Siber suç, sahtekarlık yönetimi ve siber suç
Danabot çaldı ve casusluk yapardı
David Perera (@Daveperera) •
22 Mayıs 2025
Danabot’un arkasındaki Rus siber suçlu çetesindeki en iyi figür, kendi bilgisayarını kötü amaçlı yazılımla enfekte etti ve bir FBI ajanının sisteminin bir görüntüsünü aramasına izin verdi, ABD federal savcıları Perşembe günü iddianamelerde açıkladı ve kötü amaçlı yazılım altyapısının açıklandı.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Federal savcılar, şüpheli Danabot lideri Aleksandr Stepanov, 39, aka “Jimmbee” ve Artem Aleksandrovich Kalinkin, 34, aka “Onix,” de Novosibirsk, “
Adalet, Savunma Ceza Soruşturma Servisi’nin ABD’de barındırılan sanal sunucuların “düzinelerce” dahil olmak üzere Danabot komutanlığı ve kontrol sunucularını ele geçirdiğini söyledi.
Kalinkin’e karşı şikayette FBI, Danabot sunucularının kopyalarını aldığını söyledi. Arama, aktif bir kullanıcı “onx” olan bir bilgisayar gösterdi – bu da Danabot satış ve desteğinden sorumlu bir kimlik olan Onix’e ait bir bilgisayar olduğu ortaya çıktı. Danabot, tasarlandığı gibi, veri sifonunu ve sistemden giriş bilgilerini sifonladı ve FBI’ın Gmail ve iCloud e -posta adresleri aracılığıyla Onix’i Kalinkin’e bağlamasına izin verdi.
ABD Avukatı Bill Essayli, “Danabot gibi yaygın kötü amaçlı yazılımlar, hassas askeri, diplomatik ve devlet kuruluşları da dahil olmak üzere dünya çapında yüz binlerce kurbana zarar veriyor. Savcılar, Danabot’un dünya çapında 300.000’den fazla bilgisayarı enfekte ettiğini ve en az 50 milyon dolar hasara neden olduğunu söyledi. ESET tarafından yapılan analiz, Polonya’yı en hedefli ülkelerden biri olarak belirler. Siber güvenlik şirketi, 1.000’den fazla benzersiz Danabot komuta ve kontrol sunucusunu bildiğini söyledi.
Güvenlik araştırmacıları ilk olarak 2018’de Vahşi’de Danabot’u gördü, ancak savcıların zaman çizelgesine göre Stepanov, Eylül 2015’te kötü amaçlı yazılımları kodlama çabalarına başladı. Kötü amaçlı yazılımın arkasındaki çete – TA547 ve Scully Spider – Danabot’a ayda 3000 ila 4.000 dolar arasında erişim sundu. FBI, 2018-2021 yılları arasında yaklaşık 40 aktif müşteri tespit ettiğini söyledi. Çoğu bağlı kuruluş Rus olduğunu söyledi.
Alışılmadık bir şekilde, iki Danabot varyantı vardır: biri siber suç için, diğeri casusluk için. Çete nihayetinde Rusya içindeki sunuculardaki casusluk varyantı tarafından çalınan verileri sakladı. Casusluk varyantı ile enfeksiyonlar, ABD, Belarus, Birleşik Krallık, Almanya ve Rusya’daki bilgisayarlara çarparak suç varyantından daha az yaygındı. Savcılar, “diplomatik personel tarafından finansal işlemler, günlük diplomatik faaliyetlerle ilgili yazışmalar ve belirli bir ülkenin ABD ile etkileşimlerinin özetleri” gibi verileri çalmak için konuşlandıran casusluk varyantının kullanıcılarını suçlamadıklarını söylüyorlar.
Bir tehdit oyuncusu Danabot’u Mart 2022’de Ukrayna Savunma Bakanlığı Webmail Sunucusuna karşı dağıtılmış bir hizmet reddi saldırısı başlatmak için kullandı. İddianame, Rusya’nın Ukrayna’ya karşı bir fetih savaşı başlattığı Ukraynalı DDOS saldırılarını, Steganov ve diğer Dans’ların diğer üyelerine karşı bir fethi başlattılar.
Kötü amaçlı yazılımı ilk gözlemleyen Proofpoint, Danabot aktörlerinin Avrupa’da Güvenlik ve İşbirliği Örgütü’nü ve Kazakistan devlet kurumunun Ekim 2019 ve Ocak 2020’de bilgisayarları engellemesini söyledi.
Siber güvenlik firması Crowdstrike, “Danabot, Rus Ecrime ve devlet destekli siber operasyonlar arasındaki bulanık çizgileri örneklendiriyor.” Diyerek şöyle devam etti: “İstihbarat toplama faaliyetleri için bu doğrudan cezai altyapı kullanımının, Scully Örümcek Operatörlerinin Rus hükümet çıkarları adına hareket ettiğine dair kanıtlar sağladığını düşünüyoruz.”
Suç varyantının kullanıcıları sadece bankacılık kimlik bilgilerini çalmak için kullanmadı. Çevrimiçi alışveriş platformları da birincil hedefti. Bir durumda, bir bağlı kuruluş, orijinal fiyattan birkaç kat daha fazla geri ödemelerle, ürün satın almak ve sahte iadeler için geri ödeme yapmak için çalıntı kimlik bilgilerini kullanmak için kötü amaçlı yazılımları çevrimiçi bir mağazaya karşı kullandı. Kalinkin şikayetleri, “Birçok kurban çevrimiçi perakendeciydi ve satış platformlarında kapsamlı bir sahtekarlık gördü.”
Danabot, spam kampanyaları, kötüverizasyon ve halihazırda Smokeloader gibi kötü amaçlı yazılımlarla enfekte olmuş bir bilgisayara indirme gibi bir dizi yöntemle kurban bilgisayarlara ulaştı. Crowdstrike, Kasım 2021’de bir suç işliliğini, haftalık 8.9 milyon indirme yapan tehlikeye atılmış bir JavaScript çalışma zamanı ortamı NPM paketinde sakladı.
ESET, tüm dağıtım mekanizmalarından, Google reklamlarının görünüşte alakalı, ancak aslında kötü niyetli web sitelerinin Google arama sonuçlarındaki sponsorlu bağlantılar arasında “en önemli yöntemlerden biri olarak öne çıktığını görünce kötüye kullanmanın kötüye kullanıldığını yazdı.
Danabot iştirakleri, kullanıcıları bilgisayarlarına kötü amaçlı komutları kopyalayıp yapıştırmaya çalıştıran Web sitelerine aldatıcı BT’ye yardımcı olmaya yardımcı oldular.