Siber güvenlik şirketi ESET, Danabot bilgi hırsızının altyapısını bozma operasyonuna dayanak veriyor. Bir bilgi hırsızı olarak geliştirilen Danabot, fidye yazılımı da dahil olmak üzere ek makûs hedefli yazılımları dağıtmak için de kullanılıyor. Danabot’un en çok amaç aldığı ülkeler ortasında Polonya, İtalya, İspanya ve Türkiye yer alıyor. ESET Research, ziyanlı yazılımın altyapısında büyük bir kesintiyle sonuçlanan global bir eforun kesimi olarak Danabot’un faaliyetlerini 2018’den bu yana takip ediyor.
ESET, ABD Adalet Bakanlığı, FBI ve ABD Savunma Bakanlığı’nın Savunma Kriminal Araştırma Servisi tarafından berbat şöhretli bilgi hırsızı Danabot’un büyük bir altyapı kesintisine uğratılmasında yer aldı. ABD kurumları, Almanya’nın Bundeskriminalamt, Hollanda’nın Ulusal Polisi ve Avustralya Federal Polisi ile yakın iş birliği içinde çalışıyordu. ESET, Amazon, CrowdStrike, Flashpoint, Google, Intel471, PayPal, Proofpoint, Team Cymru ve Zscaler ile birlikte bu çalışmada yer aldı. Danabot’u 2018’den bu yana takip eden ESET Research, ziyanlı yazılımın ve art uç altyapısının teknik tahlilinin yanı sıra Danabot’un C&C sunucularının tanımlanmasını da içeren yardımda bulundu. Bu müddet zarfında ESET, Polonya, İtalya, İspanya ve Türkiye’nin tarihî olarak en çok gaye alınan ülkelerden biri olduğu tüm dünyadaki çeşitli Danabot kampanyalarını tahlil etti. Ortak ele geçirme uğraşı, Danabot’un geliştirilmesi, satışı, idaresi ve daha fazlasından sorumlu şahısların belirlenmesini de sağladı.
Yıllar süren takip sonunda altyapısı çökertildi
Bu kolluk operasyonları, siber cürüm şebekelerinin tespit edilmesi, dağıtılması ve yargılanmasını amaçlayan ve hala devam etmekte olan global bir teşebbüs olan Endgame Operasyonu kapsamında yürütüldü. Europol ve Eurojust tarafından koordine edilen operasyon, makus niyetli yazılımlar aracılığıyla fidye yazılımı dağıtmak için kullanılan kritik altyapıyı muvaffakiyetle çökertti.
Danabot’u araştıran ESET araştırmacısı Tomáš Procházka, “Danabot büyük ölçüde etkisiz hâle getirildiği için bu fırsatı kullanarak makus gayeli yazılımın en son sürümlerinde kullanılan özellikleri, müelliflerin iş modelini ve bağlı kuruluşlara sunulan araç setine genel bir bakışı kapsayan bu hizmet olarak berbat emelli yazılım operasyonunun işleyişine ait bilgilerimizi paylaşıyoruz. Danabot’un hassas dataları sızdırmanın yanı sıra esasen tehlikede olan bir sisteme fidye yazılımı da dahil olmak üzere diğer makus emelli yazılımlar sunmak için de kullanıldığını gözlemledik. Danabot’un yayından kaldırılmasından sonra toparlanıp toparlanamayacağını göreceğiz. Bununla birlikte, kolluk kuvvetleri berbat gayeli yazılımın operasyonlarında yer alan birkaç kişinin maskesini düşürmeyi başardığı için darbe katiyen hissedilecektir.” açıklamasını yaptı.
