ABD'nin Rus Kurşun Geçirmez Barındırma Hizmeti Operatörlerine Yönelik Suçlamaları: Teknik Analiz

ABD, Rus üç vatandaşı 'kurşun geçirmez barındırma' hizmeti sunmakla suçluyor. 62 milyon dolarlık zarara yol açan fidye yazılımlarına destek verdikleri iddia ediliyor.

I
ITWISE
0 görüntülenme
ABD'nin Rus Kurşun Geçirmez Barındırma Hizmeti Operatörlerine Yönelik Suçlamaları: Teknik Analiz

Giriş

ABD federal savcılık makamları, 2024 yılında Rus kökenli üç vatandaşı 'kurşun geçirmez barındırma' (BPH - Bulletproof Hosting) hizmeti sunmakla suçladı. Bu hizmetin, dünya genelinde 62 milyon doların üzerinde zarara neden olan fidye yazılımı (ransomware) çetelerine destek sağladığı iddia ediliyor. Kurşun geçirmez barındırma, siber suçluların yasal takipten kaçınmalarını kolaylaştıran, yüksek gizlilik ve dirençli altyapı sunan bir barındırma modelidir.

Sorun Tanımı

Kurşun Geçirmez Barındırma (BPH) Nedir?

Kurşun geçirmez barındırma, siber suç örgütlerinin faaliyetlerini gizlemek ve yasal takiplerden kaçınmak için tasarlanmış özel bir barındırma hizmetidir. Bu hizmetler genellikle:

  • Düşük Yasal Takip Riski: Sunucuların bulunduğu ülkelerin yasal sistemlerinde boşluklardan faydalanarak, kolluk kuvvetlerinin erişimini engeller.
  • Yüksek Dirençlilik: DDoS saldırılarına, yasal baskılara ve sunucu kapatma girişimlerine karşı dayanıklıdır.
  • Anonimlik: Müşteri verilerinin şifrelenmesi ve gizliliğin korunması için özel protokoller kullanır.
  • Hızlı Yeniden Dağıtım: Sunucuların kapatılması durumunda, yeni lokasyonlara hızlıca taşınabilir.

ABD Suçlamalarının Detayları:

Savcılık, üç Rus vatandaşını (ismi açıklanmadı) aşağıdaki suçlamalarla itham ediyor:

  1. Fidye Yazılımı Destekleme: BPH hizmeti sunarak, LockBit, REvil ve diğer fidye yazılımı gruplarına altyapı sağladıkları iddia ediliyor.
  2. Büyük Ölçekli Zarar: Bu hizmetlerin, dünya genelinde 62 milyon doların üzerinde maddi zarara neden olduğu belirtiliyor.
  3. Uluslararası Suç Örgütü İlişkisi: Kurşun geçirmez barındırma hizmetlerinin, siber suç örgütleriyle doğrudan bağlantılı olduğu ifade ediliyor.

Çözüm Adımları: Kurşun Geçirmez Barındırmanın Engellenmesi

Kurşun geçirmez barındırma hizmetlerinin tespiti ve engellenmesi, siber güvenlik ekipleri için önemli bir zorluktur. Aşağıda, bu tür hizmetlerin tespiti ve mücadele edilmesi için izlenebilecek adımlar detaylandırılmıştır.

Adım 1: Ağ Trafiğinin İzlenmesi ve Analizi

Hedef: Kurşun geçirmez barındırma sunucularına yapılan bağlantıları tespit etmek.

Uygulama:

  1. Güvenlik Duvarı Loglarının İncelenmesi:
    # Güvenlik duvarı loglarının analiz edilmesi için Splunk gibi araçlar kullanılabilir.
    index=firewall action=allowed src_ip= | stats count by dest_ip, dest_port
    

    Not: Güvenlik duvarı loglarında, yüksek riskli IP adresleriyle (örneğin, bilinen BPH sağlayıcıları) yapılan bağlantılar araştırılmalıdır.

  2. IDS/IPS Uyarılarının Kontrolü:
    # Suricata veya Snort gibi IDS/IPS sistemleriyle, BPH sunucularına ait IP'lerden gelen saldırılar tespit edilebilir.
    suricata -r /var/log/suricata/fast.log | grep -i "bulletproof hosting"
    

Adım 2: IP Adresi ve Alan Adı Araştırması

Hedef: Bilinen kurşun geçirmez barındırma sağlayıcılarının IP'leri ve alan adlarını tespit etmek.

Uygulama:

  1. Threat Intelligence Platformları Kullanımı:

    MISP, AlienVault OTX veya VirusTotal gibi platformlar, BPH sağlayıcılarına ait IP'leri ve alan adlarını içeren tehdit istihbaratı verilerini sağlar.

