Siber Güvenlik

Lüks Perakendeciye Siber Saldırı: Windows Cihaz Kimliği Hacker’ı Ele Verdi

ABD’li federal savcılar, lüks bir mücevher perakendecisine düzenlenen siber saldırının ardındaki iddia edilen ‘Scattered Spider‘ grubu üyesini, kalıcı bir Windows cihaz kimliği sayesinde tespit etti. Yeni açıklanan federal mahkeme kayıtlarına göre, bu dijital iz, 19 yaşındaki Peter Stokes‘un kimliğinin ortaya çıkarılmasında kilit rol oynadı. Stokes, komplo, bilgisayar izinsiz girişi ve dolandırıcılık suçlamalarıyla karşı karşıya kalırken, olayın detayları siber güvenlik dünyasında dikkat çekici bir vaka olarak kayda geçti.

Saldırının Detayları ve Hedeflenen Zafiyet

Saldırı, 12-15 Mayıs 2025 tarihleri arasında gerçekleşti. Saldırganlar, Google Voice numaralarını kullanarak perakendecinin IT yardım masasını telefonla aradı. Kendilerini sistemden kilitlenmiş çalışanlar olarak tanıtıp, personeli kandırarak çalışanların parolalarını ve çok faktörlü kimlik doğrulama (MFA) ile ilişkili mobil cihazlarını sıfırlattı. Bu yöntemle sadece birkaç saat içinde üç hesabı ele geçirdiler; bu hesaplardan ikisi IT yöneticilerine aitti.

Bu saldırıda kullanılan yöntem, genellikle “vishing” (voice phishing) olarak bilinen sosyal mühendislik taktiğinin sofistike bir örneğidir. Saldırganlar, meşru gibi görünen telefon numaralarını kullanarak güvenilir kaynaklardan arıyor izlenimi yaratmış ve çalışanların kimlik bilgilerini ele geçirmek için manipülasyon teknikleri uygulamışlardır. Yardım masaları, şirket çalışanlarının sorunlarını çözmekle görevli oldukları için, genellikle belirli doğrulama adımları olsa dahi, bu tür ikna edici senaryolara karşı savunmasız kalabilirler.

Erişim sağlandıktan sonra saldırganlar, ağ içinde ngrok ve Teleport adlı tünelleme araçlarını kurdu. Bu araçlar, genellikle meşru geliştirme ve uzaktan erişim senaryolarında kullanılsa da, siber suçlular tarafından iç ağlara sızmak ve dışarı veri sızdırmak için güvenli ve şifreli tüneller oluşturmak amacıyla kötüye kullanılabilir. Ngrok, yerel sunucuları genel internete açarken, Teleport ise güvenli ve denetlenebilir bir uzaktan erişim sağlar. Ardından en az 77 gigabaytlık veriyi Amazon bulut depolama alanına aktararak dışarı sızdırdılar. Sızdırılan veriler arasında müşteri bilgileri, finansal kayıtlar veya fikri mülkiyet gibi kritik şirket verileri bulunabilir.

Görünüşe göre fidye yazılımı dağıtmaya da çalıştılar, ancak perakendecinin güvenlik ekibi bu girişimi engelleyerek saldırganları ağdan uzaklaştırdı. Başarısız fidye yazılımı girişimine rağmen, saldırganlar ‘ÖNEMLİ: VERİLERİ ÇALDIK, DERHAL İLETİŞİME GEÇİN’ başlıklı bir e-posta göndererek daha sonra 8 milyon dolar değerinde kripto para talep etti. Şirket bu talebi karşılamadı ancak ihlal, şirket için yaklaşık 2 milyon dolarlık kesinti, soruşturma ve temizleme maliyeti yarattı.

Bu olayda kritik bir nokta, girişin bir yazılım güvenlik açığı değil, yardım masası aracılığıyla insan faktörünün istismar edilmesiydi. Sorun, bir yamadan ziyade süreç odaklı bir düzeltme gerektiriyordu.

Windows Cihaz Kimliği: Gizli Bağlantı

Soruşturmacıların Stokes’a ulaşmasında kilit rol oynayan unsur, ngrok hesabını açan cihazın Windows cihaz kimliği oldu. Microsoft, FBI’a bu cihazın g:6755467234350028 Global Cihaz Kimliği’ne sahip

Bu Global Cihaz Kimliği (GDID), genellikle Windows işletim sisteminin ilk kurulumunda veya belirli donanım değişikliklerinde oluşturulan, cihazı benzersiz bir şekilde tanımlayan bir anahtardır. Donanım tabanlı tanımlayıcılardan türetilebildiği gibi, işletim sistemi seviyesinde de benzersiz bir imza oluşturabilir. Bu kalıcı yapı, cihazın farklı ağlarda veya zamanlarda yaptığı işlemlerin tek bir kaynağa bağlanmasını sağlar ve adli bilişim araştırmalarında son derece değerli bir kanıt niteliği taşır. Saldırganların kendi cihazlarını kullanırken bu tür bir tanımlayıcıyı göz ardı etmesi, operasyonel güvenlik (OpSec) açısından büyük bir hata olmuştur.

