Siber güvenlik sektörünün temel direği olan güven, ABD'de ortaya çıkan şok edici bir soruşturma ile sarsıldı. ABD Adalet Bakanlığı (DOJ), fidye yazılımı mağdurları adına siber korsanlarla pazarlık yapmakta uzmanlaşan bir siber güvenlik şirketinin iki eski çalışanını, bizzat kendilerinin fidye yazılımı saldırıları düzenlemekle suçladı.
Geçtiğimiz ay savcılar, DigitalMint adlı şirkette fidye pazarlıkçısı olarak çalışan Kevin Tyler Martin ve adı açıklanmayan bir diğer eski çalışanı, en az beş ABD merkezli şirkete yönelik bir dizi fidye yazılımı saldırısı girişimiyle ilgili olarak bilgisayar korsanlığı ve gasp suçlamalarıyla itham etti. Bu soruşturma, mağdurların en çok güvendiği kişilerin, aslında en büyük tehdit olabileceği yönündeki korkuları su yüzüne çıkardı.
Suçlamaların Odağındaki İsimler ve ALPHV/BlackCat Bağlantısı
İddianame, yalnızca DigitalMint çalışanlarıyla sınırlı değil. Siber güvenlik devi Sygnia'da eski bir olay müdahale yöneticisi olan Ryan Clifford Goldberg de bu planın bir parçası olmakla suçlanıyor. Üç kişi, şirketlere yasadışı yollarla sızmak, hassas verilerini çalmak ve ardından ALPHV/BlackCat grubu tarafından geliştirilen fidye yazılımını devreye sokmakla itham ediliyor.
Ransomware-as-a-Service (RaaS) Modeli Nasıl Çalışır?
ALPHV/BlackCat çetesi, Fidye Yazılımı Hizmet Olarak (RaaS) modeliyle çalışıyor. Bu modelde çete, kurbanların verilerini şifrelemek için kullanılan kötü amaçlı yazılımı (malware) geliştirir ve sunar. İddia edilen bu kişiler gibi iştirakçiler (affiliates) ise asıl sızma operasyonlarını gerçekleştirir ve fidye yazılımını dağıtır. Başarılı fidye ödemelerinde, çete büyük bir komisyon alırken, iştirakçiler de kârın önemli bir kısmını elde ederler. Bu olayda, fidye pazarlıkçılarının bu karmaşık suç zincirinin en kritik halkalarından biri haline geldiği görülüyor.
Milyon Dolarlık Ödemeler ve Mağdurlar
FBI tarafından Eylül ayında sunulan bir beyannameye göre, saldırganların bir kurbandan, Florida merkezli bir tıbbi cihaz üreticisinden 1,2 milyon dolardan fazla fidye ödemesi aldıkları belirtiliyor. Saldırganlar ayrıca, Virginia merkezli bir drone üreticisi ve Maryland merkezli bir ilaç şirketi de dahil olmak üzere birçok başka şirketi de hedef aldı.
Bu olay, siber güvenlik sektöründeki etik çöküşün dramatik bir örneğidir. Fidye yazılımları, zaten yıkıcı bir tehditken, bu tehdide karşı mücadele etmesi gerekenlerin bizzat bu suçları işlemesi, hem mağdurların hem de tüm sektörün güvenini ciddi şekilde zedelemektedir.
Şirketlerin Tepkisi: İşten Çıkarmalar ve İşbirliği
Soruşturmanın duyulması üzerine, ilgili şirketler hızla aksiyon aldı. Sygnia CEO'su Guy Segal, TechCrunch'a yaptığı açıklamada, Goldberg'in şirketin bir çalışanı olduğunu doğruladı ancak fidye yazılımı saldırılarına karıştığını öğrendikten sonra işine son verildiğini belirtti. Şirket, FBI soruşturması devam ettiği için daha fazla yorum yapmaktan kaçındı.
