Güvenlik araştırmacıları giderek daha fazla siber suçlularla mücadele ediyor, gruplarını aktif olarak takip ediyor ve hatta içlerine sızıyor – bu eğilim, istihbarat toplamak ve siber suçlu faaliyetlerini içeriden bozmak için daha geniş bir stratejinin parçası. Genellikle tam bir James Bond gibi davranıp sahte kişilikler yaratıp siber suçluların güvenini kazanmak için gizli operasyonlara girişiyorlar.
LockBit yazılım çetesi lideri tespit edildi
Modern bir siber gerilim romanı gibi okunan bir hikayede, siber güvenlik araştırmacısı Jon DiMaggio, kötü şöhretli LockBit fidye yazılımı çetesinin ele geçirilemeyen liderini başarıyla açığa çıkardı. Sahte bir siber suçlu kimliği edinerek DiMaggio, çetenin iç çevresine sızdı ve sonunda kolluk kuvvetleri kimliğini kamuoyuna açıklamadan önce çetenin beyni Dmitry Khoroshev’i tespit etti. DiMaggio’nun Def Con’da ifşa ettiği bu cüretkar operasyon, stratejik aldatmacanın yanı sıra böyle bir oyunun yol açabileceği psikolojik bedelin hikayesi.
Analyst1’de araştırmacı olan DiMaggio, Khoroshev’in kullandığı çevrimiçi takma ad olan LockBitSupp’a bağlı kişilerle etkileşim kurmak için kukla hesaplar oluşturarak sızmaya başladı. DiMaggio, konuşmaları izleyerek ve çetenin kültürünü ve tercihlerini anlayarak güvenilir bir siber suçlu kişiliği geliştirebildi.
Çeteye katılmayı ilk başta reddetmesine rağmen DiMaggio, LockBitSupp ile iletişimini sürdürdü ve dostça bir ilişki geliştirdi. Çetenin operasyonları ve taktikleri hakkında sorular sorarak sıradan sohbetlere katıldı.
Ocak 2023’te DiMaggio, sızmasını ifşa eden ve sahte kişiliklerini yakan bulguları hakkında bir rapor yayınladı. Şaşırtıcı bir şekilde LockBitSupp bunu hafife aldı, hatta forumlarda bununla ilgili şaka bile yaptı ve bu DiMaggio’nun ilgisini çekti.
İlişki, LockBitSupp’un forumlarda DiMaggio’nun LinkedIn fotoğrafını avatar olarak kullanmasıyla eğlenceli bir rekabete dönüştü. DiMaggio ayrıca çeteyi onlardan para koparıyormuş gibi yaparak trolledi ve bu da bazı siber suçlular arasında endişeye yol açtı. Bu dönemde DiMaggio, LockBitSupp’un yaklaşık 12 gün boyunca ortadan kaybolduğunu kaydetti. LockBitSupp geri döndüğünde tedirgin görünüyordu ancak DiMaggio ile iletişim kurmaya devam etti. Aynı zamanda LockBit, Chicago’daki bir çocuk hastanesine düzenlenen siber saldırının sorumluluğunu üstlendi ve bu, Toronto’daki SickKids hastanesini hedef aldıktan sonra ikinci hastane saldırısı oldu.
Bu eylemler DiMaggio’yu derinden sinirlendirdi, neredeyse LockBitSupp’a öfkeli bir mesaj göndererek onu takip etme niyetini ilan etmesine neden oldu. Ancak araştırmacı sonunda bundan vazgeçti. LockBit’in web sitesi kolluk kuvvetleri tarafından kapatıldıktan sonra DiMaggio, LockBitSupp’ı tespit etmeye yoğunlaştı. Anonim bir ihbar onu bir Yandex e-posta adresine yönlendirdi ve bu da kimliğinin Dmitry Khoroshev’e kadar uzanmasına yardımcı oldu.