Küresel ölçekteki kolluk kuvvetleri ve teknoloji şirketlerinden oluşan bir konsorsiyum, siber suçlular tarafından yaygın olarak kullanılan Lumma casus yazılımının (infostealer) altyapısını etkisiz hale getirdiğini duyurdu.
Dünya genelindeki en popüler bilgi çalan yazılımlardan biri olan Lumma, yüzlerce siber tehdit aktörü tarafından şifreleri, kredi kartı ve bankacılık bilgilerini, hatta kripto para cüzdan detaylarını çalmak için kullanılıyordu. Yetkililer tarafından Rusya'da geliştirildiği belirtilen bu araç, siber suçlulara banka hesaplarını boşaltmak, hizmetleri aksatmak ve okullara karşı veri gaspı saldırıları düzenlemek gibi eylemler için ihtiyaç duydukları bilgileri ve kimlik bilgilerini sağlıyordu.
Operasyon kapsamında, geçtiğimiz hafta Amerika Birleşik Devletleri'nde bir mahkeme kararıyla Lumma'nın altyapısını destekleyen yaklaşık 2.300 alan adı ele geçirildi ve kullanıma kapatıldı. Aynı zamanda, ABD Adalet Bakanlığı Lumma'nın komuta ve kontrol (C2) altyapısına el koydu ve Lumma zararlı yazılımını satan siber suç pazarlarını bozdu. Bu eylemler, Europol'ün Avrupa Siber Suç Merkezi ve Japonya'nın Siber Suç Kontrol Merkezi tarafından yürütülen bölgesel altyapı müdahaleleriyle eş zamanlı olarak koordine edildi.
Güvenlik uzmanları, Lumma'nın (LummaC2 olarak da bilinir) bu kadar geniş çapta yayılmasının kolay dağıtılabilmesi, tespitinin zor olması ve belirli güvenlik önlemlerini atlayacak şekilde programlanabilmesinden kaynaklandığını belirtiyor. Yazılımın, kötü şöhretli Scattered Spider gibi siber suç grupları için "vazgeçilmez bir araç" haline geldiği ifade ediliyor. Saldırganlar, zararlı yazılımı genellikle Microsoft gibi köklü şirket veya hizmetlerin kimliğine bürünerek kurbanları kandırmayı amaçlayan hedefli oltalama (phishing) saldırıları aracılığıyla dağıtıyorlardı.
Bir güvenlik firmasının araştırma direktörü, Lumma'nın 2025 yılında (önceki benzer bir yazılım olan Redline'ın etkisizleştirilmesinin ve Lumma'nın kendi gelişiminin ardından) en aktif modül olarak sıralandığını, bunun siber suçlular arasındaki artan popülerliğini ve yaygın benimsenmesini gösterdiğini aktardı.
Bir teknoloji şirketinin verilerine göre, bu yıl 16 Mart ile 16 Mayıs tarihleri arasında 394.000'den fazla Windows bilgisayarının Lumma zararlı yazılımı ile enfekte olduğu tespit edildi. Ayrıca, federal güvenlik kurumlarının yayınladığı rakamlara göre, 2024 baharında siber suç forumlarında Lumma'dan 21.000'den fazla kez bahsedildi. Zararlı yazılımın, sahte yapay zeka video üreteçleri, sahte "deepfake" oluşturma web siteleri ve sahte CAPTCHA sayfaları gibi çeşitli yollarla dağıtıldığı görüldü.
Kolluk kuvvetlerinin teknoloji şirketleriyle (Microsoft ve Cloudflare gibi) işbirliği, Lumma'nın altyapısını çok yönlü bir şekilde bozmaya odaklandı. Böylece geliştiricilerin basitçe yeni sağlayıcılar kiralayarak veya paralel sistemler oluşturarak altyapıyı yeniden kurması engellendi.
Bir bulut güvenliği şirketinin açıklamasına göre, operasyondaki rolleri, komuta ve kontrol sunucusu alan adlarını, Lumma'nın Pazar Yeri alan adlarını engellemeyi ve alan adlarını yapılandırmak için kullanılan hesapları yasaklamayı içeriyordu. Güvenlik şirketleri, suçluların isim sunucularını değiştirip kontrollerini geri kazanmalarını sağlamak amacıyla Lumma'nın alan adlarının farklı kayıt mercileriyle koordineli bir şekilde kullanımdan kaldırılmasını sağladı.
Casus yazılımlar yıllardır mevcut olsa da, siber suçlular ve ulus devlet destekli hackerlar tarafından kullanımları 2020'den beri arttı. Genellikle korsan yazılımların indirilmesi veya Microsoft gibi köklü şirketlerin kimliğine bürünen hedefli oltalama saldırıları yoluyla bilgisayarlara bulaşırlar. Bir bilgisayara sızdıktan sonra, kullanıcı adları ve şifreler, finansal bilgiler, tarayıcı uzantıları, çok faktörlü kimlik doğrulama detayları ve daha fazlası gibi hassas bilgileri ele geçirip yazılımın operatörlerine geri gönderebilirler.
Bazı casus yazılım operatörleri bu çalınan verileri paketleyip satar. Ancak giderek artan bir şekilde, ele geçirilen detaylar, hackerların daha ileri saldırılar başlatması için bir geçit görevi görüyor; online hesaplara ve hatta milyar dolarlık şirketlerin ağlarına erişim için gereken bilgileri sağlıyor.
Bir güvenlik firmasının CEO'su, casus yazılımların artık sadece "al ve git" yazılımları olmanın ötesine geçtiğini belirtiyor. Birçok kampanyada, kimlik bilgileri, erişim tokenleri ve diğer dayanak noktası sağlayan verileri toplayan ilk aşama olarak hareket ettiklerini, ardından bu bilgilerin yanal hareket, casusluk veya fidye yazılımı gibi daha geleneksel, yüksek etkili saldırıları başlatmak için kullanıldığını söylüyor.
FBI ve CISA'ya göre Lumma casus yazılımı ilk olarak 2022'de Rusça konuşulan siber suç forumlarında ortaya çıktı. O zamandan beri geliştiricileri yeteneklerini yükseltti ve yazılımın farklı sürümlerini yayınladı.
Örneğin, 2023'ten bu yana, güvenlik firması araştırmalarına göre yapay zekayı zararlı yazılım platformuna entegre etmek için çalıştılar. Saldırganlar, casus yazılımlar tarafından toplanan devasa miktardaki ham veriyi temizleme işlerinin bir kısmını otomatikleştirmek, örneğin çoğu saldırgan için daha az değerli olan "bot" hesaplarını tanımlamak ve ayırmak için bu yetenekleri eklemek istiyorlar.
Lumma'nın bir yöneticisi olduğu belirtilen bir kişi, daha önce siber suçluları yazılımlarını kullanmaya teşvik ettiğini ve çalınan oturum açma verilerinin yeniden satışının kendilerine "iyi gelir" sağladığını ifade etmişti.
Büyük bir teknoloji firması, Lumma'nın arkasındaki ana geliştiricinin çevrimiçi olarak "Shamel" takma adını kullandığını ve Rusya'da bulunduğunu belirtiyor.
Aynı yetkili, "Shamel'in Lumma için Telegram ve diğer Rusça sohbet forumları aracılığıyla farklı hizmet katmanları pazarladığını" yazdı. "Bir siber suçlunun satın aldığı hizmete bağlı olarak, zararlı yazılımın kendi sürümlerini oluşturabilir, onu gizlemek ve dağıtmak için araçlar ekleyebilir ve çevrimiçi bir portal aracılığıyla çalınan bilgileri takip edebilirler" diye ekledi.
Bir güvenlik firmasının araştırma direktörü, etkisizleştirilmeden önceki günlerde bazı siber suçluların forumlarda Lumma ile ilgili sorunlar yaşandığından şikayet etmeye başladığını söyledi. Hatta zararlı yazılım platformunun kolluk kuvvetleri operasyonunun hedefi olabileceği spekülasyonları yaptıklarını belirtti.
"Gördüğümüz kadarıyla, kredi kartı dolandırıcılığı, ilk erişim satışı, kripto para hırsızlığı ve daha fazlası gibi çeşitli siber suç faaliyetlerine karışan geniş bir siber suçlu yelpazesi Lumma kullandığını kabul ediyor" diye ekledi.
Diğer araçların yanı sıra, Caesars Entertainment, MGM Resorts International ve diğer kurbanlara saldıran Scattered Spider hacker grubunun da Lumma casus yazılımını kullandığı tespit edildi. Bu arada, bir teknoloji haberine göre, Lumma zararlı yazılımının, 2024 Aralık ayında 70 milyondan fazla kaydın çalındığı eğitim teknolojisi firması PowerSchool'un hacklenmesine giden süreçte kullanıldığı iddia edilmişti.
Bir güvenlik firmasının CEO'su, "Artık casus yazılımların sadece teknik olarak gelişmekle kalmayıp, aynı zamanda operasyonel olarak da daha merkezi bir rol oynadığını görüyoruz" diyor. "Ulus devlet aktörleri bile onları geliştiriyor ve kullanıyor."
Bir başka güvenlik firmasının analiz ve araştırma direktörü, casus yazılımların siber suçluların kullanacağı tek araç olmadığını, ancak yaygınlıklarının suçluların izlerini gizlemelerini kolaylaştırabileceğini belirtiyor. Gelişmiş tehdit aktör gruplarının bile casus yazılım loglarını kullandığını, aksi takdirde sofistike taktik, teknik ve prosedürlerini (TTP) açığa çıkarma riskiyle karşı karşıya kaldıklarını söylüyor.
Lumma, kolluk kuvvetleri tarafından hedef alınan ilk casus yazılım değil. Geçtiğimiz yıl Ekim ayında, Hollanda Ulusal Polisi, uluslararası ortaklarla birlikte RedLine ve MetaStealer zararlı yazılımlarıyla bağlantılı altyapıyı çökertmişti. ABD Adalet Bakanlığı ise RedLine casus yazılımının iddia edilen geliştiricilerinden ve yöneticilerinden birine karşı suçlamaları açıklamıştı.
Uluslararası baskıya rağmen, casus yazılımlar saldırganlar için çok kullanışlı ve etkili olduklarını kanıtladı. Bir güvenlik uzmanının ifadesiyle, "Savunmaların evrimi nedeniyle manzara nihayetinde değişse bile, casus yazılımların son birkaç yılda artan önemi, öngörülebilir gelecekte de kalıcı olacaklarını gösteriyor. Kullanımları patlama yaşadı."
