Aynanın içinden:Güvenlik araştırmacıları giderek daha fazla siber suçlularla mücadele ediyor, gruplarını aktif olarak takip ediyor ve hatta içlerine sızıyor – bu eğilim, istihbarat toplamak ve siber suçlu faaliyetlerini içeriden bozmak için daha geniş bir stratejinin parçası. Genellikle tam bir James Bond gibi davranıp sahte kişilikler yaratıp siber suçluların güvenini kazanmak için gizli operasyonlara girişiyorlar. Bu, böyle bir araştırmacının hikayesi.
Modern bir siber gerilim romanı gibi okunan bir hikayede, siber güvenlik araştırmacısı Jon DiMaggio, kötü şöhretli LockBit fidye yazılımı çetesinin ele geçirilemeyen liderini başarıyla açığa çıkardı. Sahte bir siber suçlu kimliği edinerek DiMaggio, çetenin iç çevresine sızdı ve sonunda kolluk kuvvetleri kimliğini kamuoyuna açıklamadan önce çetenin beyni Dmitry Khoroshev’i tespit etti. DiMaggio’nun Def Con’da ifşa ettiği bu cüretkar operasyon, stratejik aldatmacanın yanı sıra böyle bir oyunun alabileceği psikolojik bedelin hikayesidir.
Analyst1’de araştırmacı olan DiMaggio, Khoroshev’in kullandığı çevrimiçi takma ad olan LockBitSupp’a bağlı kişilerle etkileşim kurmak için kukla hesaplar oluşturarak sızmaya başladı. DiMaggio, konuşmaları izleyerek ve çetenin kültürünü ve tercihlerini anlayarak güvenilir bir siber suçlu kişiliği geliştirebildi.
Çeteye katılmayı ilk başta reddetmesine rağmen DiMaggio, LockBitSupp ile iletişimini sürdürdü ve dostça bir ilişki geliştirdi. Çetenin operasyonları ve taktikleri hakkında sorular sorarak sıradan sohbetlere katıldı.
Ocak 2023’te DiMaggio, sızmasını ifşa eden ve sahte kişiliklerini yakan bulguları hakkında bir rapor yayınladı. Şaşırtıcı bir şekilde LockBitSupp bunu hafife aldı, hatta forumlarda bununla ilgili şaka bile yaptı ve bu DiMaggio’nun ilgisini çekti.
İlişki, LockBitSupp’un forumlarda DiMaggio’nun LinkedIn fotoğrafını avatar olarak kullanmasıyla eğlenceli bir rekabete dönüştü. DiMaggio ayrıca çeteyi onlardan para koparıyormuş gibi yaparak trolledi ve bu da bazı siber suçlular arasında endişeye yol açtı.
#LockBit, 15 Ağustos’a kadar sakladığınız sırları sızdırmak ve tespit etmek için yürüttüğüm araştırmam için 10 milyon dolar yatırmanız gerekiyor. MEVCUT TÜM VERİLER YAYIMLANACAK! (#Ransomware Günlükleri Cilt 3 – LockBit’in Sırları!) Ödeme zamanı geldi!ð pic.twitter.com/SAKty4SD6n
– Jon DiMaggio (@Jon__DiMaggio) 3 Ağustos 2023
Bu dönemde DiMaggio, LockBitSupp’un yaklaşık 12 gün boyunca ortadan kaybolduğunu kaydetti. LockBitSupp geri döndüğünde tedirgin görünüyordu ancak DiMaggio ile iletişim kurmaya devam etti. Aynı zamanda LockBit, Chicago’daki bir çocuk hastanesine düzenlenen siber saldırının sorumluluğunu üstlendi ve bu, Toronto’daki SickKids hastanesini hedef aldıktan sonra ikinci hastane saldırısı oldu.
Bu eylemler DiMaggio’yu derinden sinirlendirdi, neredeyse LockBitSupp’a öfkeli bir mesaj göndererek onu takip etme niyetini ilan etmesine neden oldu. Ancak araştırmacı sonunda bundan vazgeçti.
LockBit’in web sitesi kolluk kuvvetleri tarafından kapatıldıktan sonra DiMaggio, LockBitSupp’ı tespit etmeye yoğunlaştı. Anonim bir ihbar onu bir Yandex e-posta adresine yönlendirdi ve bu da kimliğinin Dmitry Khoroshev’e kadar uzanmasına yardımcı oldu.
Yetkililer beklenmedik bir şekilde ele geçirilen LockBit web sitesini güncelleyerek, yöneticisi LockBitSupp’un kimliğini açıklama niyetlerini duyurdular.
Bu noktada, FBI ile özel sektör ortağı olarak bir çalışma ilişkisi geliştirmiş olan DiMaggio, Khoroshev’i LockBit yöneticisi olarak tanımladığını bildirmek için onlarla iletişime geçti. DiMaggio, bulguları hakkında bir rapor yazmayı planladı ve FBI’ın raporu yayınlamayı erteleyip ertelememesi konusunda tavsiyesini istedi. FBI’ın kendisine beklemesini tavsiye etmesi durumunda, muhtemelen doğru kişiyi tanımladığını doğrulayacağını düşündü.
FBI ona beklemesini tavsiye etti.
Adalet Bakanlığı LockBitSupp’un kimliğini açıklamaya hazırlanırken, DiMaggio raporunu tamamladı. Sonunda, DOJ LockBit’in lideri olarak Dmitry Khoroshev’i atadı ve DiMaggio’nun kendi ayrıntılı bulgularını yayınlamasına izin verdi.
“Bu, birini ifşa etmemdeki ilk seferdi. Ve tabii ki, ismini ifşa ettiler, ben de bu adamla ilgili her şeyi ifşa ettim. Nerede yaşadığını, telefon numaralarını, güncel ve önceki numaralarını biliyordum,” dedi DiMaggio TechCrunch’a. “Ve para, bu adamı telefonla aramamak, iddianame öncesindeki meşru telefon numarasını bilmek, sadece doğru adama sahip olup olmadığımı görmek zordu, ama sahip değildim.”
DiMaggio, Khoroshev’e siber suçlardan emekli olması yönünde tavsiyede bulunan bir mesaj yayınladı.
“LockBitSupp, sen akıllı bir adamsın. Artık meselenin para olmadığını ve durmadan önce bir milyon kurbanın olmasını istediğini söyledin, ancak bazen ne zaman vazgeçmen gerektiğini bilmen gerekir. İşte o zaman geldi, eski dostum,” diye yazdı DiMaggio.
DiMaggio o zamandan beri Khoroshev’den haber alamadı. Ancak Khoroshev’in intikam almak istediğine dair söylentiler duydu, ancak hiçbir şey olmadı.
“Bu tür suçlularla uğraşırsanız, kimse bundan yara almadan kurtulamaz,” dedi DiMaggio.