Yıllardır süren acımasız siber saldırıların arkasındaki Rus siber suç karteli Trickbot'un üyeleri, işletmelerden okullara, hatta hastanelere kadar binlerce kurbanı hedef aldı. Grubun iç yazışmalarında bir üyenin, hedef alınacak hastaneler listesi hakkında 'bu hafta ABD'deki kliniklerin canına okuyun' yazdığı görülüyordu. 'Stern' takma adını kullanan esrarengiz bir lider tarafından yönetilen yaklaşık 100 siber suçlu, yaklaşık altı yıl boyunca yüz milyonlarca dolar çaldı.
Yıllar süren kolluk kuvvetlerinin müdahalelerine, yaptırımlara ve Trickbot ile yakın ilişkili Conti grubuna ait 60.000'den fazla iç yazışmanın sızmasına rağmen Stern'in kimliği bir sır olarak kalmıştı. Ancak geçtiğimiz hafta Almanya Federal Kriminal Polis Ofisi (BKA) ve yerel savcılar, Stern'in gerçek adının 36 yaşındaki Rus vatandaşı Vitaly Nikolaevich Kovalev olduğunu iddia etti. Yetkililer, Kovalev'in ülkesinde olduğunu ve bu nedenle potansiyel iadeden korunduğunu düşünüyor.
Yakın zamanda yayımlanan bir Interpol kırmızı bülteninde, Kovalev'in Almanya tarafından 'suç örgütünün elebaşı' olduğu iddiasıyla arandığı belirtiliyor.
Güvenlik analistleri, Stern'in kimliğinin belirlenmesinin, şimdiye kadar var olan en kötü şöhretli ulusötesi siber suç gruplarından biri olan Trickbot hakkındaki bilgimizdeki boşlukları dolduran önemli bir gelişme olduğunu ifade ediyor. Trickbot'un 'büyük patronu' ve Rus siber suç yeraltı dünyasının en dikkate değer figürlerinden biri olan Stern, yıllardır bulunması zor bir karakterdi ve gerçek adı uzun süre gizli tutuldu.
Stern, son yıllarda diğer Trickbot ve Conti üyelerine yönelik yaptırım ve suçlamaların dışında kalmış gibi görünüyordu. Güvenlik araştırmacıları, küresel kolluk kuvvetlerinin Stern'in kimliğini süregelen soruşturmaların bir parçası olarak stratejik olarak saklamış olabileceği spekülasyonları yapıyordu. BKA'nın çevrimiçi duyurusuna göre Kovalev, Trickbot'un 'kurucusu' olduğundan şüpheleniliyor ve 'Stern' takma adını kullandığı iddia ediliyor.
Bir BKA sözcüsü, 'Stern'in aslında Kovalev olduğuna dair çok sayıda göstergeye dayanarak uzun süredir tahmin yürütüldüğünü' belirtti. Sözcü, 'Operation Endgame' olarak bilinen, siber suç altyapısını belirlemeye ve bozmaya yönelik çok yıllı uluslararası çaba kapsamında yürütülen soruşturma sırasında 'soruşturmayı yürüten yetkililerin Stern'in kimliğini bu yıl Kovalev olarak belirleyebildiğini' ekledi. Ayrıca, 2023'teki Qakbot kötü amaçlı yazılımına yönelik bir soruşturmadan ve 2022'de sızdırılan Trickbot ve Conti yazışmalarının analizinden elde edilen bilgilerin bu belirlemede 'yardımcı' olduğunu ve bu 'değerlendirmenin uluslararası ortaklar tarafından da paylaşıldığını' ifade ettiler.
Almanya'nın bu duyurusu, herhangi bir hükümet yetkilisinin 'Stern' takma adının arkasındaki bir şüphelinin kimliğini kamuoyuna açıkladığı ilk olay. Ancak diğer Trickbot ve Conti bağlantılı belirlemelerin aksine, diğer ülkeler şu ana kadar BKA'nın Stern kimliklendirmesini kamuoyu önünde onaylamadı.
Trickbot'u kapsamlı bir şekilde takip eden bazı siber güvenlik araştırmacıları, bu duyurudan haberdar olmadıklarını belirtti. Bir sosyal medya platformundaki anonim bir hesap kısa süre önce Kovalev'in Stern takma adını kullandığını iddia etmiş ve hakkında detaylar yayımlamıştı. Kovalev'e ait olduğu iddia edilen hesaplara gönderilen mesajlara yanıt alınamadı.
