Eset, ABD Adalet Bakanlığı, FBI ve ABD Savunma Bakanlığı’nın Savunma Kriminal Araştırma Servisi tarafından kötü şöhretli bilgi hırsızı Danabot’un büyük bir altyapı kesintisine uğratılmasında yer aldı. ABD kurumları, Almanya’nın Bundeskriminalamt, Hollanda’nın Ulusal Polisi ve Avustralya Federal Polisi ile yakın iş birliği içinde çalışıyordu. Eset, Amazon, CrowdStrike, Flashpoint, Google, Intel471, PayPal, Proofpoint, Team Cymru ve Zscaler ile birlikte bu çalışmada yer aldı. Danabot’u 2018’den bu yana takip eden Eset Research, zararlı yazılımın ve arka uç altyapısının teknik analizinin yanı sıra Danabot’un C&C sunucularının tanımlanmasını da içeren yardımda bulundu. Bu süre zarfında Eset, Polonya, İtalya, İspanya ve Türkiye’nin tarihsel olarak en çok hedef alınan ülkelerden biri olduğu tüm dünyadaki çeşitli Danabot kampanyalarını analiz etti. Ortak ele geçirme çabası, Danabot’un geliştirilmesi, satışı, yönetimi ve daha fazlasından sorumlu kişilerin belirlenmesini de sağladı.
Yıllar Süren Takip Sonunda Altyapısı Çökertildi
Bu kolluk operasyonları, siber suç şebekelerinin tespit edilmesi, dağıtılması ve yargılanmasını amaçlayan ve hâlen devam etmekte olan küresel bir girişim olan Endgame Operasyonu kapsamında yürütüldü. Europol ve Eurojust tarafından koordine edilen operasyon, kötü niyetli yazılımlar aracılığıyla fidye yazılımı dağıtmak için kullanılan kritik altyapıyı başarıyla çökertti.
Danabot’u araştıran Eset araştırmacısı Tomáš Procházka şu açıklamayı yaptı:
“Danabot büyük ölçüde etkisiz hâle getirildiği için bu fırsatı kullanarak kötü amaçlı yazılımın en son sürümlerinde kullanılan özellikleri, yazarların iş modelini ve bağlı kuruluşlara sunulan araç setine genel bir bakışı kapsayan bu hizmet olarak kötü amaçlı yazılım operasyonunun işleyişine ilişkin bilgilerimizi paylaşıyoruz. Danabot’un hassas verileri sızdırmanın yanı sıra zaten tehlikede olan bir sisteme fidye yazılımı da dahil olmak üzere başka kötü amaçlı yazılımlar sunmak için de kullanıldığını gözlemledik. Danabot’un yayından kaldırılmasından sonra toparlanıp toparlanamayacağını göreceğiz. Bununla birlikte, kolluk kuvvetleri kötü amaçlı yazılımın operasyonlarında yer alan birkaç kişinin maskesini düşürmeyi başardığı için darbe kesinlikle hissedilecektir.”
Danabot’un yazarları tek bir grup olarak faaliyet gösteriyor, araçlarını potansiyel iştirakçilere kiralık olarak sunuyor ve onlar da daha sonra kendi botnet’lerini kurup yöneterek kötü niyetli amaçları için kullanıyorlardı. Danabot’un yazarları, müşterilere kötü niyetli amaçlarında yardımcı olmak için çok çeşitli özellikler geliştirmiştir. Danabot tarafından sunulan en önemli özellikler arasında şunlar yer alıyor: Tarayıcılardan, posta istemcilerinden, FTP istemcilerinden ve diğer popüler yazılımlardan çeşitli verileri çalma yeteneği; keylogging ve ekran kaydı; kurbanların sistemlerinin gerçek zamanlı uzaktan kontrolü; dosya yakalama (genellikle kripto para cüzdanlarını çalmak için kullanılır); Zeus benzeri web enjeksiyonları ve form yakalama desteği ve rastgele yük yükleme ve yürütme. Eset Research, çalma yeteneklerini kullanmanın yanı sıra yıllar boyunca Danabot aracılığıyla çeşitli yüklerin dağıtıldığını gözlemledi. Ayrıca Eset, Danabot’un zaten tehlikede olan sistemlere fidye yazılımı indirmek için kullanıldığı örneklerle karşılaştı. Tipik siber suçlara ek olarak Danabot, DDoS saldırıları başlatmak için ele geçirilmiş makineleri kullanmak gibi daha az geleneksel faaliyetlerde de kullanılmış. Örneğin, Rusya’nın Ukrayna’yı işgalinden kısa bir süre sonra Ukrayna Savunma Bakanlığı’na yönelik bir DDoS saldırısı.
Siber Suçluların Tercih Ettiği Bir Kötü Yazılım
Eset’in gözlemlerine göre Danabot, varlığı boyunca birçok siber suçlunun tercih ettiği bir araç oldu ve her biri farklı dağıtım yöntemleri kullandı. Danabot’un geliştiricileri, çeşitli kötü amaçlı yazılım şifreleyicileri ve yükleyicilerinin yazarlarıyla bile ortaklık kurdu. Müşterilerine bir dağıtım paketi için özel fiyatlandırma sunarak süreçte onlara yardımcı oldu. Son zamanlarda, Eset’in gözlemlediği tüm dağıtım mekanizmaları arasında, Google arama sonuçlarındaki sponsorlu bağlantılar arasında görünüşte alakalı ancak aslında kötü amaçlı web sitelerini görüntülemek için Google Reklamlarının kötüye kullanılması, kurbanları Danabot’u indirmeye ikna etmek için en belirgin yöntemlerden biri olarak öne çıkıyor. En popüler yöntem ise kötü amaçlı yazılımı yasal bir yazılımla paketlemek ve bu paketi sahte yazılım siteleri ya da kullanıcılara sahipsiz fonları bulmalarına yardımcı olacağını vaat eden web siteleri aracılığıyla sunmaktır. Bu sosyal mühendislik tekniklerine en son eklenen, uydurma bilgisayar sorunları için çözümler sunan aldatıcı web siteleridir ve bunların tek amacı, kurbanları kullanıcının panosuna gizlice yerleştirilen kötü amaçlı bir komutun yürütülmesine ikna etmektir.
Danabot’un yazarları tarafından iştiraklerine sağlanan tipik araç seti, bir yönetim paneli uygulaması, botların gerçek zamanlı kontrolü için bir backconnect aracı ve botlar ile gerçek C&C sunucusu arasındaki iletişimi aktaran bir proxy sunucu uygulaması içerir. İştirakçiler yeni Danabot yapıları oluşturmak için çeşitli seçenekler arasından seçim yapabilirler ve bu yapıları kendi kampanyaları aracılığıyla dağıtmak onların sorumluluğundadır.
Kaynak : 