Microsoft kayıtları, söz konusu cihazın 12 Mayıs 2025 tarihinde saat 19:21 UTC’de ngrok kayıt sayfasına eriştiğini gösterdi. Bu, ngrok hesabının oluşturulduğu dakikayla aynı zamana denk geliyordu. Ayrıca, cihazın yaklaşık üç saat sonra aynı proxy üzerinden perakendecinin web sitesine ulaştığı da tespit edildi. Bu zamanlama ve bağlantı, cihaz ile siber saldırı arasındaki doğrudan ilişkiyi kanıtladı.

Dijital Ayak İzleri ve Kimlik Doğrulama

Cihaz kimliğinin önemi sadece ngrok bağlantısıyla sınırlı kalmadı. Aynı cihaz, Stokes’a ait olduğu iddia edilen Snapchat, Apple ve Facebook hesaplarının kullandığı IP adreslerinde düzenli olarak belirginleşti. Örneğin, Haziran 2024’te memleketi Estonya’nın Tallinn şehrinde, Kasım ayında New York’ta ve Şubat 2025’te Tayland’da kullanılan IP adresleri, ABD Dışişleri Bakanlığı’nın seyahat kayıtlarıyla birebir eşleşti.

Bu durum, bir siber saldırgan için ciddi bir operasyonel güvenlik (OpSec) ihlalini temsil etmektedir. Saldırgan, faaliyetlerini VPN’ler ve takma adlar aracılığıyla gizlemeye çalışsa da, cihazının benzersiz kimliği ve ardından gelen çevrimiçi etkinliği, onun gerçek kimliğine giden yolu açmıştır. Çeşitli platformlardaki (sosyal medya, e-posta hizmetleri, bulut depolama) IP adreslerinin, seyahat kayıtları ve cihaz kimliği ile korelasyonu, bir bireyin dijital yaşamına ait parçalı bilgilerin nasıl bir araya getirilerek güçlü bir delil zinciri oluşturulabileceğinin çarpıcı bir örneğidir.

Bu dijital ayak izleri, saldırganın VPN ve takma adlar kullanarak saldırıyı gizlemeye çalışsa da kendi kimliğini tam olarak saklayamadığını ortaya koydu. Savcılar, Stokes’un Snapchat paylaşımlarında nakit para, pahalı saatler ve üzerinde ‘HACK THE PLANET’ yazılı pırlanta zincirleri sergilediğini, ayrıca bu şehirlerdeki seyahatlerini gösteren gönderilerle övündüğünü iddia etti. Tüm bu veriler, sanığın dijital yaşam tarzının, siber suç faaliyetleriyle kesişen somut delillerini oluşturdu.

Siber Güvenlik Dersleri: Süreç Odaklı Savunma

Bu vaka, kuruluşların sosyal mühendislik saldırılarına karşı ne kadar savunmasız olabileceğini gösteriyor. Saldırganların yazılım zafiyetinden ziyade, insan unsurunu hedef alarak yardım masası süreçlerindeki boşlukları kullanması dikkat çekicidir. Bu tür bir saldırıyı önlemek için teknik yamalardan çok, süreçlerin güçlendirilmesi elzemdir.

Şirketlerin özellikle ayrıcalıklı hesaplar için kimlik sıfırlama işlemlerinde daha katı protokoller uygulaması gerekir. Bu protokoller şunları içerebilir:

  • Geri Arama Doğrulaması: Kimlik sıfırlama talep eden kişinin, şirketin kayıtlarında bulunan ve önceden belirlenmiş bir numaradan aranarak doğrulanması.
  • Çoklu Onay Sistemi: Özellikle yönetici veya ayrıcalıklı hesaplar için parola sıfırlamalarının birden fazla IT yöneticisi veya üst düzey personel tarafından onaylanması.
  • Görsel Doğrulama: Görüntülü görüşmeler aracılığıyla talep sahibinin kimliğinin yüz yüze doğrulanması.
  • İç Eğitim ve Farkındalık: Çalışanlara yönelik düzenli ve interaktif sosyal mühendislik eğitimleri, bu tür saldırıların nasıl tanınacağını ve raporlanacağını öğretmek.

