14 yıldır insanları dolandıran devasa bir altyapının, aslında ABD ve Avrupa'daki devlet ve özel sektör kuruluşlarını hedef alan, devlet destekli bir hacker grubuna ait ikili bir operasyon olabileceği öne sürüldü. Araştırmacılar, bu şebekenin yalnızca çevrimiçi kumar siteleri üzerinden para toplamakla kalmayıp, daha büyük ve karmaşık bir siber operasyonun parçası olduğunu düşünüyor.
Daha önce de bu altyapının küçük parçaları tespit edilmişti. Güvenlik firmalarının raporlarına göre, saldırganlar kötü yapılandırılmış WordPress sitelerini ele geçiriyor, PHP tabanlı web uygulamalarındaki güvenlik açıklarını ve arka kapıları kullanarak sunuculara sızıyor ve kumar içeriklerini barındırıyor. Bu kumar siteleri genellikle Endonezya dilinde yayın yapıyor ve yasa dışı olmasına rağmen ülkedeki kullanıcılara ulaşmayı hedefliyor. Saldırganlara ait alan adlarının büyük bir kısmı Cloudflare üzerinde barınırken, ele geçirilen alt alan adları ise Amazon Web Services, Azure ve GitHub gibi platformlarda yer alıyor.
Sıradan Bir Kumar Dolandırıcılığı Değil
Ancak son araştırmalar, bu operasyonun basit bir mali çıkar odaklı çete işi olmadığını gösteriyor. Üretim, ulaşım, sağlık, kamu ve eğitim gibi geniş bir yelpazedeki kuruluşları hedef alan bir devlet operasyonu olabileceği düşünülüyor. Bunun en önemli nedeni, 14 yıldır sürdürülen altyapının hazırlanması ve bakımı için harcanan muazzam zaman ve kaynak.
Bu altyapı, 328.000'den fazla alan adı, 236.000'den fazla satın alınmış alan ve 90.000'den fazla ele geçirilmiş web sitesi ile aproape 1.500 adet ele geçirilmiş alt alan adından oluşuyor. Bu tür bir altyapının yıllık maliyetinin 725.000 ila 17 milyon dolar arasında olabileceği tahmin ediliyor.
Araştırmacılar, operasyonun gelişmiş kalıcı tehdit (APT) kapsamında olduğunu destekleyen bazı 'ileri düzey taktikler' tespit etmiş:
- WordPress ve PHP uygulamalarının yaygın olarak istismar edilmesi
- Saygın ve bazen yüksek profilli kuruluşlara ait alt alan adlarının büyük ölçekte ele geçirilmesi
- AWS altyapısında çalışan binlerce uzun ömürlü kötü amaçlı Android uygulaması
- Kötü amaçlı yazılımları barındırmak için kullanılan 38 adet GitHub hesabı
- Ters proxy olarak kullanılmak üzere ele geçirilmiş devlet alan adlarının gizli kullanımı
- Arama motoru optimizasyonunun sistematik kötüye kullanımı
Araştırmacılar, bu kombinasyonun (uzun ömürlülük, ölçek, maliyet ve karmaşıklık) tipik bir kumar dolandırıcılığı veya sadece para odaklı bir grubun ötesine geçtiğini belirtiyor. Bu nedenle, doğrudan bir devletle ilişkilendirme yapmasalar da, bunu devlet destekli seviyede bir APT olarak sınıflandırıyorlar.
ABD ve Avrupa'daki hükümet kurumlarına ve geniş bir sanayi kesimine odaklanılması da bu değerlendirmenin bir diğer nedeni. Birçok durumda, saldırganlar meşru kuruluşların ihmali sonucu boşta kalan DNS kayıtlarını veya CNAME kayıtlarını ele geçirmişler. Bu tür ele geçirilen adresler, taklit web siteleri barındırmak için kullanılıyor. Ayrıca, hassas kuruluşlara ait ele geçirilmiş alt alan adları, oturum çerezlerini elde etmek ve ağın diğer bölümlerine gizlice erişmek için de kullanılabiliyor. Bu erişim, devlet düzeyindeki siber operasyonlar için zararlı trafiğin gizlice iletilmesine olanak tanıyor ve sunucularda depolanan hassas verilerin elde edilmesine yol açabiliyor.
Araştırmacılar, çevrimiçi dolaşımda kumar siteleriyle güçlü bir bağlantısı olan 51.000'den fazla ele geçirilmiş kimlik bilgisi tespit etmiş. Bu bilgilerin kötü amaçlı Android uygulamaları veya ele geçirilmiş alt alan adları aracılığıyla toplandığı ve yeraltı suç pazarlarında satıldığı düşünülüyor.
Operasyonun, mali çıkar odaklı hackerlar ile bir devlet adına çalışan aktörlerin ortak girişimi olabileceği de ihtimaller arasında. Araştırmacılar, bu altyapının devlet düzeyinde siber saldırılar için kullanıldığına dair doğrudan bir kanıtları olmasa da, mevcut tüm delillerin bu yönde güçlü bir işaret verdiğini belirtiyor.
Bulguları bir araya getiren araştırmacılar, kumarın hem bir gelir kaynağı hem de bir örtü görevi gördüğü bir yapı gözlemlediklerini ifade ediyor. Aynı altyapının hem yerel kullanıcıları para kazanmak için kullanabileceği hem de daha hassas siber operasyonlar için yüksek kaliteli anonimlik ve gizli iletişim kanalları sağlayabileceği vurgulanıyor.
