Windows Cihaz Kimliği FBI'ı Scattered Spider Hackeri'ne Götürdü: Mahkeme Dosyası Ortaya Çıktı Siber Güvenlik

Windows Cihaz Kimliği FBI'ı Scattered Spider Hackeri'ne Götürdü: Mahkeme Dosyası Ortaya Çıktı

ABD savcıları, lüks bir mücevher perakendecisine yapılan siber saldırıda şüpheli Scattered Spider üyesini Windows cihaz kimliğiyle tespit etti.

ABD savcıları, yeni açıklanan federal bir şikayete göre, lüks bir mücevher perakendecisine yapılan siber saldırıda şüpheli bir Scattered Spider hacker'ını Windows cihaz kimliğiyle ilişkilendirdi. Microsoft kayıtları, bu kimliği önce saldırganların Mayıs 2025'teki sızma sırasında kullandığı hesaba, ardından da savcıların 19 yaşındaki Peter Stokes'a ait olduğunu söylediği çevrimiçi hesaplara bağladı. Çevrimiçi "Bouquet" rumuzuyla bilinen çifte ABD-Estonya vatandaşı olan Stokes, Finlandiya'dan iade edildi ve 30 Haziran'da Chicago'da ilk kez hakim karşısına çıktı. Yargılanana kadar masum sayılıyor.

Saldırı, 12-15 Mayıs 2025 tarihleri arasında gerçekleşti. Saldırganlar, Google Voice numaralarından perakendecinin BT yardım masasını arayarak kilitli çalışanlar gibi davrandı ve personelin şifreleri ile çok faktörlü kimlik doğrulamaya bağlı mobil cihazları sıfırlamasını sağladı. Birkaç saat içinde üç hesabı ele geçirdiler; bunlardan ikisi BT yöneticilerine aitti. ngrok ve Teleport adlı ikinci bir tünel açma aracı kurdular, verileri Amazon bulut depolama alanına taşıdılar ve en az 77 gigabayt veri çıkardılar. Fidye yazılımı dağıtmaya çalıştılar ancak perakendecinin güvenlik ekibi bunu engelledi. Şirket, saldırı nedeniyle yaklaşık 2 milyon dolar zarara uğradı.

Soruşturmacılar, Stokes'a ngrok hesabını açan cihazdan yola çıkarak ulaştı. Microsoft, FBI'a bu cihazın g:6755467234350028 Global Cihaz Tanımlayıcısına sahip olduğunu bildirdi. Microsoft, bu tanımlayıcıyı tek bir Windows yüklemesine bağlı kalıcı bir kimlik olarak tanımlıyor; işletim sistemi güncellemelerinde değişmiyor ancak Windows yeniden yüklendiğinde değişiyor. Microsoft kayıtları, cihazın ngrok kayıt sayfasını 12 Mayıs 2025'te 19:21 UTC'de ziyaret ettiğini ve yaklaşık üç saat sonra aynı proxy üzerinden perakendecinin web sitesine ulaştığını gösteriyor. Cihaz, Stokes'a ait olduğu belirtilen Snapchat, Apple ve Facebook hesaplarıyla aynı IP adreslerinde ve aynı zamanlarda ortaya çıktı.

Uzmanların Görüşleri

Bu tutuklama, Scattered Spider tehdidini yavaşlatmayabilir. Group-IB araştırmasına göre Scattered Spider aslında tek bir grup değil; ortak taktikler, araçlar ve sohbet odalarıyla birbirine bağlı, çoğu en fazla beş kişiden oluşan küçük, bağımsız hücrelerden oluşan gevşek bir kolektif. Savcılar, Scattered Spider'ın 100'den fazla sızma ve 100 milyon doların üzerinde fidye talebinden sorumlu olduğunu belirtiyor. Son dönemdeki diğer Scattered Spider davaları da benzer şekilde ilerliyor: bireyler birer birer tutuklanıyor, ancak ortak oyun kitabı aynen kalıyor. Finlandiya polisi, Stokes'u Tokyo'ya giden bir uçağa binmeye çalışırken yakaladı ve iki adet 2 terabaytlık sabit disk ele geçirdi. Bu kadar dağınık bir ağda, bu disklerdeki araçlar, altyapı veya bağlantılar, bir sonraki üyeye ulaşmak için mahkumiyetten daha önemli olabilir.

Paylaş: