Microsoft (Dijital Suçlarla Mücadele Birimi – DCU), ABD Adalet Bakanlığı ve Europol ile iş birliği yaparak, kötü amaçlı yazılım hizmeti (MaaS) platformu olan Lumma Stealer ağını etkisiz hale getirdi. 13 Mayıs Salı günü, Microsoft’un DCU birimi, siber tehdit aktörleri tarafından yaygın olarak kullanılan bilgi çalma aracı Lumma Stealer hakkında yasal işlem başlattı.
Microsoft’un açıklamalarına göre, son bir yıl içinde 394.000‘den fazla cihaza bulaşan bu kötü amaçlı yazılım, siber suçluların oturum açma bilgileri ve kripto para cüzdanları gibi hassas finansal verileri çalmak amacıyla tercih ettiği bir araç haline gelmişti. Okul, hastane ve altyapı sağlayıcılarına yönelik şantaj kampanyalarında da sıkça kullanıldığı belirlendi. DOJ’nun internet sitesinde yer alan bilgilere göre, FBI, LummaC2’nin bu tür bilgileri çaldığı en az 1,7 milyon vaka tespit etti.
ABD Georgia Kuzey Bölge Mahkemesi’nden alınan bir kararla, Microsoft, Lumma’nın altyapısıyla ilişkili yaklaşık 2.300 kötü amaçlı alan adını devre dışı bıraktı.
Lumma Stealer Yazılımı Nedir?
Lumma, şifreler, kredi kartı bilgileri, banka hesapları ve kripto para cüzdanlarını çalan bir kötü amaçlı yazılım olarak dikkat çekiyor. Bu yazılım, suçluların okulları fidye için hedef almasına, banka hesaplarını boşaltmasına ve kritik hizmetleri aksatmasına olanak tanıyor.
Kullanımı kolay bir şekilde tasarlanan Lumma, antivirüs yazılımlarını atlatmak için gizleme (obfuscation) araçlarıyla birlikte sunuluyor. Yayılma yöntemleri arasında hedefli oltalama (spear-phishing) e-postaları, sahte web siteleri ve zararlı reklamlar (malvertising) yer alıyor.
Siber güvenlik uzmanlarına göre, Lumma’nın bu denli tehlikeli olmasının sebebi, suçluların saldırıları hızlı bir şekilde ölçeklendirebilme yeteneğidir. Yazılımı satın alan kişiler, yükleri özelleştirmenin yanı sıra, çalınan verileri takip edebilir ve özel bir kullanıcı paneli üzerinden “müşteri hizmetleri” desteği alabilir. Microsoft Threat Intelligence, Lumma’nın kötü şöhretli Octo Tempest çetesi ile bağlantılı olduğunu daha önce kamuoyuna duyurmuştu. Yılın başında düzenlenen bir oltalama saldırısında, siber suçlular Booking.com’u taklit ederek Lumma aracılığıyla kurbanların finansal bilgilerini ele geçirmeyi başardı.
Lumma Stealer Kim Tarafından Yönetiliyor?
Lumma (LummaC2 olarak da bilinir), en az 2022 yılından bu yana aktif olan, bilgi hırsızlığına odaklı bir kötü amaçlı yazılım olarak dikkat çekmektedir. Yazılım genellikle Telegram grupları ve kapalı forumlar aracılığıyla satılmaktadır.
Lumma’nın başlıca geliştiricisi Rusya’da yer almakta olup internet takma adı “Shamel” olarak bilinmektedir. Shamel, Lumma için farklı hizmet seviyelerini Telegram ve diğer Rusça sohbet forumları üzerinden pazarlamaktadır.
Kasım 2023’te siber güvenlik araştırmacısı “g0njxa” ile yapılan bir röportajda, Shamel “yaklaşık 400 aktif müşterim var” demiştir. Siber suçun kurumsal iş uygulamalarını benimsemesinin bir göstergesi olarak, Lumma markasını etkili bir şekilde oluşturmayı başarmış; ürününü pazarlamak için özgün bir kuş logosu kullanmış ve bunu “barış, hafiflik ve huzurun” sembolü olarak tanımlamıştır. Ayrıca “bizimle para kazanmak da aynı derecede kolay” sloganını eklemiştir.
Operasyon Sonucu Ne Oldu? Yazılım Ortadan Kaldırıldı Mı?
Bu operasyon önemli bir darbe olsa da, uzmanlar Lumma gibi araçların nadiren tamamen yok edildiğini belirtmektedir. Ancak Microsoft ve Adalet Bakanlığı, bu tür müdahalelerin suç şebekelerini ciddi şekilde sekteye uğrattığını ve altyapı ile gelir kaynaklarını keserek faaliyetlerini zorlaştırdığını vurguluyor.
Bu durum, siber suçlarla mücadelede uluslararası iş birliğinin ne denli hayati olduğunu bir kez daha gözler önüne seriyor. Adalet Bakanlığı yetkilileri, kamu-özel sektör ortaklıklarının önemine dikkat çekerken, FBI yetkilileri de mahkeme onaylı müdahalelerin hükümetin siber güvenlik stratejisinde kritik bir araç olmaya devam ettiğini belirtti.
Microsoft’un Dijital Suçlarla Mücadele Birimi’nin sürdürdüğü çalışmalar, Lumma’ya karşı yürütülen operasyonla birlikte, kamu ve özel sektörün iş birliği halinde siber tehditlere karşı nasıl somut ve etkili sonuçlar elde edebileceğini net bir biçimde ortaya koymaktadır. Bu tür kötü niyetli yapıların birer birer ortaya çıkarılıp etkisiz hale getirilmesiyle birlikte, bireylerin kendilerini korumak adına şifrelerini sık sık değiştirmesi ve tanımadıkları kişilerden gelen bağlantılara tıklamaktan kaçınması büyük önem taşımaktadır.
