Archive LiveRead-only public record · No ads · No tracking
CASE / TR / KEITARO TDS EXPOSED
[REDACTED] TDS'nin Gerçeği: Trafik Dağıtımı
The Enablers Registry·Editorial mirror·/tr/keitaro-tds-exposed
Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.
Hiç görmediğiniz her dolandırıcılığın ardındaki gizleme motoru. THE ENABLERS REGISTRY, 50.000’den fazla siteyi taradı, 1.565 [REDACTED] TDS yönetici paneli tespit etti ve tek bir meşru kullanım örneği bile bulamadı. Her bir panel, kripto dolandırıcılığı, kimlik avı, kötü amaçlı yazılım dağıtımı ya da daha kötü faaliyetlerle bağlantılıydı. Müşteriler arasında EvilCorp, LockBit fidye yazılımı ve VexTrio yer alıyor. Açık kaynaklı tespit araç seti, 7 maddelik metodoloji ve tam panel CSV dosyası şimdi yayınlandı.
[REDACTED] TDS, şu şirket tarafından satılan ticari bir Trafik Dağıtım Sistemidir: Apliteni OU, şu ülkede kurulmuş bir şirket: Estonya. Görünüşte, bu platform kendini bağlı pazarlamacılar için bir trafik yönetimi aracı olarak tanıtmaktadır. Oysa gerçekte, küresel dolandırıcılık ekosisteminde en yaygın şekilde kullanılan tek gizleme motorudur.
Gizleme, farklı ziyaretçilere farklı içerik gösterme sanatıdır. Bir güvenlik araştırmacısı, reklam denetçisi veya kolluk görevlisi bir URL’yi ziyaret ettiğinde, [REDACTED] bu kişileri tespit eder ve onlara temiz, zararsız bir sayfa sunar. Gerçek bir kurban aynı URL'yi ziyaret ettiğinde ise kripto dolandırıcılığına, kimlik avı sayfalarına, kötü amaçlı yazılım indirme sayfalarına veya sahte e-ticaret sitelerine yönlendirilir. Kurban, temiz sürümü asla görmez. Analist ise dolandırıcılığı asla görmez.
[REDACTED]'nun fiyatları şu aralıkta değişmektedir: Ayda 40 € ile 400 € arası, onu kurumsal düzeyde bir dolandırıcılık önleme altyapısı olarak konumlandırıyor. Ziyaretçi verilerini en fazla 9,75 yıl, operatörlere mağdurların parmak izleri, coğrafi veriler ve davranış profillerinden oluşan devasa bir veri seti sunuyor. Tüm bu veriler AWS altyapısı, yani Amazon, farkında olmadan binlerce dolandırıcılık operasyonunun arka planını barındırıyor.
Paravan Şirket
Apliteni OU Estonya'dan faaliyet göstermekte olup, ülkenin e-Yurttaşlık programından ve kurumsal gizlilik konusunda elverişli yasal düzenlemelerden yararlanmaktadır. Şirket, profesyonel pazarlama, belgeleme ve müşteri desteği yoluyla meşru bir görünüm sergiliyor; ancak ürünlerinin ölçülebilir her kullanımı suç faaliyetleriyle bağlantılıdır. Neredeyse on yıllık veri saklama süresine sahip, fiilen bir “dolandırıcılık hizmeti” platformu olan bu hizmet için aylık 40–400 € ücret talep ediyorlar.
Rakamlar: 1.565 panel, sıfır geçerli
THE ENABLERS REGISTRY’un araştırması basit bir hipotezle başladı: [REDACTED] TDS’nin meşru kullanım alanları varsa, bunları geniş ölçekte tespit etmemiz gerekir. Tarama yaptık 50.000'den fazla site otomatik araçlar ile manuel doğrulamayı bir arada kullanarak, özellikle [REDACTED] TDS’ye ait izleri araştırdık. Elde ettiğimiz sonuçlar son derece netti.
1.565 aktif [REDACTED] yönetici paneli keşfedildi. Her birini tek tek inceledik. Sonuç: hiçbir meşru dağıtım yok. Hiçbir panel, yasal ortaklık pazarlaması, A/B testi ya da başka herhangi bir zararsız amaç için kullanılmıyordu. Her panel — %100 — suç faaliyetleriyle bağlantılıydı.
1,565
Etkin Paneller
100%
Kötü Amaçlı Oranı
50.000+
Taranan Siteler
9,75 yıl
Maksimum Veri Saklama Süresi
İstismar Kategorilerinin Dağılımı
1.565 panel, altı ana suistimal kategorisine dağıtıldı. Birçok panel, [REDACTED]’nun trafik yönlendirme sistemini kullanarak kurbanları coğrafi konuma, cihaza veya günün saatine göre farklı dolandırıcılık türlerine yönlendirerek aynı anda birden fazla kategoriye hizmet verdi.