Danabot’un muharrirleri tek bir küme olarak faaliyet gösteriyor, araçlarını potansiyel iştirakçilere kiralık olarak sunuyor ve onlar da daha sonra kendi botnet’lerini kurup yöneterek makûs niyetli gayeleri için kullanıyorlardı. Danabot’un muharrirleri, müşterilere makus niyetli hedeflerinde yardımcı olmak için çok çeşitli özellikler geliştirmiştir. Danabot tarafından sunulan en kıymetli özellikler ortasında şunlar yer alıyor: Tarayıcılardan, posta istemcilerinden, FTP istemcilerinden ve başka tanınan yazılımlardan çeşitli bilgileri çalma yeteneği; keylogging ve ekran kaydı; kurbanların sistemlerinin gerçek vakitli uzaktan denetimi; belge yakalama (genellikle kripto para cüzdanlarını çalmak için kullanılır); Zeus gibisi web enjeksiyonları ve form yakalama dayanağı ve rastgele yük yükleme ve yürütme. ESET Research, çalma yeteneklerini kullanmanın yanı sıra yıllar boyunca Danabot aracılığıyla çeşitli yüklerin dağıtıldığını gözlemledi. Ayrıyeten ESET, Danabot’un zati tehlikede olan sistemlere fidye yazılımı indirmek için kullanıldığı örneklerle karşılaştı. Tipik siber kabahatlere ek olarak Danabot, DDoS hücumları başlatmak için ele geçirilmiş makineleri kullanmak üzere daha az klâsik faaliyetlerde de kullanılmış. Örneğin, Rusya’nın Ukrayna’yı işgalinden kısa bir müddet sonra Ukrayna Savunma Bakanlığı’na yönelik bir DDoS saldırısı.
Siber hatalıların tercih ettiği bir makus yazılım
ESET’in müşahedelerine nazaran Danabot, varlığı boyunca birçok siber hatalının tercih ettiği bir araç oldu ve her biri farklı dağıtım usulleri kullandı. Danabot’un geliştiricileri, çeşitli makus gayeli yazılım şifreleyicileri ve yükleyicilerinin yazarlarıyla bile paydaşlık kurdu. Müşterilerine bir dağıtım paketi için özel fiyatlandırma sunarak süreçte onlara yardımcı oldu. Son vakitlerde, ESET’in gözlemlediği tüm dağıtım sistemleri ortasında, Google arama sonuçlarındaki sponsorlu kontaklar ortasında görünüşte alakalı fakat aslında makûs hedefli web sitelerini görüntülemek için Google Reklamlarının berbata kullanılması, kurbanları Danabot’u indirmeye ikna etmek için en bariz yollardan biri olarak öne çıkıyor. En tanınan metot ise makus maksatlı yazılımı yasal bir yazılımla paketlemek ve bu paketi düzmece yazılım siteleri ya da kullanıcılara sahipsiz fonları bulmalarına yardımcı olacağını vaat eden web siteleri aracılığıyla sunmaktır. Bu toplumsal mühendislik tekniklerine en son eklenen, uydurma bilgisayar sıkıntıları için tahliller sunan aldatıcı web siteleridir ve bunların tek maksadı, kurbanları kullanıcının panosuna gizlice yerleştirilen berbat maksatlı bir komutun yürütülmesine ikna etmektir.
Danabot’un muharrirleri tarafından iştiraklerine sağlanan tipik araç seti, bir idare paneli uygulaması, botların gerçek vakitli denetimi için bir backconnect aracı ve botlar ile gerçek C&C sunucusu ortasındaki bağlantısı aktaran bir proxy sunucu uygulaması içerir. İştirakçiler yeni Danabot yapıları oluşturmak için çeşitli seçenekler ortasından seçim yapabilirler ve bu yapıları kendi kampanyaları aracılığıyla dağıtmak onların sorumluluğundadır.
Kaynak: (BYZHA) Beyaz Haber Ajansı
About The Author
More Stories
Kahveci Dağı’nda Şenlik Havasında “Uçurtma Şenliği”
Yalnızca estetik bir sorun olarak görüyoruz, ancak…
Milas Belediyesi Pak Bir Etraf İçin Çalışmalar Gerçekleştiriyor