Bir E-posta, Kripto Cüzdanı ve YouTube Etkinliği FBI'ı IntelBroker'a Nasıl Yönlendirdi

Amerika Birleşik Devletleri'ndeki yetkililer, internette " IntelBroker " olarak bilinen bir İngiliz vatandaşı olan Kai Logan West'i, dünya çapındaki şirketlere en az 25 milyon dolarlık zarar veren bir dizi yüksek profilli veri ihlaliyle suçladı. 23 yaşındaki kişi Şubat 2025'te Fransa'da tutuklandı ve şimdi New York Güney Bölgesi'nde yargılanmak üzere Amerika Birleşik Devletleri'ne iade edilmekle karşı karşıya.

Hackread.com'un bildirdiğine göre IntelBroker'ın tutuklanmasının ardından ShinyHunters hacker grubuyla bağlantılı dört kişi de dahil olmak üzere birkaç kişi daha tutuklandı. Hem IntelBroker hem de ShinyHunters üyeleri, siber suç ve veri ihlali forumu BreachForums'un yönetimi ve moderatörlüğüyle ilgilendi .

Şubat 2025 tarihli mühürsüz şikayette (PDF), FBI'ın West'in siber suç operasyonlarına yönelik iki yıllık soruşturması ortaya konuyor ve West'in düzinelerce veri ihlali, çalıntı veri satışı ve açık ve karanlık web forumlarında faaliyet gösteren bir bilgisayar korsanlığı kolektifinin liderliği ile bağlantısı ortaya konuyor.

“IntelBroker” ve “Kyle Northern” gibi takma adlar kullanan West, iddianamede “Forum‑1” (BreachForums) olarak bilinen açık ve karanlık bir web forumunda bir itibar kazandı. CyberN (eski adıyla “The Boys”) adlı bir hacker ekibinin bayrağı altında faaliyet gösteren IntelBroker, hükümet kurumlarından, sağlık hizmet sağlayıcılarından, telekomünikasyon şirketlerinden ve internet servis sağlayıcılarından hacklenmiş veritabanları sunuyordu.

2023 ile 2025'in başı arasında West, Forum‑1'de çalıntı veri sunan en az 158 konu başlığı yazdı ve bunların 41'i ABD şirketlerini içeriyordu. FBI, çalınan bilgiler için en az 2 milyon dolar değerinde Monero kripto para biriminin talep edildiğini belirtiyor.

2024 yılında IntelBroker, Forum‑1'in "sahibi" olarak listelendi ve güvenilirliği artırmak, takipçi toplamak ve alıcı çekmek için bazı veri sızıntılarını ücretsiz olarak verdiğinde ünü hızla arttı.

West'in bilmediği şey, FBI ajanlarının yakından izlediğiydi. Büro, Forum-1'de alıcı gibi davranan gizli memurlar konuşlandırdı. Ajanlar en az iki durumda çalıntı verileri doğrudan IntelBroker'dan satın aldı.

Ocak 2023'te bir ajan, "Victim‑7" adlı bir şirket için bir API anahtarı ve oturum açma kimlik bilgileri satın aldı. Kimlik bilgileri değer açısından sınırlı olsa da, IntelBroker Bitcoin (Monero yerine) olarak ödeme istediğinde ve blok zincirinde izlenebilen bir cüzdan adresi sağladığında işlem, kimliğinin izlenmesinde önemli bir unsur haline geldi.

FBI blockchain analistleri parayı takip etti ve şunları buldu:

• İşlemde kullanılan Bitcoin cüzdanı, Ramp adlı bir finansal platformdaki hesaba bağlı başka bir cüzdandan aktarılmıştı.
• Söz konusu Ramp hesabı, Kai Logan West'e verilen İngiltere geçici ehliyeti kullanılarak kaydedildi.
• Aynı kimlik Kai West'in, Kyle Northern takma adıyla bir Coinbase hesabı da vardı ancak KYC doğrulaması yapılmıştı; bu da hesabın aynı kişi olduğunu doğruluyordu.

Noktaları daha da birleştiren şey, her iki hesabın da West'in kişisel meseleler için kullandığı bir Gmail adresine bağlı olmasıydı:

• Bulutta depolanan özçekimler
• Makbuzlar ve kimlik belgeleri
• İngiltere Üniversitesi Konaklama ve Öğrenim Ücretleri iletişimleri
• “GPRS Smash” gibi ağ araçlarını tanıtan videolar

E-postada ayrıca West'in Siber Güvenlik programına kayıtlı olduğunu gösteren bir öğrenci belgesi de yer alıyordu.

West sadece dikkatsizce işlem yapmadı, aynı zamanda çevrimiçi etkinliğini kişisel davranışlarıyla ilişkilendirerek kendini ifşa etti. Forum‑1'deki IntelBroker gönderileri genellikle kişisel e-posta hesabından yeni izlediği YouTube videolarına atıfta bulunuyordu ve imza bloğunu düzenli olarak güncelleyerek hack grubunun üyelerini listeledi, bu da onun birden fazla konu başlığındaki katılımını izlemeyi kolaylaştırdı.

