Küresel Siber Suç Şebekesi Çökertildi: 27 Milyon Çalınan Veri Nasıl Kurtarıldı?

Uluslararası kolluk kuvvetleri ve özel sektör ortaklarının eşi benzeri görülmemiş bir iş birliği, küresel siber suç şebekesi Amadey ve StealC’nin altyapısını çökertti. Bu kapsamlı operasyon, kötü amaçlı yazılım tabanlı siber saldırıların ana tedarik zincirlerinden birine ağır bir darbe vurdu. Peki, bu denli büyük bir tehdit nasıl etkisiz hale getirildi ve bu durum siber güvenlik dünyası için ne anlama geliyor?
Operasyonun Detayları ve Geri Kazanılan Varlıklar
Avrupa genelindeki güvenlik birimlerinin yanı sıra Bitdefender, Bitsight, ESET ve Microsoft gibi dev teknoloji firmalarının desteğiyle yürütülen bu operasyon, siber suçluların fidye yazılımları, finansal dolandırıcılık ve kritik altyapı saldırıları için kullandıkları “montaj hatlarını” hedef aldı. Europol, bu iş birliğinin temel amacının siber suç ekosistemini derinden sarsmak olduğunu belirtti. Bu çabalar, yalnızca teknik bir müdahale miydi, yoksa stratejik bir dönüm noktası mı?
Sadece günler önce Hollanda, Kanada, Almanya ve ABD’li yetkililer, SocGholish ile bağlantılı kötü amaçlı altyapıları temizleyerek yaklaşık 15.000 enfekte WordPress sitesini kurtarmıştı. Bu arka arkaya gelen başarılar, siber güvenlik alanındaki koordineli çabaların ne denli yıkıcı olabileceğini bir kez daha gösteriyor. İki hafta süren bu kritik eylem boyunca, suçlulara ait olduğu tespit edilen 47 milyon doların üzerinde kripto para varlığı belirlendi, işaretlendi ve kullanıma kapatıldı — bu, dijital ekonomideki suç gelirlerinin izini sürmenin ne kadar zorlu ama önemli olduğunu kanıtlıyor.
Daha da önemlisi, 27 milyondan fazla çalınan oturum açma kimlik bilgisi geri kazanıldı. Kötü amaçlı yazılım dağıtım ağını sekteye uğratmak amacıyla 326 sunucu ve 142 alan adı devre dışı bırakıldı. Bitdefender Baş Güvenlik Stratejisti Alex Cosoi, bu operasyonun kamu ve özel sektör iş birliğinin küresel bir siber suç şebekesini ölçekli olarak engellemedeki gücünü kanıtladığını ve kötü amaçlı yazılım ekosistemlerinin arkasındakilere net bir mesaj gönderdiğini vurguladı: “Araçlar ne kadar gelişmiş veya ağ ne kadar dağıtılmış olursa olsun, koordineli uluslararası eylem onları bulacaktır.” Bu tespit, tehdit aktörlerine yönelik açık bir uyarı niteliği taşıyor; hiçbir siber suçlu kendini tamamen güvende hissedemez.
Amadey ve StealC’nin İşleyiş Mekanizması: MaaS Modeli
Amadey ve StealC gibi kötü amaçlı yazılım aileleri, “Hizmet Olarak Kötü Amaçlı Yazılım” (Malware-as-a-Service – MaaS) modeli altında faaliyet gösteriyor. Bu model, siber suçluların teknik bilgi birikimi gerektirmeden gelişmiş kötü amaçlı yazılımları kiralayarak kullanmalarına olanak tanıyor. Kiralayanlar, bu platformlar aracılığıyla ek yükler dağıtabilir veya ele geçirilmiş sistemlerden hassas bilgileri çalabilirler. Bu iş modeli, siber suçun demokratikleşmesine mi yol açıyor?
Amadey, Ekim 2018’den beri aktif olan C++ tabanlı modüler bir arka kapı (backdoor) olarak biliniyor ve “InCrease” adlı bir tehdit aktörü tarafından pazarlanıyor. Tek bir lisans için 600 dolar, her yeniden derleme (rebuild) için ise ek 50 dolar talep edilen bu hizmet, siber suçluların kolayca güçlü araçlara erişebilmesini sağlıyor. Bu düşük giriş bariyeri, neden bu kadar çok saldırının gerçekleştiğini açıklıyor olabilir mi? Amadey’nin en güncel sürümü 5.87 olarak belirtiliyor, bu da yazılımın sürekli geliştirildiğini ve güncel tehditlere adapte edildiğini gösteriyor.
Bu yazılımın temel dağıtım yöntemleri arasında ele geçirilmiş WordPress siteleri ve oltalama (phishing) kampanyaları yer alıyor. Hatta Amadey, Emmenhtal ve SmokeLoader gibi diğer yükleyiciler aracılığıyla da yayılım gösterebiliyor. Bu kadar çeşitli dağıtım vektörleri, savunmanın ne kadar zorlu bir mücadele olduğunu açıkça ortaya koymuyor mu? MaaS modelinin sunduğu esneklik, tehdit aktörlerinin hedeflerine ulaşmak için sayısız yol denemesine olanak tanıyor; bu durum, geleneksel güvenlik yaklaşımlarını zorluyor.
Amadey’nin Teknik Yetenekleri ve Yayılımı
Amadey, bir kurbanın sisteminde çeşitli kötü niyetli eylemleri gerçekleştirebilen kapsamlı bir komut setine sahip. Bu yetenekler, saldırganlara ele geçirdikleri sistem üzerinde neredeyse tam kontrol sağlıyor. Amadey’nin desteklediği bazı kritik komutlar şunları içeriyor:
- Makinenin parmak izini çıkarma (fingerprint the machine)
- Dosyaları, DLL’leri, MSI’ları veya PowerShell betiklerini indirme
- “cmd.exe” kullanarak komut çalıştırma
- Ekran görüntüsü alma
- SOCKS proxy oluşturma
- VNC veya ters proxy oturumu açma
- Pano içeriğini ve kimlik bilgilerini yakalama
- Uzak Masaüstü Protokolü’nü (RDP) etkinleştirme
Bu listedeki her bir madde, siber suçluların hedeflerinden maksimum faydayı nasıl sağlayabildiğini gözler önüne seriyor. Özellikle kimlik bilgisi hırsızlığı ve sistem üzerinde uzaktan kontrol yetenekleri, Amadey’i veri ihlalleri ve daha ileri saldırılar için kritik bir ilk adım haline getiriyor. Böylesine geniş bir yetenek yelpazesine sahip bir kötü amaçlı yazılım, neden hala bu kadar yaygın?
Mitsui Bussan Secure Directions tarafından yayımlanan verilere göre, Amadey komuta-kontrol (C2 veya C&C) sunucularının günlük aktif sayısı Eylül 2022’ye kadar genellikle iki ila on sekiz arasında değişiyordu. Ancak, Japon siber güvenlik şirketinin tespitlerine göre, Ocak 2023’ten Aralık 2023 başına kadar bu sayı beş ila otuza yükseldi ve bu da Amadey’nin yaygın bir kullanıma ulaştığını gösterdi. 2024’te kısa bir durgunluk döneminin ardından günlük sayım, on yedi zirvesinden kademeli olarak düşmeye başladı ve günümüze kadar düşüşünü sürdürdü. Bu düşüş trendi, son operasyonların etkisinin bir göstergesi olabilir mi?
Amadey aracılığıyla dağıtılan kötü amaçlı yazılım örneklerinin sayısı ise 2019’da 66 iken, 2020’de 260’a, 2021’de 1.231’e, 2022’de 3.500’e, 2023’te 8.360’a ve 2024’te 7.619’a yükseldi. Zirveye ise 2025 yılında 11.635 örnekle ulaşıldığı belirtiliyor. Bu rakamlar, MaaS modelinin siber suç ekosistemini ne denli büyüttüğünü ve tehdit aktörlerinin ne kadar hızlı adapte olduğunu acı bir şekilde ortaya koyuyor. Türkiye’deki kullanıcılar ve kurumlar da bu tür MaaS tabanlı tehditlerin hedefi olmaktan uzak değil—özellikle KOBİ’ler ve kritik altyapı sağlayıcıları için bu tür saldırılar yıkıcı sonuçlar doğurabilir; bu nedenle proaktif önlemler hayati önem taşır.
Bu Siber Suç Şebekesi Operasyonu Sizi Nasıl Etkiler?
Bu devasa uluslararası operasyon, siber güvenlik cephesinde önemli bir zafer olarak kaydedilse de, bireyler ve kurumlar için derslerle dolu. İlk olarak, kurtarılan 27 milyon kimlik bilgisi, milyonlarca kişinin hala risk altında olduğunu gösteriyor. Kullanıcıların, özellikle e-posta adresleri ve şifre kombinasyonları çalınmış olabileceği ihtimaline karşı tetikte olmaları hayati önem taşıyor. Eğer aynı şifreyi birden fazla platformda kullanıyorsanız, bu operasyon sizin için bir uyanış çağrısı olmalı. Şifrelerinizi hemen değiştirmeli ve iki faktörlü kimlik doğrulama (2FA) kullanmayı standart hale getirmelisiniz. Şifre yöneticileri bu süreçte en büyük yardımcınız olacaktır. Bir siber suç şebekesinin kurbanı olmamak için kişisel güvenlik alışkanlıklarınızı gözden geçirmek şart.
“Siber suçluların ‘montaj hatlarını’ hedef alan bu operasyon, yalnızca kötü amaçlı yazılım altyapısını çökertmekle kalmıyor, aynı zamanda siber suç ekonomisinin temelini sarsarak gelecekteki saldırıları da zorlaştırıyor. Bu, sadece bir yakalama değil, aynı zamanda bir caydırıcılıktır.”
Kurumlar açısından bakıldığında, 15.000’den fazla enfekte WordPress sitesinin temizlenmesi, içerik yönetim sistemlerinin ve diğer web tabanlı platformların düzenli güncellenmesinin ne kadar kritik olduğunu bir kez daha vurguluyor. Güvenlik yamalarını zamanında uygulamamak, Amadey gibi yükleyiciler için açık kapı bırakmak demektir. Ayrıca, çalışan eğitimleri ve oltalama saldırılarına karşı farkındalık programları, bu tür kötü amaçlı yazılımların yayılmasını engellemede kilit rol oynar. Bu operasyon, siber tehditlere karşı sürekli teyakkuz ve proaktif savunma stratejilerinin olmazsa olmazlığını bir kez daha ispatlıyor. Teknoloji dünyasının her geçen gün daha karmaşık hale geldiği bu çağda, kendinizi ve verilerinizi korumak için gerekli adımları atıyor musunuz?
Sık Sorulan Sorular
İlgili Makaleler
- ›Sahte 7-Zip Yükleyicileri, Cihazları Konut Proxy Ağına Katıyor
- ›Gizlenen Kimlik Avı Dalgaları Geleneksel E-posta Kalkanlarını Kırıyor
- ›Kimlik Doğrulama Adımı: Siber Saldırıların Yeni Cephesi
- ›Tenda Router Yazılımlarında Gizli Yönetici Arka Kapısı Riski
- ›Dijital Güvenlikte Yeni Dönem: 2026’nın En İyi Yapay Zeka ve Kimlik Korumalı Antivirüs Programları