıs 2025 tarihleri arasında gerçekleşti. Saldırganlar, Google Voice numaraları üzerinden perakendecinin BT yardım masasını arayarak kilitli kalmış çalışanlar gibi davrandı ve personeli, çalışanların şifrelerini ve çok faktörlü kimlik doğrulamaya bağlı mobil cihazlarını sıfırlamaya ikna etti. Birkaç saat içinde üç hesabı, bunlardan ikisi BT yöneticilerine ait olmak üzere, ele geçirdiler. ngrok ve Teleport adlı ikinci bir tünel açma aracı kurdular, verileri Amazon bulut depolama alanına taşıdılar ve en az 77 gigabayt veri çıkardılar.
Saldırganlar fidye yazılımı dağıtmaya çalışmış ancak perakendecinin güvenlik ekibi bunu engelleyerek onları ağdan çıkarmış. Yine de saldırganlar, 'ÖNEMLİ: VERİLERİ ÇALDIK, DERHAL İLETİŞİME GEÇİN' konulu bir fidye e-postası gönderdi ve kripto para olarak 8 milyon dolar talep etti. Şirket ödeme yapmadı ancak ihlalin kesinti, soruşturma ve temizlik maliyeti yaklaşık 2 milyon doları buldu. Saldırının giriş noktası bir yazılım açığı değil, yardım masasıydı. Çözüm ise yama yapmak değil, süreç iyileştirmesi: herhangi bir sıfırlama öncesinde kimliği, dosyadaki bir numarayı geri arayarak, yönetici onayı alarak veya ayrıcalıklı hesaplar için video kontrolleri yaparak doğrulamak. FIDO2 anahtarları gibi kimlik avına dayanıklı MFA, grubun diğer yöntemlerini etkisiz kılsa da, yardım masasının bir telefon görüşmesiyle hesap sıfırlamasına izin vermesi durumunda hiçbir işe yaramıyor.
Gelecekte Ne Bekleniyor?
Soruşturmacılar, Stokes’a ngrok hesabını açan cihazdan yola çıkarak ulaştı. Microsoft, FBI’a bu cihazın g:6755467234350028 numaralı Global Device Identifier taşıdığını bildirdi. Microsoft, bu tanımlayıcıyı tek bir Windows kurulumuna bağlı, işletim sistemi güncellemelerinde değişmeyen ancak Windows yeniden yüklendiğinde değişen kalıcı bir kimlik olarak tanımlıyor. Microsoft kayıtları, cihazın 12 Mayıs 2025’te saat 19:21 UTC’de ngrok kayıt sayfasını ziyaret ettiğini, aynı dakika ngrok hesabının oluşturulduğunu ve yaklaşık üç saat sonra aynı proxy üzerinden perakendecinin web sitesine ulaştığını gösteriyor.
Nasıl Önlem Alınmalı?
Cihaz ayrıca, savcıların Stokes’a ait olduğunu belirttiği Snapchat, Apple ve Facebook hesaplarıyla aynı IP adreslerinde ve aynı zamanlarda ortaya çıktı: Haziran 2024’te memleketi Estonya’nın başkenti Tallinn’de, Kasım’da New York’ta ve Şubat 2025’te Tayland’da. Bu seyahatler Dışişleri Bakanlığı kayıtlarıyla da doğrulandı. Şikayet belgesi, saldırganın VPN proxy, tünel açma araçları ve takma adlar kullanarak saldırıyı gizlediğini ancak kendini gizleyemediğini gösteriyor. Savcılar, Stokes’un Snapchat hesabında nakit para, saatler ve üzerinde 'HACK THE PLANET' yazan pırlanta zincirlerle birlikte, kendisini bu şehirlere götüren seyahatlerin fotoğraflarını paylaştığını belirtiyor. Hatta bir Estonya polis karakolunun fotoğraflarını yayınlayarak FBI’ın ne kadar büyük bir şey kaçırdığını bilmediğiyle dalga geçmiş.
Bu tutuklama, araştırmacıların tek bir saldırganı saldırıyı kuran makineye bağlayabilmesini sağlıyor. Ancak tek bir tutuklama, daha geniş tehdidi neredeyse etkilemiyor. Group-IB’nin yakın tarihli araştırmasına göre, Scattered Spider aslında tek bir grup değil. Ortak püf noktaları, araçlar ve sohbet odalarıyla birbirine bağlı, çoğu beş kişiden küçük, bağımsız küçük hücrelerden oluşan gevşek bir topluluk. Group-IB bunu Anonymous hareketine benzetiyor ve bu hücrelerden bazılarının tutuklanmasının 'tehdidin kendisini durdurmayacağını' söylüyor.
Detaylar ve Etkileri
Savcılar, Scattered Spider’ı 100’den fazla ihlal ve 100 milyon doların üzerinde fidye talebinden sorumlu bir grup olarak tanımlarken, Group-IB bu etiketin bir çeteden çok bir sahneye uyduğunu ve gevşek yapının, her tutuklamaya rağmen faaliyetlerin devam etmesinin nedeni olduğunu savunuyor. Diğer son Scattered Spider davaları da benzer bir örüntü izliyor: bireyler birer birer tutuklanıyor, ortak oyun kitabı ise bozulmadan kalıyor. Nisan 2026’da İskoç vatandaşı Tyler Buchanan, grupla bağlantılı dolandırıcılık ve kimlik hırsızlığı suçlamalarını kabul etti. 2025’te 'Sosa' olarak bilinen Noah Urban, Scattered Spider ile bağlantılı bir SIM değiştirme planı nedeniyle 10 yıl hapis cezasına çarptırıldı. İngiltere’de ise iki şüpheli, yaklaşık 29 milyon sterline mal olan Transport for London hack’ini kabul etti. Finlandiya polisi, Stokes’u Helsinki Havalimanı’nda Japonya’ya uçmaya çalışırken durdurduğunda, iki adet 2 terabaytlık sabit disk ele geçirdi. Bu dava tam da bu tür malzemeler üzerine kuruldu: cihaz kayıtları, hesap bağlantıları ve IP izleri. Bu kadar dağınık bir ağda, eğer diskler bir sonraki üyeye ulaşan araçları, altyapıyı veya kişileri içeriyorsa, diskler mahkumiyetten daha önemli olabilir.
Kaynak: thehackernews.com