Forum‑1 2024 yılında ele geçirilip kapatılıp yeniden başlatıldığında, tüm eski gönderiler güncellenmiş imzayı devraldı ve West'in 2023'ün başlarına kadar uzanan faaliyetlerinin ve bağlantılarının tutarlı bir izini oluşturdu.

İddianamede en az altı kurbanın adı geçiyor ve bunlardan sadece Kurban-1 ile Kurban-6 olarak bahsediliyor. Telekom sağlayıcısı olan Kurban-1'in Manhattan'daki bir barındırma sunucusundan verileri sızdırılmış ve silinmiş, bunun sonucunda yüz binlerce dolar değerinde hasar meydana geldiği tahmin ediliyor.

Belediye sağlık hizmeti sağlayıcısı olan Victim-3, 56.000'den fazla kişinin kişisel ve sağlık verilerini çaldırdı ve West daha sonra bunları gizli bir FBI ajanına 1.000$ karşılığında Monero olarak sattı. İnternet servis sağlayıcısı olan Victim-6, dahili bir sunucuyu ihlal etmek için önceki sızıntılardan gelen bilgileri kullanarak tehlikeye atıldı.

Her durumda, West kamuya kanıt örnekleri sundu, özel mesajlar aracılığıyla satış görüşmeleri yaptı ve anonimliğini korumak için yalnızca Monero'yu kabul etti, ancak kağıt izi onu yakaladı.

Ancak Hackread.com'un yalnızca IntelBroker'ın veri ihlallerini bildirmesi nedeniyle, hacker tarafından iddia edilen veri ihlalleri ve sızıntılarının kapsamlı bir listesi aşağıdadır:

İşte karakter sayısına göre en kısadan en uzuna doğru sıralanmış liste:

West'e dört federal suçlama yöneltildi:

1. Telgraf dolandırıcılığı
2. Telgraf dolandırıcılığı yapma komplosu
3. Bilgisayar saldırıları düzenleme komplosu
4. Korunan bir bilgisayara erişerek dolandırıcılık yapmak ve değer elde etmek

Her biri, özellikle sağlık verilerini içerdiğinde veya kritik altyapıyı etkilediğinde, birkaç yıl hapis cezası potansiyeli taşıyor.

FBI'ın Özel Ajanı Carson Hughes ve ABD Avukatı Jay Clayton, IntelBroker'ın operasyonlarının küresel erişimini ve tehlikesini vurguladı. FBI, davayı çevrimiçi anonimliğin onları sonuçlardan koruduğuna inanan siber suçlular için bir "uyarı" olarak nitelendirdi.

Kai West, kendisini profesyonel olarak bir siber güvenlik araştırmacısı olarak tanıttı ve LinkedIn'de biri Kyle Northern, diğeri K West olmak üzere iki ayrı kimlik altında faaliyet gösterdi. Bu ilk olarak, West'in ikili profillerinin ayrıntılarını Hackread.com ile paylaşan 0xbowio'nun Kurucu Ortağı ve CEO'su Nathaniel Fried tarafından işaretlendi.

Özellikle, Kyle Northern profili, Eylül-Ekim 2019 arasında İngiltere Ulusal Suç Ajansı'nda (NCA) Güvenlik Araştırmacısı Stajyeri olarak çalıştığını iddia etti. Doğruysa, bu rol, NCA ciddi organize suç ve ulusal güvenlikle ilgilendiği için gizli sistemlere erişimi içerebilirdi. NCA bağlantısı doğrulanmamış olsa da, West'in siber güvenlikteki iddia edilen geçmişi ve akademik yolu, olasılığın tamamen göz ardı edilmemesi gerektiğini gösteriyor.

West, Fransız gözaltında kalmaya devam ediyor ve ABD yetkilileri aktif olarak iade talep ediyor . Hüküm giyerse, onlarca yıl hapis cezasıyla karşı karşıya kalabilir. Bu arada, Forum‑1, bildirildiğine göre MyBB sıfır günlük bir güvenlik açığı nedeniyle Nisan 2025'ten beri çevrimdışı. Üyelerinin çoğu o zamandan beri DarkForums ve Rusça siber suç forumu XSS dahil olmak üzere diğer platformlara göç etti.

IntelBroker'ın ifşası, büyük bir siber suç çökertme olarak öne çıkıyor. Bunu mümkün kılan şey, gizli FBI çalışmaları, kripto para takibi ve hatta eski usul e-posta kanıtlarının bir karışımıydı; bunların hepsi, siber suç forumlarındaki en tanınmış figürlerden birinin izlenmesine yardımcı oldu.