DigitalMint Başkanı Marc Grens ise, Martin'in iddia edilen korsanlık olayları sırasında çalışanları olduğunu ancak Martin'in 'görevinin tamamen dışında hareket ettiğini' savundu. Grens, adı açıklanmayan bireyin de eski bir çalışan olabileceğini doğruladı ve DigitalMint'in hükümetin soruşturmasıyla işbirliği yaptığını ekledi.
Bu tür etik ihlaller, sektördeki güveni zedelerken, kritik altyapılara yönelik dış tehditlerin ciddiyeti de artarak devam ediyor. Örneğin, ABD'li telekomünikasyon devi Ribbon'un ağına hükümet destekli olduğu düşünülen siber korsanların yaklaşık bir yıl boyunca erişim sağladığı ortaya çıktı. Bu olay, siber savunmanın ne kadar kapsamlı olması gerektiğini bir kez daha gösteriyor. Öte yandan, siber suçlularla mücadele etmesi gereken kurumların basit güvenlik açıklarından dolayı da tehlikeye atıldığı görülüyor; ABD genelinde 5.000'den fazla emniyet teşkilatının kullandığı gözetim ağı Flock Safety'nin, milyarlarca plaka fotoğrafı gibi hassas verilere yetkisiz erişimi önleyen temel bir koruma olan Çok Faktörlü Kimlik Doğrulama (MFA) uygulamasını zorunlu kılmaması büyük tepki topladı. Polis teşkilatlarına ait çalınan giriş bilgilerinin siber suç forumlarında satışa sunulması üzerine, Kongre, Federal Ticaret Komisyonu'nu (FTC) acil soruşturma başlatmaya çağırdı. Flock Safety gözetim ağındaki siber güvenlik açığı, MFA zorunluluğu ve FTC soruşturması ile ilgili detaylar ve ABD telekom devi Ribbon’a yönelik bu uzun soluklu siber saldırı ve kritik altyapı güvenliği hakkında daha fazla detaya ulaşabilirsiniz.
Bu bağlamda, Batı hükümetleri için kritik siber saldırı araçları geliştiren savunma devi L3Harris’in bir alt kuruluşu olan Trenchant’ta yaşanan olay, içeriden gelen tehdidin ulusal güvenliği ne kadar derinden sarsabileceğini gösterdi. Trenchant’ın eski genel müdürü Peter Williams, şirketten çaldığı sekiz adet son derece hassas siber güvenlik açığını (zero-day) Rus bir aracıya 1.3 milyon dolara sattığını itiraf etti. Piyasa değeri 35 milyon dolar olan bu zero-day’lerin, Rus devlet kuruluşlarına satıldığı ve Batı ulusal güvenlik aygıtlarına büyük bir ihanet oluşturduğu düşünülüyor. Williams'ın üst düzey yetkisini kötüye kullanarak Çok Faktörlü Kimlik Doğrulama (MFA) ile korunan güvenli ağlardan bu bilgileri çalması, en gelişmiş savunma şirketlerinin bile iç ihanete karşı ne kadar savunmasız kaldığını kanıtladı. Bu büyük ihanet hakkında daha fazla bilgiye L3Harris Trenchant Peter Williams Zero Day Rusya Skandalı içeriğimizden ulaşabilirsiniz.
Sonuç: Etik Kriz ve Sektöre Güvensizlik
Bu dava, siber güvenlik firmalarının çalışanlarını ne kadar sıkı denetlemesi gerektiğini bir kez daha gözler önüne seriyor. Siber suçlularla mücadele için kurulan şirketlerin içeriden gelen tehditlerle sarsılması, özellikle hassas verilerini emanet eden kurbanlar için yeni bir zorluk alanı yaratmaktadır. Sektör, bu tür etik ihlallerin tekrarlanmaması için köklü reformlar yapmak zorunda kalabilir.
Kaynak: ABD Adalet Bakanlığı’nın siber güvenlik pazarlıkçılarına yönelik suçlamaları
