Have I Been Squatted ve Ctrl-Alt-Intel araştırmacıları, Şubat 2026'da ABD ve Avrupa'daki yük ve lojistik şirketlerine yönelik hedefli bir oltalama operasyonunu ortaya çıkardı ve bu operasyonu Diesel Vortex olarak adlandırdı. Verilerine göre, kampanya, endüstri sistemlerine giriş bilgilerini çalmaya odaklanmıştı: yük borsaları, taşıyıcı ve broker portalları, ödeme ve yakıt sistemleri gibi yerlerde giriş bilgilerini ele geçirmek, genellikle doğrudan paraya veya ödeme yönlendirme imkanlarına erişim anlamına geliyordu.
Tek kamuya açık detay kaynağı araştırmacıların yayınıdır, ancak Şubat 2026 sonu itibarıyla büyük sektör ve siber güvenlik medyasında doğrulamalar veya paralel soruşturmalar bulunmamaktadır. Bu, sunulan bilgileri çürütmez, ancak piyasayı hikayeyi "yeni bir özel soruşturma" olarak görmeye zorlar, bu da henüz bağımsız doğrulama mekanizmalarından geçmemiştir. Aşağıda sunulan detaylar, rakamlar ve mekanikler, Have I Been Squatted ve ortaklarının raporuna dayanmaktadır: Diesel Vortex ve yeniden yapılandırılmış oltalama altyapısının tanımı.
Rapora göre, kampanyanın doğrulanmış faaliyet dönemi Eylül 2025'ten Şubat 2026'ya kadardır. Araştırmacılar, 3.474 giriş/şifre çiftinin ele geçirildiğini ve bunlardan 1.649'unun benzersiz hesap bilgileri olduğunu belirtiyor. Oltalama sayfalarına yapılan ziyaretlerin telemetrisi, 9.016 benzersiz IP adresi içerdiğini iddia ediyor. Altyapıda 52 alan adı kullanıldı ve hedeflenen iletişim adresleri listesi 75.840 e-posta (57.092 benzersiz) içeriyordu. Bu rakamlar, tek bir büyük oyuncuya yönelik bir saldırı değil, geniş çaplı bir "huni" operasyonu olduğunu gösteriyor.
Rapor, DAT ve Truckstop (metinde "DAT Truckstop" ifadesi geçiyor), Central Dispatch, TIMOCOM, Teleroute, Highway gibi platformlar ve süreçler için hazırlanan şablonları örnek olarak veriyor. Ayrıca, büyük operatörlerin ve lojistik bölümlerinin portallarının taklit edilmesi, Penske Logistics dahil, EFS (Electronic Funds Source) etrafındaki şemalar için ayrı bir bölüm ayrılmıştır. Bu, sadece veri sızıntısı riski değil, aynı zamanda çek/yakıt dolandırıcılığı ve ödeme bilgileri değiştirme potansiyelidir. Raporda, EFS çekleriyle ilgili 35 girişim, ayrı bir gözlemlenen para kazanma göstergesi olarak belirtilmiştir.
Bu tür hesapların ele geçirilmesinin sektöre etkileri genellikle piyasaya aşina olan birkaç senaryoya uyar: yükleme/atama ele geçirme veya değiştirme, sevkiyat detaylarına ve iletişim bilgilerine erişim, "taşıyıcı-broker-gönderici" iletişimlerinde kötüye kullanım, çift brokerlik, fatura yönlendirme ve ödeme talimatlarını değiştirme. Ödeme ve yakıt sistemlerine erişim sağlandığında riskler daha doğrudan hale gelir: yetkisiz düzenlemelerden/yeniden düzenlemelerden sahte onaylarla para çekme girişimlerine kadar.
Sektör Haberleriyle Güncel Kalın
Bültenimize abone olun ve en son kamyonculuk sektörü haberlerini, düzenlemeleri ve kariyer ipuçlarını e-posta kutunuza alın.
Gizliliğinize saygı gösteriyoruz. İstediğiniz zaman aboneliğinizi iptal edebilirsiniz.
Araştırmacılara göre, Diesel Vortex'in kilit özelliği, sadece giriş bilgileri toplamak değil, aynı zamanda "döngüdeki operatör" ile kurbanı gerçek zamanlı olarak yönlendirmek ve tek kullanımlık kodları ele geçirmektir. Raporda, kurtarılan mesajlar ve günlüklerde sesli oltalama (vishing) belirtileri yer alıyor, ancak merkezi yönetim kanalı Telegram'dı.
Mekanizma şöyle çalışıyordu: Kurban oltalama sayfasına giriyor, giriş/şifre bilgilerini giriyor ve ardından operatör Telegram'da bir bildirim alıyor ve kurbandan ek talepler başlatabiliyordu — örneğin, 2FA kodu istemek, "Google/Microsoft/Yahoo ile giriş" akışını değiştirmek veya bir şeyler ters giderse oturumu engellemek. Bu yaklaşım, lojistikte en yaygın gerçekliğe odaklanmıştır: birçok hesap SMS/TOTP ile korunur, bu da kitlesel "script" saldırılarına karşı çalışır, ancak bir kişinin kodu etkin olduğu anda "ele geçirdiği" bir saldırıya karşı zayıf kalır.
Raporun iç metrikleri, operatörlerin manuel çalışmasını dolaylı olarak doğrular: örneğin, "Geçersiz" komutu/durumu, 4.657 isteğin 1.559'unda kullanılmıştır — yani operatörler sık sık doğru şifre/kodu sınırlı bir zaman diliminde "yakalamış" veya yeniden kontrol etmiştir.
Rapor, tarayıcı güvenlik mekanizmalarını ve kara listeleri aşmak için tasarlanmış "iki alanlı" bir mimariyi tanımlar. Kullanıcı üstte "saygın" bir alan adı (genellikle .com alanında) görüyordu — "reklam" alanı. Ancak, oltalama formu, tam ekran bir iframe içinde ikinci bir alan adı — "sistem" alanı, genellikle .top veya .icu alanlarında — üzerinden yükleniyordu. Araştırmacıların mantığına göre, bu, şemanın dayanıklılığını artırıyordu: "içerik" alanı engellense bile, "vitrin" daha uzun süre yaşayabilir ve alan adı rotasyonu daha ucuz ve hızlı hale gelirdi.
Daha sonra, istenmeyen ziyaretçileri elemek için çok aşamalı bir "huni" devreye giriyordu. Bağlantıların dahil edilmesi, şablon/alan etkinlik anahtarları, IP/ISP/ASN filtreleme ipinfo.io'ya dayanarak, user-agent'lara göre eleme (botlar ve sanal alanlar için), URL parametreleri ve "kapılar", kara listeler ve iframe için tokenler gibi unsurlar yer alıyordu. Raporda zamanlamalarla ilgili detaylar da veriliyor: tarayıcı her saniye /ajax/check_request.php türünde bir uç noktayı sorguluyordu ve iframe için tokenin TTL'si 10 saniyeydi. Ancak, araştırmacılar, maksimum yaşam süresi üzerinde sıkı bir kontrolün olmamasının, "uzun ömürlü" tokenlerin sahte olarak oluşturulmasına izin verdiğini belirtiyor.
Raporda, altyapının "kendini savunma" göstergeleri de yer alıyor: IP kara listesinde 254 kayıt (CIDR ve nokta adresler dahil), ISP/ASN'ye göre engelleme için 49 alt dize ve user-agent için 16 desen. Bu, oltalama platformunun olgunluğunu yansıtır: saldırganlar, sağlayıcıların, SOC ekiplerinin ve araştırmacıların dikkatini bekliyor ve "yanlış" ziyaretçilere karşı filtreler oluşturuyorlardı.
ABD yük pazarına özgü önemli bir detay daha var: araştırmacılar tarafından kurtarılan materyallerde, GlobalProfit ve "MC Profit Always" adlı pazarlama adı gibi iç marka tanımlamaları bulunuyor. Raporda, "MC"nin FMCSA sistemindeki Motor Taşıyıcı numarasına (MC numarası) atıfta bulunduğu öne sürülüyor — yani yaratıcılar, Amerikan pazarı ve taşıyıcıların alışılmış kimlik tanımlamaları açısından düşünmüşler.
