Yeni açıklanan federal bir şikayete göre, ABD savcıları, Scattered Spider grubunun üyesi olduğu iddia edilen bir bilgisayar korsanını, lüks bir kuyumcuya yapılan siber saldırıyla kalıcı bir Windows cihaz kimliği sayesinde ilişkilendirdi. Microsoft kayıtları, bu kimliği önce saldırganların Mayıs 2025'teki izinsiz giriş sırasında kullandığı hesaba, ardından da savcıların 19 yaşındaki Peter Stokes'a ait olduğunu söylediği çevrimiçi hesaplara bağladı. ABD-Estonya çifte vatandaşı olan ve çevrimiçi 'Bouquet' takma adıyla bilinen Stokes, Finlandiya'dan iade edildi ve 30 Haziran'da Chicago'da ilk kez mahkemeye çıktı. Duruşma öncesinde masum olduğu varsayılıyor.
Saldırı, 12-15 Mayıs 2025 tarihleri arasında gerçekleşti. Saldırganlar, Google Voice numaralarından perakendecinin BT yardım masasını arayarak kilitli kalmış çalışanlar gibi davrandı ve personeli, çalışanların şifrelerini ve çok faktörlü kimlik doğrulamaya bağlı mobil cihazlarını sıfırlamaya ikna etti. Birkaç saat içinde, ikisi BT yöneticilerine ait olan üç hesabı ele geçirdiler. ngrok ve Teleport adlı ikinci bir tünelleme aracı kurdular, verileri Amazon bulut depolama alanına taşıdılar ve en az 77 gigabayt veri çıkardılar. Fidye yazılımı dağıtmaya çalıştıkları ancak perakendecinin güvenlik ekibinin bunu engellediği ve onları ağdan attığı anlaşılıyor. Saldırganlar yine de bir fidye e-postası gönderdi ve daha sonra 8 milyon dolar kripto para talep etti. Şirket ödeme yapmadı ve saldırı, kesinti, soruşturma ve temizlik maliyetleriyle yaklaşık 2 milyon dolara mal oldu.
Soruşturmacılar, Stokes'a ngrok hesabını açan cihazdan geriye doğru çalışarak ulaştı. Microsoft, FBI'a bu cihazın, Windows yüklemesine bağlı kalıcı bir tanımlayıcı olan ve Windows yeniden yüklendiğinde değişen Global Device Identifier g:6755467234350028 taşıdığını söyledi. Microsoft kayıtları, cihazın ngrok kayıt sayfasını 12 Mayıs 2025'te 19:21 UTC'de ziyaret ettiğini, yani ngrok hesabının oluşturulduğu dakikayı ve yaklaşık üç saat sonra aynı proxy üzerinden perakendecinin web sitesine ulaştığını gösteriyor. Cihaz ayrıca, savcıların Stokes'a ait olduğunu söylediği Snapchat, Apple ve Facebook hesaplarıyla aynı IP adreslerinde ve aynı zamanlarda ortaya çıktı: Haziran 2024'te Estonya'nın Tallinn kentindeki ev adresi, Kasım'da New York ve Şubat 2025'te Tayland. Dışişleri Bakanlığı seyahat kayıtları da bu bilgileri doğruladı.
Detaylar ve Etkileri
Şikayet, saldırıyı VPN proxy'si, tünelleme araçları ve takma adlarla gizleyen ancak kendini gizlemeyen bir operatörü gösteriyor. Savcılar, Snapchat'inin nakit para, saat ve üzerinde 'HACK THE PLANET' yazan elmas zincirlerin yanı sıra onu bu şehirlerde bulunduran seyahatleri sergilediğini söylüyor. Hatta bir Estonya polis karakolunun fotoğraflarını yayınladı ve federal ajanların ellerinden kaçırdıkları şey hakkında hiçbir fikirleri olmadığıyla alay etti. Grup-IB'nin ayrı bir araştırması, Scattered Spider'ın aslında tek bir grup olmadığını, ortak numaralar, araçlar ve sohbet odalarıyla birbirine bağlı, çoğu beş kişiden büyük olmayan küçük, bağımsız hücrelerden oluşan gevşek bir topluluk olduğunu savunuyor. Bu yapı, her tutuklamanın ardından faaliyetlerin devam etmesinin nedenini açıklıyor.