Siber Güvenlik

Windows Cihaz Kimliği, Scattered Spider Hackerını Ele Verdi

Siber suç grupları, karmaşık saldırı yöntemleri ve dikkatli kimlik gizleme çabalarıyla tanınır. Ancak son federal soruşturmalar, dijital dünyadaki her adımın bir iz bıraktığını ve bu izlerin bazen en beklenmedik yerden, bir Windows cihaz kimliği aracılığıyla su yüzüne çıkabileceğini gözler önüne serdi. ABD savcıları, lüks bir mücevherat perakendecisine yönelik siber saldırının arkasındaki iddia edilen Scattered Spider üyesini, Microsoft kayıtlarındaki kalıcı bir cihaz kimliğiyle ilişkilendirmeyi başardı. Bu gelişme, siber güvenlik dünyasında dijital adli tıp ve kimlik izleme yöntemlerinin geldiği noktayı bir kez daha vurguluyor.

Sanal Tuzaktan Gerçek Kimliğe: Olayın Perde Arkası

Mayıs 2025’te yaşanan olay, siber saldırganların ne kadar yaratıcı ve sosyal mühendislik konusunda ne denli yetenekli olabileceğini gösterdi. Saldırganlar, Google Voice numaralarını kullanarak perakendecinin BT yardım masasını aradı. Kendilerini sistemden kilitlenmiş çalışanlar olarak tanıtarak, personeli manipüle edip çalışanların parolalarını ve çok faktörlü kimlik doğrulama (MFA) ile ilişkili mobil cihazlarını sıfırlattılar. Bu taktikle sadece birkaç saat içinde üç farklı hesabı ele geçirdiler; bunların ikisi ise BT yöneticilerine aitti. Bu durum, teknolojik güvenlik önlemleri ne kadar güçlü olursa olsun, insan faktörünün ve zayıf süreçlerin nasıl bir açık kapı bırakabileceğini açıkça ortaya koydu.

Ağ içerisine sızdıktan sonra saldırganlar, ngrok ve Teleport adlı iki tünelleme aracını kurdular. Bu araçlar sayesinde içeriden dışarıya güvenli bir bağlantı kurarak, tespit edilmeden veri aktarımı yapabildiler. Yaklaşık 77 gigabaytlık veriyi Amazon bulut depolama alanına taşıdılar. Ardından fidye yazılımı dağıtmaya çalıştılar ancak perakendecinin güvenlik ekibi bu girişimi engelleyerek saldırganları ağdan çıkarmayı başardı. Tüm bunlara rağmen saldırganlar, “ÖNEMLİ: VERİLERİ ÇALDIK, DERHAL İLETİŞİME GEÇİNİZ” başlıklı bir fidye e-postası gönderdi ve daha sonra 8 milyon dolar değerinde kripto para talep ettiler. Şirket fidyeyi ödemedi, ancak bu ihlal şirkete operasyonel aksaklıklar, soruşturma ve temizlik maliyetleri dahil olmak üzere yaklaşık 2 milyon dolara mal oldu. Bu vaka, sorunun bir yazılım hatası değil, kimlik doğrulama süreçlerindeki bir zayıflık olduğunu gözler önüne serdi.

Dijital Parmak İzi: Windows Cihaz Kimliğinin Rolü

Soruşturma, saldırganları ifşa eden kritik bir dijital parmak izine odaklandı: bir Windows Global Device Identifier. Microsoft’un belirttiğine göre g:6755467234350028 olarak tanımlanan bu kimlik, tek bir Windows kurulumuna bağlı kalıcı bir tanımlayıcıdır. İşletim sistemi güncellemelerinden etkilenmez, ancak Windows yeniden yüklendiğinde değişir. Bu özelliği sayesinde, bilgisayarın uzun süreli kullanımı boyunca sabit bir referans noktası sağlar.

Microsoft kayıtları, bu cihazın 12 Mayıs 2025 tarihinde saat 19:21 UTC’de ngrok kayıt sayfasına eriştiğini ve aynı dakika içinde ngrok hesabının oluşturulduğunu gösterdi. Yaklaşık üç saat sonra ise aynı proxy üzerinden perakendecinin web sitesine erişildi. Daha da önemlisi, bu cihaz sürekli olarak Peter Stokes’a ait olduğu iddia edilen Snapchat, Apple ve Facebook hesaplarının kullandığı aynı IP adreslerinde ve aynı zaman dilimlerinde ortaya çıktı. Haziran 2024’te Estonya’nın Tallinn şehrindeki ev adresi, ardından Kasım ayında New York ve Şubat 2025’te Tayland’daki IP adresleri, ABD Dışişleri Bakanlığı’nın seyahat kayıtlarıyla birebir eşleşti. Bu dijital izler zinciri, sanal dünyadaki görünmez perdenin ardındaki gerçek kişiyi ortaya çıkaran somut bir kanıt haline geldi.