Bu arada, Kovalev'in adı ve yüzü, son Trickbot ifşalarını takip edenler için şaşırtıcı derecede tanıdık olabilir. Çünkü Kovalev, Trickbot'ta üst düzey bir üye olduğu iddiasıyla 2023'ün başlarında hem Amerika Birleşik Devletleri hem de Birleşik Krallık tarafından ortaklaşa yaptırıma tabi tutulmuştu. O dönemde ABD'de 2010 yılında işlendiği iddia edilen banka dolandırıcılığıyla bağlantılı hackleme nedeniyle suçlanmıştı. ABD, onu en çok arananlar listesine ekledi. Ancak tüm bu faaliyetlerde ABD ve İngiltere, Kovalev'i 'ben' ve 'Bentley' çevrimiçi takma adlarıyla ilişkilendirdi. 2023 yaptırımları, 'Stern' takma adıyla herhangi bir bağlantıdan bahsetmiyordu. Aslında Kovalev'in 2023'teki iddianamesi, 'Bentley' kullanımının 'geçmişe ait' ve Trickbot'un 'Bentley' adını kullanan başka bir önemli üyesinden farklı olduğunun belirlenmesi nedeniyle dikkat çekiciydi.
Trickbot ransomware grubu ilk olarak 2016 civarında, üyelerinin Rus yetkililer tarafından engellenen Dyre kötü amaçlı yazılımından geçiş yapmasıyla ortaya çıktı. Trickbot grubu, Ryuk, IcedID ve Diavol gibi diğer fidye yazılım varyantlarının yanı sıra kendi adını taşıyan kötü amaçlı yazılımı kullanarak, ömrü boyunca Conti çetesiyle operasyonlar ve personel açısından giderek daha fazla örtüşmeye başladı. 2022 başlarında Conti, Rusya'nın Ukrayna'yı işgaline destek veren bir açıklama yayımladı ve gruplara sızmış bir siber güvenlik araştırmacısı, Trickbot ve Conti üyelerinden 60.000'den fazla mesajı sızdırarak günlük operasyonları ve yapısı hakkında büyük miktarda bilgi ortaya çıkardı.
Analistlere göre sızdırılan yazışmalar, Stern'in Trickbot ve Conti gruplarının bir 'CEO'su gibi davrandığını ve onları meşru bir şirket gibi yönettiğini gösteriyor.
Uzmanlar, Trickbot'un 'hizmet olarak' siber suç iş modeli için bir şablon oluşturduğunu ve bunu takip eden sayısız grup tarafından benimsendiğini belirtiyor. Trickbot'tan önce de organize gruplar olmasına rağmen, Stern'in profesyonelleşme seviyesinin yüksek olduğu bir Rus siber suç dönemine başkanlık ettiğini ve bu eğilimin bugün de devam ettiğini, dünya çapında yeniden üretildiğini ve karanlık ağdaki en aktif grupların çoğunda görülebildiğini ifade ediyorlar.
Stern'in Rus siber suçu içindeki önemi yaygın olarak belgelenmiştir. Saldırganın, özellikle fidye yazılımlarla bağlantılı yasa dışı faaliyetlerden önemli gelir elde ettiği soruşturmayla ortaya kondu.
Bir güvenlik araştırmacısı, Stern'in 'kendisini çok teknik insanlarla çevrelediğini, birçoğunun bazen on yıllarca deneyime sahip olduğunu iddia ettiğini ve güvendiği bu deneyimli insanlara önemli görevleri devretmeye istekli olduğunu' belirtiyor. Ona göre, Stern her zaman muhtemelen bu organizasyonel rolde yaşadı.
Son yıllarda artan kanıtlar, Stern'in Rusya'nın istihbarat teşkilatı, özellikle ana güvenlik servisi Federal Güvenlik Servisi (FSB) ile en azından gevşek bağlantıları olduğunu gösteriyor. 'Stern' takma adının Temmuz 2020'de 'hükümet konuları' için bir ofis kurmaktan bahsettiği, araştırmacıların ise Trickbot grubunun diğer üyelerinin Stern'in muhtemelen 'bizimle FSB'deki rütbeler/departman başı tipi arasındaki bağlantı' olduğunu söylediğini gördüğü belirtiliyor.
Stern'in sürekli varlığı, Trickbot ve Conti'nin etkinliğine önemli katkı sağladı, aynı zamanda grubun güçlü operasyonel güvenliği sürdürme ve gizli kalma yeteneği de etkili oldu.
Bir güvenlik uzmanı, bu duyurudan önce Stern'in kimliği hakkında ikna edici bir hikaye duymadığını ve bu belirleme hakkında şu an için bir yorumu olmadığını ifade etti.