Aşk dolandırıcılığı, cinsel şantaj amaçlı açılış sayfaları, sahte profiller
Kumar Dolandırıcılığı
Ruhsatsız kumarhaneler, hileli bahis platformları, para yatırma hırsızlığı
Metodoloji Notu
Her bir panel, sınıflandırılmadan önce en az iki bağımsız tespit yöntemi ile doğrulanmıştır. Yanlış pozitif sonuçlar manuel olarak incelenmiş ve hariç tutulmuştur. 1.565 rakamı, yalnızca teyit edilmiş, aktif [REDACTED] kurulumlarını temsil etmektedir — ek koruma katmanlarının arkasında bulunanlar da dahil olmak üzere gerçek kurulum sayısı kesinlikle daha yüksektir.
Ceza Davası Müvekkillerinin Adlarının Okunması
[REDACTED] TDS sadece küçük çaplı dolandırıcılar tarafından kullanılmıyor. Bu sistem, dünyadaki en tehlikeli siber suç örgütlerinden bazılarının tercih ettiği gizleme altyapısıdır. İşte belgelenmiş müşterileri:
EvilCorp
Yaptırım uygulanan Rus siber suç örgütü, uluslararası yaptırımları aşmak için [REDACTED]’yu kullanıyor. EvilCorp, faaliyetlerini [REDACTED]’nun trafik dağıtımının arkasına gizleyerek, kendilerini durdurmak için tasarlanmış güvenlik kontrollerinden kaçınıyor. [REDACTED] üzerinden yönlendirilen her tıklama, Apliteni OU’nun yazılımı sayesinde mümkün hale gelen bir yaptırım ihlalidir.
LockBit Fidye Yazılımı
LockBit fidye yazılımı grubu, kötü amaçlı yazılım dağıtımı için [REDACTED]’yu kullandı ve gizleme özelliklerinden yararlanarak, yalnızca gerçek hedeflerin fidye yazılımı yüklerini almasını sağlarken, güvenlik sanal ortamları ve araştırmacıların ise zararsız içerik görmesini sağladı. [REDACTED], tarihin en yıkıcı fidye yazılımı operasyonlarından birinde etki çarpanı olarak işlev gördü.
VexTrio
Bilinen en büyük [REDACTED] müşterisi. VexTrio, şu şekilde faaliyet göstermektedir: 60'tan fazla iş ortağı ve denetimler 86.832'den fazla alan adı, hepsi de trafiği [REDACTED]’nun dağıtım motoru üzerinden yönlendiriyor. Bu tek operasyon, internet üzerindeki kötü amaçlı reklam trafiğinin çok büyük bir kısmını oluşturuyor ve [REDACTED], bu trafiği görünmez kılan omurga görevi görüyor.
ClearFake
ClearFake, ele geçirilmiş web sitelerine sahte tarayıcı güncelleme uyarıları ekleyerek, kurbanlar “Güncelle” düğmesine tıkladıklarında kötü amaçlı yazılımı yükler. [REDACTED]’nun gizleme özelliği, yalnızca gerçek ziyaretçilerin bu zararlı üst katmanı görmesini sağlarken, güvenlik tarayıcıları orijinal ve temiz web sitesini görür. Sonuç: tespit oranı neredeyse sıfır olan kötü amaçlı yazılım dağıtımı.
FakeBat
FakeBat, kötü amaçlı reklam kampanyaları yoluyla yayılan bir kötü amaçlı yazılım yükleyicisidir. [REDACTED], reklam trafiğini bir karar motoru üzerinden yönlendirir: güvenlik araçları meşru yazılım indirme sayfalarına yönlendirilirken, gerçek kullanıcılara trojan bulaştırılmış yükleyiciler sunulur. [REDACTED], FakeBat’ın kötü amaçlı reklam kampanyalarını reklam platformlarının güvenlik ekipleri için neredeyse görünmez hale getirir.
Doppelganger
[REDACTED]'yu kullanarak Batı sosyal medya platformlarında propaganda yaymaya yönelik, Rus devletiyle bağlantılı bir dezenformasyon kampanyası. [REDACTED]'nun coğrafi ve cihaz parmak izi teknolojisi, içerik denetçileri ile doğrulama uzmanlarının hedef kitleden farklı içerikler görmesini sağlıyor. Estonya menşeli ticari bir yazılımla desteklenen bilgi savaşı.