‘Bouquet’in Dijital Ayak İzleri ve Dikkatsizliği

19 yaşındaki ABD-Estonya çifte vatandaşı Peter Stokes, çevrimiçi dünyada ‘Bouquet’ takma adıyla biliniyordu. Helsinki’den ABD’ye iade edilen Stokes, komplo, bilgisayar ihlali ve dolandırıcılık suçlamalarıyla Chicago’da mahkemeye çıktı. Stokes, saldırılarını gizlemek için VPN proxy’leri, tünelleme araçları ve takma adlar gibi çeşitli yöntemler kullanmış olsa da, ironik bir şekilde kendisini gizlemekte aynı titizliği gösteremedi. Savcıların iddiasına göre, Snapchat hesabında nakit paralar, pahalı saatler ve ‘HACK THE PLANET’ yazılı pırlanta zincirleri sergilemekten çekinmiyordu. Dahası, bu gösterişli paylaşımlarındaki seyahatler, Dışişleri Bakanlığı kayıtlarındaki seyahat verileriyle birebir örtüşüyordu. Bu durum, en sofistike siber suçluların bile kişisel dikkatsizlikler yüzünden nasıl yakalanabileceğine dair çarpıcı bir örnek teşkil ediyor. Dijital parmak izlerinin sadece teknik verilerden ibaret olmadığını, aynı zamanda bir kişinin çevrimiçi yaşam tarzından da oluştuğunu gözler önüne serdi.

Siber Güvenlikte Süreç Odaklı Savunma

Bu vaka, kuruluşların siber güvenlik stratejilerini sadece teknik yamalar ve yazılımlarla sınırlamaması gerektiğini bir kez daha gösteriyor. Bir güvenlik ihlalinin nedeni, çoğu zaman gelişmiş bir kötü amaçlı yazılım veya sıfır gün açığı değil, insan müdahalesine açık zayıf süreçler olabilir. Özellikle BT yardım masaları gibi hassas noktalar, sosyal mühendislik saldırıları için kritik hedefler haline gelmektedir. Kullanıcıların kimliğini telefon görüşmeleri üzerinden doğrulamak yerine, önceden kayıtlı bir numaraya geri arama, yönetici onayı veya ayrıcalıklı hesaplar için görüntülü kontroller gibi daha katı doğrulama adımları uygulanmalıdır.

Ayrıca, FIDO2 anahtarları gibi kimlik avına dirençli MFA yöntemleri, pek çok saldırı vektörünü etkisiz hale getirse de, yardım masası çalışanları bir telefon görüşmesiyle hesapları sıfırladığında yetersiz kalır. Bu, teknolojinin tek başına yeterli olmadığını, güçlü süreçler, sürekli eğitim ve insan faktörünün güvenlik zincirindeki en zayıf halka olmaktan çıkarılması gerektiğini vurgular. Bizim açımızdan, bu tür olaylar, organizasyonların güvenlik protokollerini düzenli olarak gözden geçirmeleri ve olası zayıf noktaları sadece teknolojik açıdan değil, aynı zamanda operasyonel ve insan odaklı bir perspektiften de değerlendirmeleri gerektiğinin altını çizmektedir.

Sık Sorulan Sorular

Windows Global Device Identifier (Cihaz Kimliği) nedir?

Tek bir Windows kurulumuna bağlı, işletim sistemi güncellemelerinden etkilenmeyen, ancak Windows yeniden yüklendiğinde değişen kalıcı bir tanımlayıcıdır.

Scattered Spider grubu kimdir ve nasıl saldırı yapıyorlar?

Bu grup, genellikle sosyal mühendislik ve kimlik avı tekniklerini kullanarak kuruluşlara sızmaya, hesapları ele geçirmeye ve veri ihlalleri gerçekleştirmeye odaklanan bir siber suç örgütüdür.

Bu tür saldırılara karşı şirketler nasıl korunabilir?

Güçlü kimlik doğrulama süreçleri (geri arama, yönetici onayı), kimlik avına dirençli MFA kullanımı ve çalışanlara yönelik sürekli sosyal mühendislik farkındalık eğitimleri kritik öneme sahiptir.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu