Siber güvenlik firması CYFIRMA’nın bir research report açıklaması, mesajlaşma platformu Telegram’ın çok çeşitli siber suç faaliyetleri için merkezi bir operasyonel ortam haline geldiğini söylüyor. Analize göre, tehdit aktörleri giderek daha fazla saldırıları koordine etmek, araçlar dağıtmak ve siber suç ekosisteminde yasa dışı hizmetleri teşvik etmek için Telegram kanalları, gruplar ve otomatik botlar kullanıyor.
Araştırmacılar, bu değişimi, siber suç topluluklarının çevrimiçi olarak kendilerini nasıl organize ettiğinde yapısal bir değişiklik olarak tanımlıyor. Tarihsel olarak, Tor ağlarında barındırılan darknet forumlarında birçok yasadışı faaliyet gerçekleşmiştir. Bu platformlar, erişim için teknik uzmanlık gerektiriyor ve işlemler için itibar sistemleri ile emanet mekanizmalarına güveniyordu. CYFIRMA’nın raporunda, Telegram’ın artık benzer işlevler sağladığını, giriş engellerini azalttığını ve aktörler arasında daha hızlı koordinasyonu mümkün kıldığını belirtmektedir.
Telegram’ın mimarisi, kullanıcıların dosyaları dağıtabilen, mesajları büyük kitlelere yayımlayabilen ve işlemleri gerçekleştirebilen kamu kanalları, özel gruplar ve otomatik botlar oluşturmasına olanak tanır. Siber suçlu grupları, operasyonları gerçek zamanlı koordine etmek ve bireysel kanallar kaldırılsa veya kesintiye uğradığında bile iletişimi sürdürmek için bu özellikleri kullanır. Yeni kanallar hızla oluşturulup davet bağlantıları aracılığıyla paylaşılabildiği için, gruplar kapatma veya kesintiler sonrası ağlarını hızla yeniden inşa edebiliyor.
CYFIRMA raporu, platformu kullanan birkaç tehdit aktör kategorisini belirliyor. Fidye yazılımı operatörleri, mağdurları listelemek, çalınan veri örneklerini yayınlamak ve ödeme için son tarihleri ilan etmek için kanallar kurmaktadır. Bu kanallar, şantaj müzakereleri sırasında hedef kuruluşlara baskı yapmak için uzlaşma kanıtı sunar. Bazı gruplar ayrıca Telegram’ı bağlı kuruluşları işe almak ve fidye yazılımı kampanyaları için gelir paylaşımı modellerinin reklamını yapmak amacıyla kullanıyor.
Siber suç ekosisteminin bir diğer önemli bileşeni olan ilk erişim aracıları da Telegram kanallarını tehlikeye girmiş ağları ve kimlik bilgilerini reklam etmek için kullanır. Listeler genellikle hedef kuruluşla ilgili sektör, gelir büyüklüğü, coğrafi konum ve ağ içindeki erişim ayrıcalıkları gibi detayları içerir. Alıcılar, bu teklifleri satın almadan önce değerlendirebilirler; bu erişim daha sonra fidye yazılımı veya veri hırsızlığı operasyonlarında kullanılabilecek bir erişimdir.
Kötü amaçlı yazılım geliştiricileri ve operatörleri ayrıca platformu araçlar ve hizmetler dağıtmak için kullanır. Kanallar, abonelik tabanlı modeller aracılığıyla bilgi çalan kötü amaçlı yazılımları, şifreleyicileri, oltalama kitlerini veya yükleyici çerçevelerini teşvik edebilir. Çoğu durumda, otomatik botlar müşteri etkileşimi, ödeme işlemleri ve kötü amaçlı yazılım sürümlerinin teslimatını yönetir. Bu hizmetler, meşru yazılım dağıtım sistemlerine benzer şekilde çalışır ancak yeraltı toplulukları içinde faaliyet gösterir.
Telegram ayrıca çalınan verileri dolaştırmak ve bilgileri ihlal etmek için de kullanılır. Veri sızıntısı kanalları, tüm veri setini yayınlamadan veya satmadan önce doğruluğunu göstermek için veritabanı veya kimlik kaydı dökümü örnekleri yayımlar. Platformun iletim ve yeniden paylaşım özellikleri, bu bilgilerin birden fazla kanal arasında hızla yayılmasını sağlar, bu da ihlallerin görünürlüğünü artırır ve kontrol çabalarını zorlaştırır.
Araştırmacılar, platformun erişilebilirliği ve gerçek zamanlı iletişim özelliklerinin, siber suç grupları tarafından benimsenmesine katkıda bulunduğunu söylüyor. Özel erişim araçları gerektiren geleneksel darknet forumlarının aksine, Telegram standart mobil veya masaüstü uygulamalarıyla erişilebilir ve bu da yeraltı ekonomisine giren katılımcılar için teknik engelleri azaltmaktadır.
Rapor, Telegram’ın artık modern siber suç faaliyetleri için merkezi bir operasyonel katman olarak hizmet verdiği sonucuna varıyor. İletişim, dağıtım, işe alım ve pazarlama fonksiyonlarını tek bir ortamda birleştirerek, platform tehdit aktörlerinin operasyonları daha verimli koordine etmesine ve faaliyetlerini küresel bir ağ boyunca ölçeklendirmesine olanak tanır.