"Son 18 ayda soruşturduğumuz her büyük siber suç operasyonunda [REDACTED]’nun izlerini bulduk. Bu bir tesadüf değil — suçlular için sektör standardıdır."
Bu araştırma süresince THE ENABLERS REGISTRY, [REDACTED] TDS kurulumlarını tespit etmek için yedi farklı yöntem geliştirdi. Her yöntem, [REDACTED]’nun geride bıraktığı farklı bir izi hedef almaktadır ve bu yöntemler bir araya gelerek, artık açık kaynaklı araçlar olarak kullanıma sunulan kapsamlı bir tespit çerçevesi oluşturmaktadır.
1. /click_api/v3 Uç nokta
[REDACTED]'nun tıklama olaylarını işlemek için kullandığı temel API uç noktası. Bu yol, yazılıma sabit olarak kodlanmıştır ve her kurulumda mevcuttur. Bu uç noktasını kontrol etmek, bir [REDACTED] kurulumunu doğrulamanın en hızlı yoludur. Bu yolda alınan 200 veya 302 yanıtı, neredeyse kesin bir şekilde olumlu bir tanımlama anlamına gelir.
2. _lp / _token / _subid URL Parametreleri
[REDACTED], yönlendirme zincirleri sırasında URL’lere kendine özgü izleme parametreleri ekler. Bu _lp Bu parametre açılış sayfasını tanımlar, _token oturum kimlik doğrulamasını sağlar ve _subid alt iş ortağı kaynaklarını izler. Bu parametreler [REDACTED]’ya özgüdür ve meşru trafik yönetim sistemlerinde nadiren görülür.
[REDACTED], ziyaretçi oturumlarını izlemek ve gizleme durumunu korumak için kendine özgü çerezler yerleştirir. Bu çerezler, standart analiz platformlarından farklı adlandırma kurallarına uyar; bu sayede tarayıcı incelemesi veya otomatik çerez analizi yoluyla tespit edilebilirler.
4. Yanıt Başlık Kalıpları
[REDACTED] sunucusunun yanıtları, belirli cache-control yönergeleri, özel başlıklar ve standart web sunucularından farklı olan sunucu tanımlama dizeleri dahil olmak üzere kendine özgü HTTP başlık kalıpları içerir. Bu başlıklar, operatörler kurulumlarını özelleştirmeye çalıştıklarında bile devam eder.
5. JavaScript Yönlendirme Zincirleri
[REDACTED], dolandırıcılık sayfasını mı yoksa güvenli sayfayı mı göstereceğine karar vermeden önce ziyaretçilerin parmak izlerini değerlendirmek üzere çok aşamalı JavaScript yönlendirmeleri kullanır. Bu yönlendirme zincirleri, statik ve dinamik JavaScript analizi yoluyla tespit edilebilen öngörülebilir kalıplar — belirli değişken adları, zamanlama dizileri ve değerlendirme mantığı — izler.
Dünya ısı haritası: Dünya genelinde 1.565 [REDACTED] TDS paneli tespit edildi, 0 meşru kullanım tespit edildi
6. Etki Alanı Desen Analizi
[REDACTED] operatörleri, genellikle öngörülebilir adlandırma kuralları ve kayıt kalıpları doğrultusunda alan adlarını kaydettirme eğilimindedir. Toplu alan adı analizi, benzer WHOIS verilerine, kayıt tarihlerine, ad sunucusu yapılandırmalarına ve barındırma sağlayıcılarına sahip alan adı kümelerini ortaya çıkarmaktadır; bunların tümü, koordineli [REDACTED] dağıtımlarına işaret etmektedir.
7. Yönetici Paneli Parmak İzi Tanımlama
[REDACTED] yönetim panellerine bilinen yollardan erişilebilir ve bu paneller kendine özgü HTML yapıları, CSS sınıf adları ve JavaScript dosyaları döndürür. Operatörler varsayılan oturum açma URL’sini değiştirse bile, panelin ön uç çerçevesi, yol sayımı ve içerik parmak izi analizi yoluyla tespit edilebilen tanımlanabilir izler bırakır.
Kademeli Savunma
Hiçbir tekil tespit yöntemi kusursuz değildir. Tecrübeli operatörler, tek tek parmak izlerini devre dışı bırakabilir veya değiştirebilir. Bu nedenle 7 aşamalı metodoloji, katmanlı bir sistem olarak işler — bir operatör üç ya da dört imzayı ortadan kaldırsa bile, geri kalan yöntemler yine de dağıtımı tespit edecektir. Yaptığımız testlerde, her bir [REDACTED] paneli yedi yöntemden en az dördü tarafından tespit edilebildi.
