ABD Adalet Bakanlığı (DoJ), Rusya merkezli bir siber suç şebekesinin yöneticilerinden biri olan 40 yaşındaki Ilya Angelov’un (bilinen adlarıyla “Milan” ve “Okart”), iki yıl hapis ve 100.000 dolar para cezasına çarptırıldığını duyurdu. Angelov, 2017-2021 yılları arasında dünya genelinde pek çok siber güvenlik kuruluşu tarafından TA551 (ayrıca Gold Cabin, Monster Libra, Shathak gibi isimlerle de bilinir) olarak takip edilen grubu yönetmekle suçlanıyordu.

Operasyonun Temeli: Botnet ve İlk Erişim Hizmeti

Angelov ve ekibinin yürüttüğü faaliyetler, siber suç ekosisteminde “İlk Erişim Aracılığı” (Initial Access Broker – IAB) olarak adlandırılan stratejik bir noktada duruyordu. Grup, rastgele kullanıcılara veya şirket çalışanlarına gönderdikleri oltalama (phishing) e-postaları aracılığıyla bilgisayarları ele geçirerek devasa bir botnet (zombi bilgisayar ağı) oluşturdu.

Bu ağın çalışma mekanizması şu şekilde işliyordu:

• Kullanıcılara şifre korumalı arşivler içinde makro içeren Microsoft Word belgeleri gönderiliyordu.
• Bu belgeler açıldığında, sisteme MOUSEISLAND ve PHOTOLOADER gibi kötü amaçlı yazılımlar yükleniyordu.
• Kurulan bu “arka kapı” sayesinde, bilgisayarların kontrolü TA551 grubuna geçiyordu.

Suç Ortaklıkları ve Ekonomik Boyut

Angelov’un grubu, bu botnet ağını doğrudan kendisi kullanmak yerine, erişim haklarını diğer büyük fidye yazılımı (ransomware) çetelerine satarak gelir elde ediyordu. DoJ raporlarına göre bu iş birliklerinin bilançosu oldukça ağır:

1. BitPaymer Ortaklığı: 2018 ve 2019 yılları arasında grup, erişim sağladığı botneti BitPaymer çetesine kiraladı. Bu iş birliği sonucunda 72 ABD şirketi saldırıya uğradı ve toplamda 14,17 milyon dolardan fazla fidye ödemesi yapıldı.
2. IcedID ve Diğerleri: 2020 başında IcedID operatörleri, botnet erişimi için Angelov’un grubuna 1 milyon dolardan fazla ödeme gerçekleştirdi. Ayrıca grubun Conti ve Lockean gibi diğer tehlikeli fidye yazılımı gruplarıyla da çalıştığı tespit edildi.

Bu mahkumiyet kararı, uluslararası siber suçlarla mücadelede önemli bir adım olarak görülüyor. Angelov’un cezalandırılmasından sadece bir gün önce, başka bir Rus vatandaşı olan ve Yanluowang saldırılarında benzer bir “erişim sağlayıcı” rolü üstlenen Aleksei Olegovich Volkov’un da yaklaşık 7 yıl hapis cezası alması, kolluk kuvvetlerinin bu alandaki baskısını artırdığını gösteriyor.

Savcılık makamı, bu tür yapıların sadece bireyleri değil, doğrudan ülke ekonomisini ve şirketlerin güvenliğini hedef aldığını vurgulayarak; siber suçluların kullandığı yöntemler gelişse de takibatın kararlılıkla süreceğini belirtti.