Tehdit Aktörünün Peşinde

If you are looking for an English version of this article, please visit here.

Başlangıç

Yatırım Dolandırıcıları, Deepfake Dolandırıcılarına Dikkat!, e-Devlet Hacklendi mi?, WhatsApp Dolandırıcıları ve benzeri araştırma yazılarımda da gördüğünüz üzere Telegram grupları son yıllarda organize siber suç örgütlerinin, tehdit aktörlerinin, dolandırıcıların meskeni olmaya devam ediyor. Peki ama neden? Bunun başlıca nedeni olarak Telegram’ın anonimlik ve mahremiyet özelinde sağladığı imkanların yakın zamana kadar yakayı ele vermek istemeyen siber suçlular için önemli avantajlar sağladığını söyleyebiliriz.

Nedir bu imkanlar diye soracak olursanız ilki olarak Telegram’a kişisel bilgilerin verilmeden kayıt olunabilmesini söyleyebiliriz. İkinci olarak kullanıcıların kendi aralarında uçtan uca şifreli sohbet (Gizli Sohbetler) gerçekleştirebilmelerini, üçüncü olarak ise gönderdikleri mesajların belirledikleri süre sonunda silinmesini (kendini yok eden mesajlar) sağlayabildiklerini söyleyebiliriz.

Diğer yandan Telegram’da maksimum 2 GB boyutunda dosyaların paylaşılabilmesi, hacklenmiş, çalıntı bilgilerin tehdit aktörleri arasında hızla el değiştirebilmesi adına da büyük kolaylık sağlıyor.

Telegram yetkilileri, yakın zamana kadar siber suçlara yönelik olarak adli mercilerden gelen talepleri yanıtsız bırakıyordu. Bu sebepten dolayı 24 Ağustos 2024 tarihinde Telegram CEO’su Pavel Durov‘un Paris’in kuzeyindeki Le Bourget Havalimanı’nda Fransız polisi tarafından gözaltına alınmıştı. Fransız yetkililer tarafından yapılan açıklamada, Pavel’in siber suçlar soruşturması kapsamında gözaltına alındığını, yasa dışı transferler, çocuk pornosu, sahtecilik ve yetkililere bilgi vermemek gibi suçların soruşturma kapsamında araştırıldığını aktarmıştı.

Eylül 2024‘te ise Telegram geri adım atarak bundan sonra suç unsuru taşıyan hesap ve kişilerin IP adresi ile telefon numaralarının resmi merciler ile paylaşılacağını duyurmuştu. Bu duyuru sonrasına tehdit aktörlerinin başka mecralara yelken açacakları düşünülse de beklendiği gibi olmadı.

Durum böyle olunca Telegram grupları, siber suçlarla mücadele eden siber güvenlik araştırmacıları ve siber tehdit istihbaratı analistleri tarafından oldukça yakından takip edilmekte ve ayrıca bu gruplarda paylaşılan mesajlar da SOCRadar XTI gibi siber tehdit istihbaratı platformları tarafından kayıt altına alınarak, tehdit araştırması amacıyla siber güvenlik profesyonelleri tarafından da kullanılmaktadır.

Siber güvenlik profesyonellerinin siber saldırılara karşı etkili bir şekilde savunma yapabilmeleri için tehdit aktörlerini, motivasyonlarını ve yeteneklerini anlamaları oldukça önemlidir. Bunun için de siber tehdit istihbaratından faydalanmak hem profesyoneller hem de kurumlar için hayati bir öneme sahiptir.

Tehdit Aktörü Kime Denir?

Tehdit aktörü için aktif olarak kötü niyetli faaliyetlerde bulunan ve aşağıdakileri amaçlayan herhangi bir kişi, grup veya kuruluştur diyebiliriz.

Tehdit aktörü için bir siber saldırının arkasındaki itici güçtür diyebiliriz. Devlet destekli gruplar gibi son derece yetenekli kişilere ve geniş kaynaklara sahip olabilecekleri gibi, kolayca bulunabilen araçları kullanan amatörler de olabilir.

Tehdit aktörleri ile ilgili unutulmaması gereken önemli noktalara da değinmek gerekirse:

Farklı türdeki tehdit aktörlerini, motivasyonlarını ve yeteneklerini anlamak, siber güvenlik profesyonellerinin saldırılara karşı etkili bir şekilde savunma yapabilmesi için çok önemlidir.