    # VirusTotal API kullanarak bir IP adresinin itibarını kontrol etme
    curl -s "https://www.virustotal.com/api/v3/ip_addresses/" -H "x-apikey: "
    
  2. WHOIS ve DNS Araştırması:
    # WHOIS sorgusu ile IP adresinin sahibi ve kayıt bilgileri elde edilir.
    whois 
    
    # DNS kayıtlarının incelenmesi
    nslookup 
    dig  ANY
    

    Uyarı: Kurşun geçirmez barındırma sağlayıcıları genellikle sahte WHOIS bilgileri kullanır. Bu nedenle, WHOIS verilerinin doğruluğu dikkatlice incelenmelidir.

Adım 3: Sunucu ve Hizmetlerin Engellenmesi

Hedef: Tespit edilen BPH sunucularına erişimin engellenmesi.

Uygulama:

  1. Güvenlik Duvarı Kuralları Oluşturma:
    # Cisco ASA güvenlik duvarında IP engelleme
    access-list BLOCK_BPH extended deny ip host  any
    access-group BLOCK_BPH in interface outside
    
    # Linux iptables kullanarak IP engelleme
    iptables -A INPUT -s  -j DROP
    iptables -A FORWARD -s  -j DROP
    

    Not: Engellenen IP'lerin periyodik olarak güncellenmesi gerekmektedir, çünkü BPH sağlayıcıları sık sık IP'lerini değiştirir.

  2. DNS Tabanlı Engelleme:
    # DNS sinkhole kullanarak BPH alan adlarının çözülmesini engelleme
    # /etc/hosts dosyasına BPH alan adlarını ekleyerek yerel olarak engelleyebilirsiniz.
    127.0.0.1 malicious-bph-domain.com
    
    # Veya DNS sunucusunda bloklama
    # Bind9 kullanarak zone dosyasına BPH alan adlarını ekleyin.
    

Adım 4: Yasal ve Operasyonel İşbirliği

Hedef: Kurşun geçirmez barındırma hizmetlerinin yasal yollarla kapatılması.

Uygulama:

  1. Uluslararası Kolluk Kuvvetleriyle İşbirliği:

    ABD Adalet Bakanlığı, Europol ve diğer uluslararası kuruluşlarla koordineli çalışarak, BPH sağlayıcılarının izini sürmek ve hizmetlerini durdurmak.

    Kaynaklar:

  2. ISP'lerle İşbirliği:

    BPH hizmeti sunan ISP'lerin tespit edilmesi ve yasal baskı uygulanması. Bu, genellikle yasal süreçlerle ve uluslararası anlaşmalarla gerçekleştirilir.

    Örnek: ABD, 2021 yılında REvil fidye yazılımı grubuna destek veren bir Rus ISP'sini kapatmıştı.

İpuçları ve Uyarılar

⚠️ Dikkat Edilmesi Gerekenler:

  • BPH Sağlayıcıları Sürekli Değişiyor: Bu hizmetler, yasal baskılardan kaçınmak için sık sık IP'lerini ve alan adlarını değiştirir. Bu nedenle, tehdit istihbaratı verilerinin sürekli güncellenmesi gerekmektedir.
  • Yanlış Pozitifler: Bazı meşru hizmetler (örneğin, VPN sağlayıcıları) BPH sağlayıcılarıyla aynı IP'leri kullanabilir. Bu nedenle, engelleme kararları dikkatlice verilmelidir.
  • Yasal Riskler: Kurşun geçirmez barındırma hizmetlerini engellerken, yanlışlıkla meşru kullanıcıları da engellememek için yasal danışmanlık alınması önerilir.
  • Siber Güvenlik Ekiplerinin Eğitimi: Kurşun geçirmez barındırma hizmetlerinin tespiti ve engellenmesi konusunda siber güvenlik ekiplerinin sürekli eğitilmesi gerekmektedir.

Sonuç

ABD'nin Rus kurşun geçirmez barındırma hizmeti operatörlerine yönelik suçlamaları, siber suç örgütleriyle mücadelede yeni bir aşamayı temsil ediyor. Bu tür hizmetlerin tespiti ve engellenmesi, siber güvenlik ekipleri için sürekli bir zorluk olmaya devam edecektir. Yukarıda belirtilen adımların uygulanması, BPH hizmetlerinin tespiti ve engellenmesi konusunda önemli bir başlangıç noktası oluşturacaktır. Ayrıca, uluslararası işbirliği ve yasal baskı, siber suç örgütlerinin altyapılarını zayıflatmada kritik rol oynayacaktır.

Siber güvenlik profesyonellerinin, tehdit istihbaratı verilerini sürekli olarak güncellemeleri ve en iyi uygulamaları takip etmeleri, bu tür tehditlere karşı daha etkili bir savunma oluşturmalarına yardımcı olacaktır.

Ek Kaynaklar