Angelo Martino’nun işi şirketleri fidye yazılımı saldırılarından kurtarmaktı. ABD’de perakende, sağlık ve otelcilik sektöründeki şirketler, hackerlar tarafından şifrelenmiş sistemlerini geri almak için Martino’ya başvurdu. Martino onlar adına hackerlarla müzakere etti.

Ama Martino aslında hackerlarla işbirliği yapıyordu. Müşterilerinin müzakere pozisyonlarını, ne kadar ödemeye hazır olduklarını, ne kadar umutsuz olduklarını doğrudan suçlulara aktarıyordu. Amaç fidye ödemelerini maksimize etmek ve payını almaktı.

Bu hafta ABD Adalet Bakanlığı (DOJ) Martino’nun suçunu kabul ettiğini açıkladı. Dava “çığır açıcı” (groundbreaking) olarak tanımlanıyor. Ve siber güvenlik sektöründe ciddi bir hesaplaşma başlattı.

Ne Oldu?

Martino, Illinois merkezli DigitalMint adlı bir şirkette çalışıyordu. DigitalMint, fidye yazılımı saldırılarına maruz kalan şirketlere olay müdahalesi yapan ve bazı durumlarda fidye ödemelerini gerçekleştiren bir firma. Martino’nun görevi en hassas rollerden biriydi: fidye müzakerecisi. Hackerlarla doğrudan iletişim kuruyor, fiyatı düşürmeye çalışıyor, müşterisi adına pazarlık yapıyordu.

Ama Martino müşterileri için değil, müşterilerine karşı çalışıyordu. Büyük bir fidye yazılımı çetesine müşterilerinin müzakere pozisyonlarını aktardı. Hangi şirketin ne kadar ödeyebileceğini, ne kadar panik içinde olduğunu, fidye ödemeye ne kadar yakın olduğunu paylaştı. Çete bu bilgilerle fidye taleplerini yükseltti. Ve Martino komisyonunu aldı.

Martino tek başına değildi. Kevin Tyler Martin ve Ryan Clifford Goldberg adlı iki siber güvenlik uzmanı daha bu işin içindeydi. Üçü birlikte fidye yazılımı kurbanlarının bilgisayarlarına bizzat ransomware bile yüklediler. Korumakla görevli oldukları sistemlere saldırdılar.

Bir kurbanı 1.2 milyon dolar fidye ödemeye zorladıktan sonra Bitcoin ödemesini üçe böldüler.

25 Milyon Dolar ve Lüks Tekne

Mahkeme belgelerine göre Martino’nun hackerlarla işbirliği sayesinde çete, bir kar amacı gütmeyen kuruluştan ve bir finansal hizmetler firmasından toplamda en az 25 milyon dolar fidye aldı.

Martino bu süreçte en az 10 milyon dolarlık varlık biriktirdi. Lüks bir balıkçı teknesi ve iki gayrimenkul satın aldı. Bir fidye müzakerecisinin maaşıyla açıklanamayacak bir yaşam standardı. Ama kimse sormadı. Ta ki DOJ soruşturma başlatana kadar.

DOJ: Bu Dava Çığır Açıcı

Davayı yöneten üst düzey DOJ yetkilisi CNN’e verdiği röportajda bu davayı “groundbreaking” olarak tanımladı. Nedenini de açıkladı: bu dava, siber güvenlik sektöründe kimlerin fidye kurbanlarını korumak için para aldığı sorusunu gündeme getiriyor.

DOJ yetkilisi şunu da ekledi: “Yıllardır fidye yazılımı üzerinde çalışırken bu tür dedikoduları duyuyorduk. Sonunda böyle bir davayla karşılaşmak beni şaşırtmadı.”

Ve daha fazlası var. DOJ yetkilisi, siber güvenlik sektöründe “en az bir başka, bağımsız dolandırıcılık vakasını” daha incelediğini ve “önümüzdeki aylarda suçlamalar gelebileceğini” söyledi.

Yetkilinin ifadesi çarpıcı: “Bence dışarıda olan şey, sözde olay müdahale firmasının aslında hiçbir değer katmadığı ve kurbanı doğrudan dolandırdığı senaryo.”

Sektörün Kirli Sırrı

Fidye yazılımı müzakereciliği siber güvenliğin en hassas ve en az şeffaf alanlarından biri. Müzakereci, suçluyla müşteri arasında aracıdır. Her iki tarafın bilgilerine erişimi vardır. Ve çoğu zaman denetim minimumdur.