Tehdit Aktörünün İzini Bulmak

Telegram’da ve/veya hacking forumlarında paylaşılan dosyalar kimi zaman tehdit aktörünün kullandığı sistemlere ait konfigürasyon bilgilerini kimi zaman kullandığı sistemin IP adresini kimi zaman ise imzasını içerdiği için siber tehdit istihbaratı analistleri için izini sürdükleri tehdit aktörü veya araştırdıkları siber saldırı ile ilgili önemli bilgilere erişmelerine imkan tanıyabilmektedir.

Ne tesadüftür ki paylaşılan dosyalardan birini incelediğimde, 2021 yılında kaleme aldığım Instagram Dolandırıcıları araştırma yazıma konu olan Kadına Şiddete Hayır temalı oltalama sitesinin dosyaları ile karşılaştım.

İzi sürülen tehdit aktörünün rumuzu (nickname) biliniyorsa bu durumda bu tehdit aktörü ile ilgili detaylı bilgilere ulaşmak için paylaşılan dosyaları analiz etmek araştırmanın seyrini değiştirebilir. Öyle ki örneğin e-Devlet Hacklendi mi? araştırma yazıma konu olan sorgu panellerinde imzaları olan tehdit aktörlerinin IP adreslerini, Telegram’da paylaşılan bir dosyanın içinde yer alan SQL dosyasında bulabilirsiniz.

Çoğu zaman sizi veya veya kurumunuzu hedef alan tehdit aktörünün kullandığı araçların, zararlı yazılımların, oltalama sitelerinin kaynak kodlarına ulaşmanız mümkün olmaz. Kimi zaman ise kaynak kodlarına ulaşsanız da tehdit aktörüne dair bir imza kodlarda yer almadığı için saldırının arkasındaki tehdit aktörünün kim olduğuna ulaşamayabilirsiniz.

Peki gerçekten de aradan aylar, yıllar geçmiş olsa bile, elimizde oltalama sitesinin kaynak kodları olup tehdit aktörüne ait herhangi bir imza olmadığında tehdit aktörünün kim olduğunu bulamaz mıyız? Aklımı kurcalayan bu soru sonrasında Telegram gruplarından elde ettiğim oltalama sitelerinin kaynak kodlarını incelemeye ve bu soruya yanıt bulmaya karar verdim.

Kaynak kodlarının çoğunluğunda dikkatimi çeken ortak nokta, tehdit aktörlerinin Telegram Bot API‘sinden faydalanarak oltaya düşen kişilerin çalınan bilgilerini anlık olarak takip etmeleriydi. Bunun için de botlarının jetonlarını (token) geliştirdikleri oltalama sitelerinin kaynak kodlarına gömüyorlardı.

Operasyon Güvenliği (OPSEC) hakkında kaygısı olmayanlar ise jetonlara ilave olarak kaynak kodlarına chat_id değerini de gömüyorlardı. chat_id sayesinde Telegram Bot API’si üzerinden çalınan bilgilerin getChat metodu ile hangi kullanıcı adına yani tehdit aktörüne gönderildiği bilgisi elde edilebiliyor. Ben de elimdeki bazı kaynak kodları üzerinde chat_id içeren Telegram Bot API jetonlarını aramaya ve bunları da Telegram Bot API üzerinden sorgulamaya karar verdim.

Arama sonucunda elde ettiğim jetonları, chat_id parametresi ile birlikte komut satırı üzerinden cURL aracından ile Telegram Bot API’sine gönderdiğimde, 2021 yılından kalma bir oltalama sitesi üzerinden tehdit aktörünün rumuzuna (nickname) aradan yıllar geçse bile ulaşabildim.

Bu rumuzu SOCRadar XTI platformunda arattığımda da bu tehdit aktörünün zamanında Telegram’da hangi kanalda olduğunu öğrenerek araştırmama yeni bir boyut getirmiş oldum.

Sonuç

Sonuca gelecek olursam, siber suçlarla mücadele eden siber güvenlik araştırmacıları, siber tehdit istihbaratı analistleri tarafından tehdit aktörlerinin, bulundukları mecraların (Forumlar, Telegram grupları, Discord kanalları vb.) yakından izlenmesi, bu mecralarda paylaşılan dosyaların titizlikle incelenmesi, yürüttükleri araştırmaların, soruşturmaların seyrini büyük ölçüde değiştirme potansiyeline sahip olduğu için oldukça önemlidir.

Bir sonraki yazıda görüşmek dileğiyle.

Show this post in PDF formatPrint this page