Bulut depolama sağlayıcısı Snowflake’i etkileyen büyük bir hack planına katılmakla suçlanan Kitchener, Ontario’lu bir adam tutuklandı ve ABD’ye iade edilebilir.
25 yaşındaki Connor Muka, ABD yetkililerinin talebi üzerine geçici tutuklama emri üzerine 30 Ekim’de Stanley Park bölgesindeki evinde tutuklandı.
Cezai soruşturmada Alexander Muka, Godish, Katest, Ellil 8 ve Waifu olarak da bilinen Muka, irdev ve j_irdev1337 olarak da bilinen Türkiye sakini John Baines ile komplo kurmakla suçlanıyor.
CBC tarafından elde edilen suçlama belgeleri ayrıca Moucka ve Binns dışındaki diğer kişilerin de “mağdur kuruluşlara ait en az 10 korumalı bilgisayar ağını tehlikeye atacak” bir planın içinde yer almış olabileceklerini gösteriyor.
Birkaç ay önce veri ihlalini ABD yetkililerine bildiren Snowflake, telekom devi AT&T, Ticketmaster Live Nation ve Santander Bank gibi müşterileri olan ABD merkezli bir veri depolama şirketidir.
CBC’nin Kitchener Yüksek Mahkemesi’nden aldığı mühürsüz tutuklama emrine göre, ABD’nin Washington Batı Bölgesi Bölge Mahkemesi 29 Ekim’de Mocha için tutuklama emri çıkardı.
Kendisi, bilgisayar dolandırıcılığı, elektronik dolandırıcılık ve ağırlaştırılmış kimlik hırsızlığıyla bağlantılı olarak komplo, dolandırıcılık, bilgisayarı kötüye kullanma ve şantajla suçlanıyor. Hiçbir suçlama getirilmedi. Adli yardım statüsünün güncellenmesi için davası Cuma gününe ertelendi.
Ottawa’lı bir yetkili, sanığın hukuki yardım beklediğini söyledi
İddianame belgeleri, Moucka ve Binns’in “bu planlardan, en az üç kurbandan en az 36 bitcoin’i (ödeme sırasında yaklaşık 2,5 milyon dolar değerinde) başarıyla sızdırmak da dahil olmak üzere çeşitli yollarla yararlandığını” iddia ediyor.
Notta ayrıca Mocha’nın tutuklanmasının kamu yararı açısından gerekli olduğu belirtiliyor.
Kanada Adalet Bakanlığı kıdemli medya ilişkileri danışmanı Ian MacLeod, CBC’ye e-postayla gönderdiği açıklamada, “12 Kasım’da Bay Mocha, Hukuki Yardım’dan hâlâ bir karar beklediğini belirtti.” dedi.
Şöyle ekledi: “İade talepleri bir devlet ile bir devlet arasındaki gizli iletişim olarak kabul edildiğinden bu konu hakkında daha fazla yorum yapamayız.”
ABD Adalet Bakanlığı yorum yapmaktan kaçındı. CBC, Mocha’nın şu anda tutulduğu hapishaneye ulaştı ancak erişim reddedildi. Kendisi henüz bir avukat tarafından temsil edilmemiştir.
30 Mayıs’ta Snowflake, web sitesinde, şirketin çevrimiçi verilerinin potansiyel olarak tehlikeye atıldığının farkında olduğunu kabul eden bir bildirim yayınladı.
Google Cloud’un bir parçası olan siber güvenlik kuruluşları Crowdstrike ve Mandiant Consulting, soruşturma için görevlendirildi.
“Birkaç kuruluşun verilerinin, düşmanın eriştiği Snowflake kiracılarında saklandığını ve ardından Snowflake ortamlarından toplu olarak indirildiğini ve daha sonra çalınan verileri kuruluşlara erişim sağlamak ve ardından onlara şantaj yapmak için kullandığını öğrendik” dedi. Mandiant’taki teknoloji sorumlusu, CBC ile yaptığı röportajda şunları söyledi.
Carmichael’e göre şirket, 14 Nisan’da araştırmaya başladı ve Snowflake’in hizmetleriyle çalışan yaklaşık 165 potansiyel olarak savunmasız kuruluşun izini sürdü.
Carmichael, görünen failin veya soruşturma boyunca adı geçen UNC5537’nin Snowflake’i tehlikeye atmadığını ancak şirkete sızmak için kişisel bilgiler elde ettiğini söyledi.
“Tehdit aktörü, müşteri kiracılarının çalınan kimlik bilgilerinden yararlandı ve bunları, sanki Snowflake hesabıyla şirketin çalışanları veya yüklenicileriymiş gibi oturum açmak için kullandı.”
Haziran ayında Mandiant, bulguları hakkında kamuya açık bir rapor yayınladı.
Raporda, “Bilgi çalan kötü amaçlı yazılımın ilk saldırısı, oyun oynamak ve korsan yazılım indirmek de dahil olmak üzere kişisel faaliyetler için de kullanılan yüklenici sistemlerine gerçekleşti” ifadeleri yer alıyor.
Carmichael, salgından bu yana daha fazla insanın evden çalıştığını ve çalışma ortamlarına erişmek için kişisel bilgisayarları kullandığını söyledi.
“Sistemlerde ticari ve kişisel kullanımı zaten harmanlamaya başladık ve bu, tehdit aktörlerinin daha az korunan altyapı aracılığıyla kurumsal kaynaklara erişmesine olanak sağladı” dedi.
Bir Snowflake sözcüsü CBC’nin yorum talebini reddetti.
Kanadalı şüphelinin kimliği belirlendi
Başlangıçta Snowflake soruşturmasında yer almasa da Birim 221B’nin baş araştırmacısı Alison Nixon, güvenlik şirketinin ilgisini çeken şeyin kendi organizasyonu içindeki araştırmacılara yönelik tehditler olduğunu söyledi.
Merkezi Amerika Birleşik Devletleri’nde bulunan Unit 221B, siber güvenlik danışmanlığı, tehdit istihbaratı ve siber suçluların tespiti konularında uzmanlaşmıştır.
“Gerçekten komik olan, Snowflake üzerinde çalışmayı hiç istememiş olmamızdı ama bir nedenden ötürü, Snowflake ile hiç konuşmadık. [username] Waifu kendini ikna etti [we were]Nixon açıkladı.
Çevrimiçi tehditlerin hedefi haline gelen güvenlik şirketi, bunu Operasyon Güvenliği’nde yayınlayan kişinin yaptığı kritik bir hatayı bulana kadar daha derine indi.
“OPSEC’i bulduk [operations security] Yaptığı hatayı ve neden soruşturmaya tabi tutulduğunu anlatıyoruz. Diğer yarısı ise ismi belirtilmeyen bazı ortaklardan oluşuyor.”
Nixon, hatayı tam olarak paylaşamasa da, hesabın arkasındaki kullanıcının daha sonra çeşitli platformlarda, kullanıcının kimliğinin açığa çıktığı gerçeğini telafi etmek amacıyla yanlış bilgiler yayınladığını söyledi.
Nixon, Mocha’nın tutuklandığı herkes tarafından öğrenildiğinde şirketin heyecanlandığını söyledi: “Bu büyük bir kazançtı.”