Küresel Altyapı Haritası
1.565 adet [REDACTED] paneli, ucuz VPS sağlayıcılarını ve kötüye kullanım bildirimlerine yanıt sürelerinin uzun olduğu yargı bölgelerini tercih eden küresel bir barındırma altyapısı üzerinde dağıtılmıştır. Panellerin bulunduğu yerler şunlardır:
Bölge
Barındırma Sağlayıcıları
Notlar
Amerika Birleşik Devletleri
DigitalOcean, Vultr
En yoğun panel dağılımı. ABD merkezli barındırma hizmeti, Kuzey Amerikalı mağdurlara hızlı yanıt süreleri sunar.
Hollanda
Çeşitli VPS'ler
Avrupa’yı hedefleyen kampanyalar için popülerdir. Esnek barındırma politikaları.
Almanya
Hetzner, çeşitli
AB’yi hedef alan kimlik avı ve e-ticaret dolandırıcılığı operasyonlarının başlıca Hub’ı.
Rusya
Çeşitli kurşun geçirmez
Birçok operatörün ana üssü. Kötüye kullanımla ilgili hiçbir yaptırım uygulamayan barındırma sağlayıcıları.
Birleşik Krallık
Çeşitli bulutlar
Birleşik Krallık’taki finans kurumlarını ve devlet hizmetlerini hedef almak için kullanılır.
Hong Kong
Femo kümesi
Asya’yı hedef alan kripto dolandırıcılıklarıyla bağlantılı, kendine özgü bir panel kümesi. “Femo kümesi”, koordineli bir grup olarak faaliyet göstermektedir.
ABD’nin Hakimiyeti
[REDACTED] panellerinin en yoğun olduğu ülke Amerika Birleşik Devletleri’dir; bunlar ağırlıklı olarak DigitalOcean ve Vultr üzerinde yer almaktadır. Bu iki şirket, kötüye kullanım bildirimlerini işleyen yaygın bulut hizmet sağlayıcılarıdır; ancak dağıtımların hacmi ve operatörlerin yeni örnekleri devreye alma hızı nedeniyle, kötüye kullanımla mücadele ekipleri sürekli olarak geride kalmaktadır.
Femo Kümesi
Hong Kong altyapısı üzerinden faaliyet gösteren ve kripto para dolandırıcılığı ile kumar dolandırıcılığı yoluyla Asya pazarlarını hedef alan, kendine özgü bir [REDACTED] paneli kümesi. “Femo kümesi”, tek bir operatörün ya da organize bir grubun düzinelerce paneli aynı anda yönettiğini düşündüren koordineli dağıtım kalıpları sergilemektedir.
AWS Arka Ucu
Ön uç panellerinin nerede barındırıldığına bakılmaksızın, [REDACTED]’nun temel veri depolama sistemi şu platformda çalışır: Amazon Web Hizmetleri (AWS). Bu, potansiyel olarak milyonlarca dolandırıcılık mağduruna ait ziyaretçi parmak izleri, yönlendirme günlükleri ve hedefleme verilerinin Amazon altyapısında depolandığı anlamına geliyor. Verileri 9,75 yıla kadar saklayan AWS, mevcut en büyük dolandırıcılık mağdurları veritabanlarından birine ev sahipliği yapıyor.
Açık Kaynaklı Araçlar Yayınlandı
Bu araştırmanın yanı sıra, THE ENABLERS REGISTRY eksiksiz bir açık kaynaklı tespit araç seti yayınlıyor. Her araç ücretsizdir, API anahtarı gerektirmez ve hemen kullanıma alınabilir. 1.565 panelden oluşan tam veri kümesi de dahil edilmiştir.
Tüm araçlar, veriler ve kanıtlar şu adreste yayınlanmaktadır: enablers.report/ScamIntelLogs/[REDACTED]/. Bu veri havuzu herkese açıktır ve yeni paneller keşfedildikçe güncellenecektir. Topluluktan gelecek katkılar ve ek tespit yöntemleri memnuniyetle karşılanacaktır.
Tespit Et, Bildir, Ortadan Kaldır
[REDACTED] TDS panellerini nasıl tespit ettik — parmak izi belirleme yöntemi [REDACTED] TDS trafik akışı — kötü niyetli panellerin kurbanları nasıl başka adreslere yönlendirdiği
[REDACTED] TDS, dolandırıcılık faaliyetlerini ayakta tutan görünmez altyapıdır. Bildirdiğiniz her panel, yaptığınız her tespit ve paylaştığınız her veri kümesi, bu ekosistemin ortadan kaldırılmasına katkıda bulunur. Araçları kullanın. Verileri paylaşın. Bulduklarınızı bildirin.