Hindistan Merkezli Bir Şirketin Küresel Siber Saldırı Operasyonları İçin Kiralandığı Ortaya Çıktı

Güvenlik uzmanları, Hindistan merkezli “az bilinen” bir bilişim teknolojileri (IT) şirketinin küresel siber saldırıların düzenlenmesine yönelik hizmet verdiğini ortaya çıkardı. Delhi merkezli BellTrox InfoTech adlı firmanın, son 7 sene içinde 6 kıtada yüksek mevkilere sahip binlerce kişinin yanı sıra yüzlerce şirkete siber saldırı düzenlediği tahmin ediliyor.

Toronto Üniversitesi Citizen Lab tarafından yayınlanan en son rapora göre, “Dark Basin” (Karanlık Havza) olarak da anılan BellTrox; yasal savunma grupları, üst düzey politikacılar, devlet yetkilileri, CEO’lar, gazeteciler ve insan hakları savunucularını hedef alan eylemler düzenledi. Raporda, birkaç yıla yayılan soruşturmanın sonucunda Dark Basin’in müşterileri adına casusluk eylemleri gerçekleştirdiği ve bunların üst seviye kamu etkinlikleri, suç dosyaları, finansal işlemler, haberler ve hukuksal süreçleri içerdiği belirtildi.

Citizen Lab, Dark Basin üzerindeki soruşturmanın 2017 yılında bir gazetecinin kendileri ile temasa geçmesinin ardından başladığını açıkladı. Gazeteci, açık kaynaklı Phurl URL kısaltma aracı kullanılarak gönderilen phishing (oltalama) amaçlı sayfalara yönlendirilmesinin ardından güvenlik uzmanları ile temas kurdu.

Oltalama saldırıları ön plandaydı

Analizler, Dark Basin’in hedefledikleri kişi veya kurumların e-posta adreslerine gönderilen 27 bin 591 oltalama bağlantısının aynı URL kısaltma aracı ile düzenlendiğini fark etti.

Saklı haldeki kısa kodları inceleyen güvenlik uzmanları, hedeflerin e-posta adreslerini içeren URL adreslerini deşifre etmeyi başardı. Siber korsanların, ‘kiralama karşılığında’ hizmet sunduğu anlaşıldı.

Öte yandan BellTrox’un sahibi Sumit Gupta’nın, 2015 yılnda ABD’nin California eyaletinde yine kiralama karşılığı siber saldırı düzenlemekten suçlandığı ortaya çıktı. Bu olaylar ile bağlantılı soruşturmada, iki özel dedektif pazarlama müdürlerine yönelik siber saldırı düzenlenmesi için Gupta’ya ödeme yaptıklarını kabul etti.

Citizen Lab, Dark Basin’in oltalama araçlarına ait kaynak kodlarını internette erişime hazır halde tuttuğunu, aynı zamanda oltalama sayfalarında toplanan tüm verilerin ve operasyon kayıtlarının da arşivlendiğini kaydetti. Yapılan analizler, BellTrox çalışanları ile Dark Basin operasyonlarının çakışmasıyla sonuçlandığında gerçekler ortaya çıktı.

Yatırım fonlarından bankalara ve finansal hizmetlerden ilaç şirketlerine kadar birçok sektörde üst düzey insanları hedef aldığı anlaşılan Dark Basin’in, ağırlıklı olarak “bir çıkar veya mevki kavgasında yer alan kişileri hedef aldığı” not düşüldü.