Araştırmacılar, platformun "phishing-as-a-service" (hizmet olarak oltalama) yönünde gelişebileceğini düşünüyor: sektörel hizmetler için hazır şablonlar, yönetim paneli, telegram botları, loglama, yasaklama/gizleme, hızlı alan adı rotasyonu ve MFA'yı ele geçirmek için operatör modeli.
Saldırganların kırılma direnci yüksekti, ancak rapora göre, bir operasyonel hata onları ele verdi: bir oltalama sitesinde .git dizini erişilebilir durumdaydı. Bu, araştırmacıların geliştirme geçmişini indirmelerine ve neredeyse tam bir artefakt izi toplamalarına olanak tanıdı: kod tabanı, veri tabanı dökümleri, webhook günlükleri, iç iletişim parçaları ve değişiklik geçmişi. Raporda, kurtarılan platformun 2.100'den fazla dosya ve 54 tablo içeren bir veri tabanı içerdiği belirtiliyor; ayrı bir kilit artefakt, 4 Şubat 2026 tarihli bir zaman damgası ile 36,6 MB'lık bir SQL dökümü oldu.
Araştırmacılara göre, Telegram araç setinde 10 bot tokeni bulundu ve bunlardan dokuzu analiz sırasında aktifti. Bu, uygulayıcılar için önemlidir: bu tür bir yönetim, tokenler ve kanallar yaşadığı sürece yaşar, bu nedenle tokenlerin sızması, sağlayıcılar hızlı bir şekilde iptal ederse altyapının "kesilmesini" hızlandırabilir.
Raporun yazarları, grubu "Rusya bağlantılı" olarak tanımlıyor: kod ve belgelerde Rusça yorumlar ve Moskova bağlamına işaret eden meta veriler bulunuyor. Aynı zamanda, Telegram günlüklerinde Ermenice dilinin varlığı belirtiliyor ve Ctrl-Alt-Intel ortağı, ilgili parçaların yorumlanmasına katıldı. Bu, karışık bir operasyonel ekip veya katılımcılar arasında rol dağılımı gibi görünüyor. Araştırmacılar gerçek kişileri adlandırmıyor; botlarda ve günlüklerde operatör etiketleri/rolleri (örneğin, "Leo operatör", "Penske operatör") yer alıyor, ancak bunlar belirli kişilerin kimliğini belirlemek için kullanılamaz.
Yayın anında atıf için bağımsız doğrulamalar olmadığından, piyasa katılımcılarının grubun "coğrafyasını" araştırmacıların bir çalışma hipotezi olarak görmeleri ve kolluk kuvvetleri tarafından belirlenmiş bir gerçek olarak algılamamaları mantıklıdır.
Diesel Vortex'in belirli adını bir kenara bıraksak bile, saldırı modeli sektördeki mevcut zayıf noktalara iyi uyuyor. Spot kurtarma ve marj için mücadele, karar alma hızını artırır, bu da "hesabınızı acilen doğrulayın", "şifrenizi güncelleyin", "ödemenizi kontrol edin" gibi e-postalara karşı savunmasızlığı artırır. Aynı zamanda, ABD'deki profesyonel dernekler, çift brokerlik ve ödeme manipülasyonlarından kaynaklanan zararların arttığını kamuya açık bir şekilde vurguluyor ve piyasada dolandırıcılığa karşı önlemlerin sıkılaştırılmasını destekliyor. Saldırganlar için yük borsalarına ve ödeme sistemlerine giriş bilgilerini çalmak, aynı şemalara daha yüksek "dönüşüm" oranlarıyla doğrudan bir yol sunar, çünkü erişim meşru görünür.
Pratikte bu, taşıyıcılar ve brokerler için en büyük kayıpların "giriş noktası"nın hala basit olduğunu gösterir: yük borsasında veya ödeme hizmetinde bir dispatcherin, muhasebecinin veya owner-operator'ın hesabı, şifreyi değil, kullanıcının güvenini ele geçirdikleri ve MFA'yı giriş anında ele geçirdikleri bir hesaptır.
