Amerikan Federal Soruşturma Bürosu (FBI), yasa dışı botnet proxy hizmeti IPStorm’un arkasındaki altyapıyı çökertti. Rus-Moldova uyruklu Sergei Makinin yasadışı botneti işletmekten suçlu bulundu.
IPStorm botnet’i ilk olarak Mayıs 2019’da Windows sistemlerini hedef alınca tanımlandı. IPStorm botnet o zamandan bu yana dünya çapındaki sistemlere bulaşmaya devam ediyor; büyüklüğü Mayıs 2019’da yaklaşık 3.000 virüslü sistemden Ekim 2020’de 13.500’den fazla cihaza ulaştı. Yukarıdaki haritada 2020 yılında yapılan araştırmada enfekte olan makinaların dünya üzerindeki yerlerini görüyorsunuz. Aşağıdaki tabloda da, çeşitli ülkelerde etkilenen cihaz sayısı var (Bitdefender’ın 2020 rakamları)
IPStorm adı, kötü amaçlı trafiği gizlemek amacıyla bot tarafından iletişim için kullanılan eşler arası bir protokol olan InterPlanetary Dosya Sisteminden (IPFS) gelen InterPlanetary Storm’un kısaltılmışından geliyor. Bot, Go programlama dilinde yazılmış ve başlangıçta yalnızca Windows sistemleri hedefliyordu. Haziran ayında güvenlik firmaları Bitdefender ve Barracuda, Android, Linux ve Mac’i de hedefleyebilen yeni IPStorm sürümlerini keşfetti.
Her iki güvenlik firmasının uzmanları, IPStorm’un çevrimiçi olarak açığa çıkan ADB (Android Hata Ayıklama Köprüsü) bağlantı noktasıyla Android sistemlerine bulaştığını bildirdi.
Bot aynı zamanda Linux ve Mac cihazlarını da hedef alıyor ve kullanıcı adlarını ve şifrelerini tahmin etmek için SSH hizmetlerine sözlük saldırıları gerçekleştiriyordu. Bağlantı kurulduktan sonra, kötü amaçlı yazılım, saldırıya uğrayan sunucunun ana bilgisayar adını Cowrie SSH bal küpünün varsayılan ana bilgisayar adı olan “svr04” dizesiyle karşılaştırarak bir bal küpünün (honeypot) varlığını kontrol ediyor. IPStorm botu aynı zamanda operasyonlarına müdahale etme potansiyeli olan işlemleri de ortadan kaldırıyor.
FBI bu hafta ABD kolluk kuvvetlerinin IPStorm botnet’ini kapattığını açıkladı. Ortak uluslararası soruşturma, FBI San Juan Siber Ekibi tarafından, Santo Domingo’daki FBI hukuk ataşeliğinin işbirliğiyle ve İspanyol Ulusal Polis-Siber Saldırı Grubu ile koordineli olarak yürütüldü. Dominik Ulusal Polisi-Interpol ve Dominik Ulusal Polisi-Uluslararası Organize Suç Dairesi ve İçişleri Bakanlığı ve Polis-Göçmenlik Müdürlüğü de yardımcı oldu. Yanısıra Bitdefender DRACO Ekibi, Anomali Tehdit Araştırması ve Intezer dahil olmak üzere Ulusal Siber Adli Tıp ve Eğitim İttifakı (NCFTA.net) araştırmacılara yardımcı oldu.
Makinin 23 bin Proxy’den Oluşan Botnet’i Yönetmiş
Makinin, “proxx.io” ve “proxx.io” sitelerinden pazarladığı, dünya çapında 23.000 ‘son derece gizli’ proxy’den oluşan bir botnet’e sahip olduğunu iddia etti. Amerikan Adalet bakanlığı (DOJ) basın bülteninde şunlar belirtildi :
“Mahkeme belgelerine göre, Makinin en az Haziran 2019’dan Aralık 2022’ye kadar, Porto Riko da dahil olmak üzere dünya çapında internete bağlı binlerce cihazı hacklemek için kötü amaçlı yazılım geliştirdi ve dağıttı. Makinin, bu virüs bulaşmış cihazları, güvenliği ihlal edilmiş cihazlardan oluşan bir ağ olan kapsamlı bir botnet’in parçası olarak kontrol ediyordu.
Botnet’in asıl amacı, kâr amacı güden bir planın parçası olarak virüs bulaşmış cihazları proxy’lere dönüştürmekti; bu, Makinin’in web siteleri, proxx.io ve proxx.net aracılığıyla bu proxy’lere erişimi mümkün kıldı.”
Makinin’in, dolandırıcılık faaliyetinden en az 550.000 dolar kazandığını belirtti. Ancak bu gelirleri tuttuğu kripto para cüzdanlarını yetkililere teslim etme anlaşması yapmış durumda. Makinin’in en fazla 10 yıl hapis cezasıyla karşı karşıya olduğu belirtiliyor.