Siber güvenlik şirketi ESET, Danabot bilgi hırsızının altyapısını bozma operasyonuna takviye veriyor. Bir bilgi hırsızı olarak geliştirilen Danabot, fidye yazılımı da dahil olmak üzere ek makus hedefli yazılımları dağıtmak için de kullanılıyor. Danabot’un en çok amaç aldığı ülkeler ortasında Polonya, İtalya, İspanya ve Türkiye yer alıyor. ESET Research, ziyanlı yazılımın altyapısında büyük bir kesintiyle sonuçlanan global bir uğraşın kesimi olarak Danabot’un faaliyetlerini 2018’den bu yana takip ediyor.
ESET, ABD Adalet Bakanlığı, FBI ve ABD Savunma Bakanlığı’nın Savunma Kriminal Araştırma Servisi tarafından makûs şöhretli bilgi hırsızı Danabot’un büyük bir altyapı kesintisine uğratılmasında yer aldı. ABD kurumları, Almanya’nın Bundeskriminalamt, Hollanda’nın Ulusal Polisi ve Avustralya Federal Polisi ile yakın iş birliği içinde çalışıyordu. ESET, Amazon, CrowdStrike, Flashpoint, Google, Intel471, PayPal, Proofpoint, Team Cymru ve Zscaler ile birlikte bu çalışmada yer aldı. Danabot’u 2018’den bu yana takip eden ESET Research, ziyanlı yazılımın ve art uç altyapısının teknik tahlilinin yanı sıra Danabot’un C&C sunucularının tanımlanmasını da içeren yardımda bulundu. Bu mühlet zarfında ESET, Polonya, İtalya, İspanya ve Türkiye’nin tarihî olarak en çok amaç alınan ülkelerden biri olduğu tüm dünyadaki çeşitli Danabot kampanyalarını tahlil etti. Ortak ele geçirme eforu, Danabot’un geliştirilmesi, satışı, idaresi ve daha fazlasından sorumlu bireylerin belirlenmesini de sağladı.
Yıllar süren takip sonunda altyapısı çökertildi
Bu kolluk operasyonları, siber cürüm şebekelerinin tespit edilmesi, dağıtılması ve yargılanmasını amaçlayan ve hala devam etmekte olan global bir teşebbüs olan Endgame Operasyonu kapsamında yürütüldü. Europol ve Eurojust tarafından koordine edilen operasyon, berbat niyetli yazılımlar aracılığıyla fidye yazılımı dağıtmak için kullanılan kritik altyapıyı muvaffakiyetle çökertti.
Danabot’u araştıran ESET araştırmacısı Tomáš Procházka, “Danabot büyük ölçüde etkisiz hâle getirildiği için bu fırsatı kullanarak makûs maksatlı yazılımın en son sürümlerinde kullanılan özellikleri, müelliflerin iş modelini ve bağlı kuruluşlara sunulan araç setine genel bir bakışı kapsayan bu hizmet olarak makus emelli yazılım operasyonunun işleyişine ait bilgilerimizi paylaşıyoruz. Danabot’un hassas dataları sızdırmanın yanı sıra zati tehlikede olan bir sisteme fidye yazılımı da dahil olmak üzere öteki berbat emelli yazılımlar sunmak için de kullanıldığını gözlemledik. Danabot’un yayından kaldırılmasından sonra toparlanıp toparlanamayacağını göreceğiz. Bununla birlikte, kolluk kuvvetleri berbat maksatlı yazılımın operasyonlarında yer alan birkaç kişinin maskesini düşürmeyi başardığı için darbe muhakkak hissedilecektir.” açıklamasını yaptı.
Danabot’un müellifleri tek bir küme olarak faaliyet gösteriyor, araçlarını potansiyel iştirakçilere kiralık olarak sunuyor ve onlar da daha sonra kendi botnet’lerini kurup yöneterek berbat niyetli hedefleri için kullanıyorlardı. Danabot’un muharrirleri, müşterilere makus niyetli emellerinde yardımcı olmak için çok çeşitli özellikler geliştirmiştir. Danabot tarafından sunulan en değerli özellikler ortasında şunlar yer alıyor: Tarayıcılardan, posta istemcilerinden, FTP istemcilerinden ve başka tanınan yazılımlardan çeşitli bilgileri çalma yeteneği; keylogging ve ekran kaydı; kurbanların sistemlerinin gerçek vakitli uzaktan denetimi; evrak yakalama (genellikle kripto para cüzdanlarını çalmak için kullanılır); Zeus gibisi web enjeksiyonları ve form yakalama dayanağı ve rastgele yük yükleme ve yürütme. ESET Research, çalma yeteneklerini kullanmanın yanı sıra yıllar boyunca Danabot aracılığıyla çeşitli yüklerin dağıtıldığını gözlemledi. Ayrıyeten ESET, Danabot’un aslında tehlikede olan sistemlere fidye yazılımı indirmek için kullanıldığı örneklerle karşılaştı. Tipik siber cürümlere ek olarak Danabot, DDoS atakları başlatmak için ele geçirilmiş makineleri kullanmak üzere daha az klasik faaliyetlerde de kullanılmış. Örneğin, Rusya’nın Ukrayna’yı işgalinden kısa bir mühlet sonra Ukrayna Savunma Bakanlığı’na yönelik bir DDoS saldırısı.
Siber hatalıların tercih ettiği bir berbat yazılım
ESET’in müşahedelerine nazaran Danabot, varlığı boyunca birçok siber hatalının tercih ettiği bir araç oldu ve her biri farklı dağıtım formülleri kullandı. Danabot’un geliştiricileri, çeşitli makus hedefli yazılım şifreleyicileri ve yükleyicilerinin yazarlarıyla bile iştirak kurdu. Müşterilerine bir dağıtım paketi için özel fiyatlandırma sunarak süreçte onlara yardımcı oldu. Son vakitlerde, ESET’in gözlemlediği tüm dağıtım düzenekleri ortasında, Google arama sonuçlarındaki sponsorlu kontaklar ortasında görünüşte alakalı lakin aslında makûs emelli web sitelerini görüntülemek için Google Reklamlarının berbata kullanılması, kurbanları Danabot’u indirmeye ikna etmek için en besbelli yollardan biri olarak öne çıkıyor. En tanınan yol ise makus emelli yazılımı yasal bir yazılımla paketlemek ve bu paketi uydurma yazılım siteleri ya da kullanıcılara sahipsiz fonları bulmalarına yardımcı olacağını vaat eden web siteleri aracılığıyla sunmaktır. Bu toplumsal mühendislik tekniklerine en son eklenen, uydurma bilgisayar sıkıntıları için tahliller sunan aldatıcı web siteleridir ve bunların tek hedefi, kurbanları kullanıcının panosuna gizlice yerleştirilen makûs maksatlı bir komutun yürütülmesine ikna etmektir.
Danabot’un müellifleri tarafından iştiraklerine sağlanan tipik araç seti, bir idare paneli uygulaması, botların gerçek vakitli denetimi için bir backconnect aracı ve botlar ile gerçek C&C sunucusu ortasındaki irtibatı aktaran bir proxy sunucu uygulaması içerir. İştirakçiler yeni Danabot yapıları oluşturmak için çeşitli seçenekler ortasından seçim yapabilirler ve bu yapıları kendi kampanyaları aracılığıyla dağıtmak onların sorumluluğundadır.
Kaynak: (BYZHA) Beyaz Haber Ajansı
0 Comments