Coveware (şu anda Veeam bünyesinde) adlı bir olay müdahale firmasının yöneticisi Magnus Jelen durumu şöyle özetledi: “Fidye yazılımı aktörlerinin müzakere firmalarıyla doğrudan ilişki kurmaya çalışma geçmişi uzun ve iyi belgelenmiş. Bazı durumlarda, etik dışı aracıların fidye ödemelerinden kurbanın haberi olmadan kâr etmesine olanak tanıyan mekanizmalar bile geliştirdiler.”

Başka bir deyişle: hackerlar, müzakerecileri satın almaya çalışıyor. Ve Martino vakası bunun başarılı olduğunu gösteriyor.

DigitalMint’in Tepkisi

Martino ve Martin’in çalıştığı DigitalMint, DOJ’un suçlamalarını öğrendikten sonra ikisini derhal işten çıkardığını açıkladı.

Firma sözcüsü: “Hükümetin yazılı olarak ve mahkemede açıkça belirttiği ve Martino’nun yeminli ifadesinde kabul ettiği gibi, DigitalMint’in Martino’nun suç eylemlerinden hiçbir haberi yoktu.”

DigitalMint bu açıklamayı yapıyor ama soru şu: bir fidye müzakerecisinin 10 milyon dolarlık varlık biriktirmesi nasıl fark edilmedi? Lüks tekne, gayrimenkuller. Bir çalışanın yaşam standardındaki ani değişiklik, en temel iç tehdit göstergelerinden biri.

Daha Geniş Bağlam

FBI ve DOJ, siber güvenlik sektörüyle yıllardır yakın işbirliği içinde çalışıyor. Özel sektör uzmanlarının çoğu eski kolluk kuvveti mensupları. Birbirlerine istihbarat veriyorlar, notları karşılaştırıyorlar, hacker altyapılarını birlikte çökertiyorlar.

2019’da artan fidye yazılımı saldırıları ortasında FBI, ülkenin önde gelen özel sektör uzmanlarını kapalı kapılar ardında bir zirveye toplamıştı. Taze fikirler aramak için.

Yedi yıl sonra, Martino vakasının ardından DOJ şimdi “yuvarlak masa toplantıları veya diğer etkinlikler” düzenlemeyi planlıyor. Konu: siber güvenlik firmalarının kendi içlerindeki iç tehditleri nasıl önleyeceği.

İroni çarpıcı. Siber güvenlik firmaları başkalarını iç tehditlerden korumakla görevli. Ama kendi iç tehditlerini tespit edemiyor.

Türkiye Bağlamı

Türkiye’de fidye yazılımı saldırıları artıyor ama olay müdahale ve müzakere sektörü henüz ABD’deki kadar kurumsallaşmadı. Bu hem iyi hem kötü.

İyi tarafı: ABD’deki gibi kurumsallaşmış bir “fidye müzakerecisi” sektörü olmadığı için bu spesifik suistimal türü Türkiye’de henüz yaygın değil.

Kötü tarafı: Türk şirketleri fidye yazılımı saldırısına maruz kaldığında genellikle daha az seçeneğe sahip. Ve bazen aracılara başvuruyorlar. Bu aracıların kim olduğu, nasıl çalıştığı, hangi hackerlarla ilişkide olduğu denetlenmiyor.

Bankacılık sektöründe olay müdahale süreçleri daha yapılandırılmış olsa da Türkiye’deki KOBİ’ler ve orta ölçekli şirketler için fidye yazılımı müdahalesi genellikle “birini bul, hallettir” mantığıyla yürüyor. Ve bu ortamda bir Martino çıkması an meselesi.

Daha geniş bir perspektiften bakıldığında, Martino vakası evrensel bir soruya parmak basıyor: güvendiğiniz güvenlikçi sizi satarsa ne olur? Bu soru bankalar için de geçerli. Denetim firması, compliance danışmanı, siber güvenlik sağlayıcısı. Tüm bu üçüncü taraflar güven ilişkisi üzerine kurulu. Ve güven istismar edilebilir.

Sonuç

Angelo Martino, fidye yazılımı kurbanlarını korumak için para aldı. Sonra onları hackerlarla birlikte soydu. Lüks tekne aldı. Gayrimenkul aldı. 10 milyon dolarlık bir varlık portföyü oluşturdu.

Ve DOJ’un ifadesiyle bu izole bir vaka değil. Sektörde daha fazla dava gelebilir.

Martino vakası siber güvenlik sektörünün en karanlık köşesini aydınlatıyor. Fidye müzakerecileri, olay müdahale firmaları, güvenlik danışmanları. Hepsi hassas bilgilere erişiyor. Hepsi güven ilişkisi içinde çalışıyor. Ve bu güvenin istismar edildiğinde ortaya çıkan hasar, dışarıdan gelen herhangi bir saldırıdan daha büyük olabiliyor.

Çünkü düşmanınız kapıda değil. Masada oturuyor.