Wir haben Anzeigen, Beiträge und Interaktionen in türkischsprachigen Hacking- und Cybercrime-Foren analysiert, um die Fähigkeiten, die Kultur und die Organisation dieser Communities zu untersuchen. Dieser Bericht ist eine Fortsetzung unserer früheren Berichterstattung über den Zustand des türkischsprachigen Dark Web als Teil einer Serie, in der wir cyberkriminelle Gemeinschaften in Brasilien, Russland und China, Japan und Iran. Es wird von größtem Interesse für Organisationen und geopolitische Analysten sein, die den cyberkriminellen Untergrund verstehen wollen, um sicherheitsrelevante Bedrohungen besser überwachen zu können, sowie für diejenigen, die den türkischsprachigen Untergrund erforschen.

Executive Summary

Die zunehmend instabile Finanzlage der Türkei mit Rekordinflationsraten und einem rapiden Wertverlust der türkischen Lira bietet jungen, benachteiligten Menschen die Möglichkeit, sich Untergrundgemeinschaften anzuschließen und sich stärker an cyberkriminellen Aktivitäten zu beteiligen. Wir haben herausgefunden, dass patriotische Hackerkollektive in der Türkei ihre Defacement-Operationen fortsetzen und mindestens eine Bedrohungsgruppe an noch ausgefeilteren Hackeraktivitäten arbeitet. Türkischsprachige Cyberkriminelle sind in englisch- und russischsprachigen Foren aktiv, wo sie kompromittierte Daten türkischer Unternehmen teilen und verkaufen. Bei unseren Untersuchungen haben wir mindestens drei türkischsprachige Ransomware-Gruppen identifiziert und eine YARA-Regel zur Erkennung von TurkStatik Ransomware entwickelt.

Angesichts der zunehmenden Verbreitung von Ransomware-as-a-Service-Modellen (RaaS) und der daraus resultierenden Senkung der Eintrittsbarrieren in den Ransomware-Bereich erwarten wir einen Anstieg der Anzahl türkischsprachiger Ransomware-Gruppen. Da sie einen Eckpfeiler der türkischen Untergrund-Community darstellen, erwarten wir, dass patriotische Hackerkollektive ihre Aktivitäten fortsetzen.

Wichtige Urteile

• Türkische patriotische Hacker setzen ihre Entstellungsoperationen fort und zielen dabei auf Länder ab, die sie als „Feinde“ der Türkei betrachten. In einigen Fällen zielen sie darauf ab, die Komplexität ihrer Aktivitäten zu steigern, darunter die Weitergabe vertraulicher Daten und der Aufbau eines Hacktivisten-Botnetzes.
• Türkischsprachige, finanziell motivierte Bedrohungsakteure machen in beliebten globalen Foren Werbung für ihre Dienste, Methoden und gestohlenen Daten, um der Aufmerksamkeit der türkischen Strafverfolgungsbehörden zu entgehen und ein größeres Publikum anzusprechen. Wir haben mindestens drei türkischsprachige Ransomware-Varianten identifiziert, die von Bedrohungsgruppen wie TurkStatik, SifreCikis und DeadLocker verwendet werden. Zum Zeitpunkt dieses Berichts ist uns die Zahl der Opfer dieser Ransomware-Varianten in der Türkei nicht bekannt, da die Betreiber dieser Ransomware keine Erpressungswebsites betreiben.

Hintergrund

Wie bereits in unserem vorherigen Bericht dargelegt, konzentrieren sich türkischsprachige Darknet-Communitys vor allem auf zwei Funktionsbereiche: patriotisches Hacken (Hacktivismus) und finanziell motivierte Internetkriminalität. Patriotische Hacker-Communitys reagieren häufig auf geopolitische Ereignisse in aller Welt, insbesondere in Bezug auf die Türkei, und zeigen ihre Unterstützung für die Agenda der Regierung, indem sie Länder ins Visier nehmen, die als „Feinde“ der Türkei gelten. Finanziell motivierte Communities konzentrieren sich auf eine Reihe von betrugsbezogenen Aktivitäten wie Zahlungskartenbetrug, Datenschutzverletzungen und Social Engineering. Aufgrund des Drucks der Strafverfolgungsbehörden hosten türkischsprachige Foren keine Inhalte, Daten oder Methoden, die sich gegen türkische Organisationen richten. Ein Großteil der kompromittierten Daten und Angriffsmethoden gegen türkische Organisationen findet sich in englisch- oder russischsprachigen Foren wie BreachForums, XSS und Exploit.

Die zunehmende politische und finanzielle Instabilität in der Türkei dürfte zur Popularität von Darknet-Foren und finanziell motivierter Internetkriminalität beitragen. Forscher haben am Beispiel einer Fallstudie aus Nigeria argumentiert , dass zwischen finanzieller Instabilität (vor allem Jugendarbeitslosigkeit) und der Internetkriminalität ein Zusammenhang besteht. Am 3. Oktober 2022 zeigten Daten des türkischen Statistikinstituts (TUIK), dass die Inflationsrate mit 83,45 % einen 24-Jahres-Höchststand erreichte, während unabhängige Experten der Inflation Research Group (einer privaten Forschungsgruppe in der Türkei) die jährliche Rate mit etwa 186,27 % deutlich höher einschätzen . Trotz hoher Inflationsraten verfolgt die Zentralbank der Republik Türkei einen unorthodoxen Ansatz im Rahmen eines Lockerungszyklus, indem sie die Zinssätze senkt. Infolgedessen verlor die türkische Lira im Jahr 2021 gegenüber dem Dollar 44 % ihres Wertes und erreichte im September 2022 mit einer weiteren Senkung des Zinssatzes um 100 Punkte einen historischen Tiefstand. Die steigenden Lebenshaltungskosten und die instabile Finanzlage führen dazu, dass die Jugend der Türkei weiter verarmt.