Siber güvenlik şirketi ESET, Danabot bilgi hırsızının altyapısını bozma operasyonuna dayanak veriyor. Bir bilgi hırsızı olarak geliştirilen Danabot, fidye yazılımı da dahil olmak üzere ek makûs maksatlı yazılımları dağıtmak için de kullanılıyor. Danabot’un en çok amaç aldığı ülkeler ortasında Polonya, İtalya, İspanya ve Türkiye yer alıyor. ESET Research, ziyanlı yazılımın altyapısında büyük bir kesintiyle sonuçlanan global bir gayretin modülü olarak Danabot’un faaliyetlerini 2018’den bu yana takip ediyor.
ESET, ABD Adalet Bakanlığı, FBI ve ABD Savunma Bakanlığı’nın Savunma Kriminal Araştırma Servisi tarafından makus şöhretli bilgi hırsızı Danabot’un büyük bir altyapı kesintisine uğratılmasında yer aldı. ABD kurumları, Almanya’nın Bundeskriminalamt, Hollanda’nın Ulusal Polisi ve Avustralya Federal Polisi ile yakın iş birliği içinde çalışıyordu. ESET, Amazon, CrowdStrike, Flashpoint, Google, Intel471, PayPal, Proofpoint, Team Cymru ve Zscaler ile birlikte bu çalışmada yer aldı. Danabot’u 2018’den bu yana takip eden ESET Research, ziyanlı yazılımın ve art uç altyapısının teknik tahlilinin yanı sıra Danabot’un C&C sunucularının tanımlanmasını da içeren yardımda bulundu. Bu müddet zarfında ESET, Polonya, İtalya, İspanya ve Türkiye’nin tarihî olarak en çok maksat alınan ülkelerden biri olduğu tüm dünyadaki çeşitli Danabot kampanyalarını tahlil etti. Ortak ele geçirme gayreti, Danabot’un geliştirilmesi, satışı, idaresi ve daha fazlasından sorumlu bireylerin belirlenmesini de sağladı.
Yıllar süren takip sonunda altyapısı çökertildi
Bu kolluk operasyonları, siber hata şebekelerinin tespit edilmesi, dağıtılması ve yargılanmasını amaçlayan ve hala devam etmekte olan global bir teşebbüs olan Endgame Operasyonu kapsamında yürütüldü. Europol ve Eurojust tarafından koordine edilen operasyon, berbat niyetli yazılımlar aracılığıyla fidye yazılımı dağıtmak için kullanılan kritik altyapıyı muvaffakiyetle çökertti.
Danabot’u araştıran ESET araştırmacısı Tomáš Procházka, “Danabot büyük ölçüde etkisiz hâle getirildiği için bu fırsatı kullanarak berbat maksatlı yazılımın en son sürümlerinde kullanılan özellikleri, muharrirlerin iş modelini ve bağlı kuruluşlara sunulan araç setine genel bir bakışı kapsayan bu hizmet olarak berbat gayeli yazılım operasyonunun işleyişine ait bilgilerimizi paylaşıyoruz. Danabot’un hassas bilgileri sızdırmanın yanı sıra esasen tehlikede olan bir sisteme fidye yazılımı da dahil olmak üzere öbür berbat gayeli yazılımlar sunmak için de kullanıldığını gözlemledik. Danabot’un yayından kaldırılmasından sonra toparlanıp toparlanamayacağını göreceğiz. Bununla birlikte, kolluk kuvvetleri makûs emelli yazılımın operasyonlarında yer alan birkaç kişinin maskesini düşürmeyi başardığı için darbe mutlaka hissedilecektir.” açıklamasını yaptı.
Danabot’un muharrirleri tek bir küme olarak faaliyet gösteriyor, araçlarını potansiyel iştirakçilere kiralık olarak sunuyor ve onlar da daha sonra kendi botnet’lerini kurup yöneterek makûs niyetli maksatları için kullanıyorlardı. Danabot’un muharrirleri, müşterilere makus niyetli gayelerinde yardımcı olmak için çok çeşitli özellikler geliştirmiştir. Danabot tarafından sunulan en değerli özellikler ortasında şunlar yer alıyor: Tarayıcılardan, posta istemcilerinden, FTP istemcilerinden ve başka tanınan yazılımlardan çeşitli dataları çalma yeteneği; keylogging ve ekran kaydı; kurbanların sistemlerinin gerçek vakitli uzaktan denetimi; evrak yakalama (genellikle kripto para cüzdanlarını çalmak için kullanılır); Zeus gibisi web enjeksiyonları ve form yakalama dayanağı ve rastgele yük yükleme ve yürütme. ESET Research, çalma yeteneklerini kullanmanın yanı sıra yıllar boyunca Danabot aracılığıyla çeşitli yüklerin dağıtıldığını gözlemledi. Ayrıyeten ESET, Danabot’un esasen tehlikede olan sistemlere fidye yazılımı indirmek için kullanıldığı örneklerle karşılaştı. Tipik siber kabahatlere ek olarak Danabot, DDoS akınları başlatmak için ele geçirilmiş makineleri kullanmak üzere daha az klâsik faaliyetlerde de kullanılmış. Örneğin, Rusya’nın Ukrayna’yı işgalinden kısa bir mühlet sonra Ukrayna Savunma Bakanlığı’na yönelik bir DDoS saldırısı.
Siber hatalıların tercih ettiği bir makûs yazılım
ESET’in müşahedelerine nazaran Danabot, varlığı boyunca birçok siber cürümlünün tercih ettiği bir araç oldu ve her biri farklı dağıtım yolları kullandı. Danabot’un geliştiricileri, çeşitli makûs hedefli yazılım şifreleyicileri ve yükleyicilerinin yazarlarıyla bile paydaşlık kurdu. Müşterilerine bir dağıtım paketi için özel fiyatlandırma sunarak süreçte onlara yardımcı oldu. Son vakitlerde, ESET’in gözlemlediği tüm dağıtım düzenekleri ortasında, Google arama sonuçlarındaki sponsorlu kontaklar ortasında görünüşte alakalı lakin aslında makus emelli web sitelerini görüntülemek için Google Reklamlarının berbata kullanılması, kurbanları Danabot’u indirmeye ikna etmek için en besbelli usullerden biri olarak öne çıkıyor. En tanınan prosedür ise makus gayeli yazılımı yasal bir yazılımla paketlemek ve bu paketi düzmece yazılım siteleri ya da kullanıcılara sahipsiz fonları bulmalarına yardımcı olacağını vaat eden web siteleri aracılığıyla sunmaktır. Bu toplumsal mühendislik tekniklerine en son eklenen, uydurma bilgisayar sıkıntıları için tahliller sunan aldatıcı web siteleridir ve bunların tek maksadı, kurbanları kullanıcının panosuna gizlice yerleştirilen makûs maksatlı bir komutun yürütülmesine ikna etmektir.
Danabot’un muharrirleri tarafından iştiraklerine sağlanan tipik araç seti, bir idare paneli uygulaması, botların gerçek vakitli denetimi için bir backconnect aracı ve botlar ile gerçek C&C sunucusu ortasındaki irtibatı aktaran bir proxy sunucu uygulaması içerir. İştirakçiler yeni Danabot yapıları oluşturmak için çeşitli seçenekler ortasından seçim yapabilirler ve bu yapıları kendi kampanyaları aracılığıyla dağıtmak onların sorumluluğundadır.
Kaynak: (BYZHA) Beyaz Haber Ajansı
News
Genel
Genel
Dünya
Dünya
Genel
Genel