FIDO2 anahtarları gibi kimlik avına karşı dayanıklı MFA çözümleri, grubun diğer yöntemlerini etkisiz kılsa da, eğer yardım masası bir telefon görüşmesiyle hesabı sıfırlayabiliyorsa, bu tür çözümlerin faydası sınırlı kalır. FIDO2, kullanıcının fiziksel bir anahtar veya biyometrik veri kullanarak kimliğini doğrulamasıyla çalışır ve kimlik avı sitelerine karşı doğası gereği bağışıklıdır. Ancak, bu senaryoda doğrudan kullanıcı değil, kullanıcının hesabını yöneten yardım masası hedeflendiği için, FIDO2’nin teknik koruması bypass edilmiştir. Bu durum, teknolojinin tek başına değil, insan süreçleriyle entegre bir güvenlik yaklaşımının önemini bir kez daha ortaya koymuştur.

Hukuki Süreç ve Gelecek Etkileri

Peter Stokes, Finlandiya’dan iade edilerek 30 Haziran’da Chicago’da ilk mahkeme duruşmasına çıktı. Komplo, bilgisayar izinsiz girişi ve dolandırıcılık gibi ciddi suçlamalarla karşı karşıya olan Stokes’un, yargılama süreci boyunca masumiyet karinesi devam etmektedir. Bu dava, dijital kimliklerin ve siber suçluların geride bıraktığı izlerin, kolluk kuvvetleri için ne denli değerli olabileceğini kanıtlar niteliktedir.

Bu vaka, özellikle Global Cihaz Kimliği gibi kalıcı dijital tanımlayıcıların siber suçluların izini sürmede ne kadar kritik bir rol oynadığını göstermesi açısından önemli bir emsal teşkil etmektedir. Uluslararası işbirliği ve adli bilişimdeki ilerlemeler sayesinde, siber suçluların küresel operasyonlarına rağmen yakalanma olasılıkları artmaktadır. ABD’deki Bilgisayar Dolandırıcılığı ve Kötüye Kullanım Yasası (CFAA) gibi yasalar kapsamında yargılanacak olan Stokes davası, benzer suçları işleyen diğer bireyler için caydırıcı bir etki yaratabilir.

Vaka, aynı zamanda siber suçluların operasyonlarını ne kadar gizlemeye çalışırlarsa çalışsınlar, kalıcı dijital tanımlayıcıların ve korelasyonlu veri noktalarının nihayetinde onları ifşa edebileceğini göstermektedir. Bu tür olaylar, yalnızca saldırganların yakalanmasına yardımcı olmakla kalmıyor, aynı zamanda şirketlerin güvenlik politikalarını gözden geçirmeleri ve insan faktörünü içeren güvenlik açıklarını gidermeleri için kritik dersler sunuyor.

Sık Sorulan Sorular

Windows cihaz kimliği nedir ve neden önemlidir?

Windows cihaz kimliği, her bir Windows kurulumuna özgü, kalıcı bir dijital tanımlayıcıdır. İşletim sistemi güncellemelerinden etkilenmez ve siber saldırganların izini sürmede kolluk kuvvetleri için kritik bir kanıt niteliği taşır.

Scattered Spider gibi siber suç grupları genellikle hangi yöntemleri kullanır?

Bu gruplar genellikle sosyal mühendislik, kimlik avı (phishing) ve çok faktörlü kimlik doğrulama (MFA) sistemlerini atlatmaya yönelik taktikler kullanarak şirketlere sızmaya çalışır. İnsan faktörünü hedef alarak sistemlere erişim sağlarlar.

Şirketler, bu tür sosyal mühendislik saldırılarına karşı nasıl önlem alabilir?

Şirketler, yardım masası gibi kritik süreçlerde kimlik doğrulama adımlarını güçlendirmelidir. Doğrulama için kayıtlı numaralara geri arama, yönetici onayı veya görüntülü görüşmeler gibi yöntemler kullanılmalı; çalışanlara düzenli siber güvenlik farkındalık eğitimleri verilmelidir.

Özlem Özen

Merhaba, ben Özlem Özen. İçerik üreticisi olarak dijital dünyada bilgi, deneyim ve ilham verici içerikleri insanlarla buluşturmayı hedefliyorum. Sosyal medya, yaşam, kişisel gelişim, güncel trendler ve ilgi duyduğum farklı konular üzerine içerikler üreterek takipçilerime değer katmaya çalışıyorum. İçerik üretimini yalnızca paylaşım yapmak olarak değil, insanlarla anlamlı bir bağ kurmanın bir yolu olarak görüyorum. Bu nedenle hazırladığım her içerikte samimiyet, güvenilirlik ve fayda sağlamayı ön planda tutuyorum. Sürekli öğrenmeye, kendimi geliştirmeye ve değişen dijital dünyaya uyum sağlamaya önem veriyorum. Amacım; bilgi veren, düşündüren ve ilham kaynağı olan içeriklerle daha geniş kitlelere ulaşmak ve dijital platformlarda kalıcı bir değer oluşturmak. Üretmeye, öğrenmeye ve paylaşmaya duyduğum tutkuyla içerik yolculuğuma devam ediyorum.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu