Teknoloji ve güvenlik dünyasında önemli bir gelişme yaşandı. Uluslararası kolluk kuvvetleri ve birçok özel teknoloji şirketi, siber suçluların milyonlarca kullanıcı adı ve şifresini toplamasını sağlayan ve 47 milyon doların üzerinde gelir elde etmelerine yol açan bir "siber suç montaj hattını" durdurmayı başardı. Operasyon, farklı çevrimiçi dolandırıcılık türlerinde yaygın olarak kullanılan iki bağımsız araca eş zamanlı olarak odaklandı.
Bu araçlardan ilki, fidye yazılımları ve diğer dolandırıcılık faaliyetleri için cihazlara zararlı yazılım yükleyen ve saldırıları kolaylaştıran bir hizmet olarak sunulan Amadey adlı zararlı yazılımdı. Amadey'in en az 2018'den beri aktif olduğu ve geçtiğimiz yıl zararlı içerik indirmek ve enfekte olmuş cihazlardan sistem bilgileri toplamak için GitHub'ı kötüye kullandığı gözlemlenmişti. İkinci araç ise kullanıcıların kimlik bilgilerini, kimlik doğrulama çerezlerini, kripto para cüzdanlarını, tarayıcı uzantılarını ve belirli kalıplarla eşleşen dosyaları toplayan bir infostealer (bilgi hırsızı) olarak hizmet veren StealC oldu.
Siber Suç Zincirinde Kritik Bir Halka Koparıldı
Amadey ve StealC, birbirlerinden bağımsız olarak çalışan farklı araçlar olmasına rağmen, siber suçlular tarafından sıklıkla birlikte kullanılıyordu. Dahası, bu araçların çalışması için bazı ortak altyapıları paylaştığı ortaya çıktı. Yapay zeka kullanarak yaptığı analizler sonucunda bu sonuca varan teknoloji devi, iki aracı da eş zamanlı olarak durdurmak için hukuki girişimlerde bulundu.
Yapılan açıklamada, "Bu operasyon, organize suçluların fidye yazılımları, finansal dolandırıcılık ve kamu hizmetlerinde aksamalara yol açan koordineli araçlarını hedef alıyor. Amadey ve StealC genellikle birlikte kullanılıyor: Amadey saldırganların cihazlara erişimini sağlarken, StealC de şifreleri ve hassas bilgileri çalıyor. Birlikte, bu zincirin kritik bir halkasını oluşturuyorlar" denildi.
Araçların altyapılarının örtüştüğüne dair kanıtlarla birlikte, ilgili yasal düzenlemeler kapsamında organize suçla mücadele edildi ve her iki araç da tek bir komplo kapsamında değerlendirildi. Sonuç olarak, 200'den fazla komuta kontrol sunucusu devre dışı bırakıldı ve 18.000'den fazla enfekte bilgisayarın suçluların kontrolünden çıkarıldığı belirtildi. Operasyonda rol alan uluslararası polis teşkilatı, 27 milyon çalıntı giriş bilgilerini ele geçirdi ve 47 milyon dolar değerinde "suç kökenli kripto varlığı" ortaya çıkardı.
Uluslararası polis teşkilatının bildirdiğine göre, "Bu operasyon sırasında kolluk kuvvetleri ve özel sektör ortakları tarafından 326 sunucu ve 142 alan adı işlem görerek, zararlı yazılımın dağıtım ağı ciddi şekilde aksatıldı. Bu araçları eş zamanlı olarak çökerterek, kolluk kuvvetleri ve özel sektör arasındaki işbirliği siber suçlular için sürtünmeyi artırdı, saldırıların başarılı olmasını, yayılmasını veya toparlanmasını zorlaştırdı."
Operasyona destek veren diğer teknoloji şirketleri arasında ESET, Proofpoint ve IBM X-Force, Bitsight ve Mitsui Bussan Secure Directions gibi firmalar yer aldı.
Ayrıca, Operasyon Kapanışında (Operation Endgame) devre dışı bırakılan bir diğer aracın ise enfekte web siteleri aracılığıyla yayılan ve Rus siber suç grubu Evil Corp ile bağlantılı olduğu belirtilen SocGholish adlı zararlı yazılım yükleyici olduğu bildirildi. Bu siteleri ziyaret eden kullanıcılar, tarayıcı uzantıları veya başka meşru yazılımlar gibi görünen truva atı yüklü uygulamaları indirmeye kandırılıyordu. Yapılan müdahaleler sonucunda enfekte edilmiş WordPress siteleri temizlendi, site yöneticileri şifrelerini değiştirmeleri ve güvenliklerini sıkılaştırmaları konusunda uyarıldı. SocGholish faaliyetleri yoluyla verileri ve kimlik bilgileri açığa çıkan tarafların bilgilendirilmesi için de çalışmalar yapıldı. Operasyonda görev alan ülkeler arasında Kanada, Danimarka, Almanya, Hollanda, Birleşik Krallık ve Amerika Birleşik Devletleri bulunuyor.
