ABD Adalet Bakanlığı (DOJ) Perşembe günü Danabot (aka Danatools) ve Rusya merkezli bir siber suç kuruluşu tarafından kontrol edildiğini söylediği kötü amaçlı yazılımların geliştirilmesi ve konuşlandırılmasına dahil oldukları iddiasıyla 16 kişiye karşı suçsuz suçlamalar.
DOJ, kötü amaçlı yazılım, dünya çapında 300.000’den fazla kurban bilgisayarı enfekte etti, sahtekarlığı ve fidye yazılımlarını kolaylaştırdı ve en az 50 milyon dolarlık zarar verdi. Sanıklardan ikisi Aleksandr Stepanov (diğer adıyla Jimmbee), 39 ve 34 yaşındaki Artem Aleksandrovich Kalinkin (AKA Onix), her ikisi de Rusya’nın Novosibirsk’ten şu anda büyük.
Stepanov, komplo, tel sahtekarlığı ve banka sahtekarlığı yapmak için komplo, ağırlaştırılmış kimlik hırsızlığı, korunan bir bilgisayara yetkisiz erişim, korumalı bir bilgisayarın yetkisiz bozulması, teleketleme ve durdurulmuş bir iletişimin kullanımı ile suçlandı. Kalinkin, bilgi edinmek, dolandırıcılık için bir bilgisayara yetkisiz erişim elde etmek ve korunan bir bilgisayarın yetkisiz bozulmasını sağlamak için bir bilgisayara yetkisiz erişim elde etmek için komplo ile suçlandı.
Kazanmamış cezai şikayet ve iddianame, Kalinkin’i sayan sanıkların çoğunun, kendi sistemlerini yanlışlıkla kötü amaçlı yazılımlarla bulaştıktan sonra gerçek yaşam kimliklerini ortaya çıkardıklarını göstermektedir.
“Bazı durumlarda, kötü amaçlı yazılımları test etmek, analiz etmek veya iyileştirmek için bu tür enfeksiyonlar kasıtlı olarak yapıldı.” [PDF] Okumak. “Diğer durumlarda, enfeksiyonlar yanlışlıkla gibi görünüyordu – siber suç işlemenin tehlikelerinden biri, suçluların bazen kendi kötü amaçlı yazılımlarıyla yanlışlıkla enfekte olmalarıdır.”
Diyerek şöyle devam etti: “Yanlışlıkla enfeksiyonlar genellikle hassas ve tehlike verici verilerin kötü amaçlı yazılım tarafından aktörün bilgisayarından çalınmasına ve Danabot organizasyonunun üyelerini tanımlamaya yardımcı olan veriler de dahil olmak üzere Danabot sunucularında saklanmasına neden oldu.”
Hüküm giymesi halinde Kalinkin’in federal hapishanede 72 yıllık maksimum ceza ile karşılaşması bekleniyor. Stepanov beş yıllık bir hapis cezası alacaktı. Eylemle eşzamanlı olarak, Endgame Operasyonunun bir parçası olarak yürütülen kolluk çalışması, Danabot’un ABD’de barındırılan düzinelerce sanal sunucu da dahil olmak üzere ele geçirilen komuta ve kontrol (C2) sunucularını gördü.
DOJ, “Danabot kötü amaçlı yazılım, kötü niyetli ekler veya köprüler içeren spam e -posta mesajları da dahil olmak üzere kurban bilgisayarlarına enfekte etmek için çeşitli yöntemler kullandı.” Dedi. “Danabot kötü amaçlı yazılımlarla enfekte olan kurban bilgisayarlar, BOTNET’in (tehlikeye atılmış bilgisayarlar ağı) bir parçası haline geldi ve BOTNET operatörlerinin ve kullanıcılarının enfekte bilgisayarları koordineli bir şekilde uzaktan kontrol etmelerini sağladı.”
Danabot, yakın zamanda sökülmüş Lumma Stealer kötü amaçlı yazılım gibi, bir Hizmet Olarak Kötü Yazılım (MAAS) programı altında çalışır ve yöneticiler ayda 500 $ ‘dan “birkaç bin dolara” başlayan erişim kiralıyor. Scully Spider ve Storm-1044 adlı takma izlenen, Emotet, Trickbot, Qakbot ve Icedid çizgileri boyunca çok işlevli bir araçtır ve fidye yazılımı gibi bir sonraki aşamalı yükler için bir stealer ve dağıtım vektörü olarak hareket edebilecek.
Delphi tabanlı modüler kötü amaçlı yazılım, kurban bilgisayarlarından, kaçak bankacılık oturumlarından ve cihaz bilgilerini, kullanıcı tarama geçmişlerini, depolanmış hesap kimlik bilgilerini ve sanal para birimi cüzdan bilgilerinden alınan verileri sifonludur. Ayrıca tam uzaktan erişim, günlük tuş vuruşları ve videolar çekebilir. Mayıs 2018’de bir bankacılık Truva atı olarak başladığı ilk çıkışından bu yana Wild’da aktif.
 |
| Tipik Danabot altyapısı örneği |
Crowdstrik, “Danabot, ABD ve Kanada merkezli finans kurumlarını Ekim 2018’de içerecek şekilde hedefleme duruşunu genişletmeden önce Ukrayna, Polonya, İtalya, Almanya, Avusturya ve Avustralya’daki kurbanları hedef aldı.” Dedi. “Kötü amaçlı yazılım popülaritesi, Zeus tabanlı web enjeksiyonlarını, bilgi çalma yeteneklerini, tuş vuruşu günlüğünü, ekran kaydı ve gizli sanal ağ hesaplama (HVNC) işlevselliğini destekleyen erken modüler gelişiminden dolayı büyüdü.”
Black Lotus Labs ve Team Cymru’ya göre, Danabot bir kurban ve Botnet denetleyicileri arasında katmanlı bir iletişim altyapısı kullanıyor, burada C2 trafiği son seviyeye ulaşmadan önce iki veya üç sunucu katmanından vekil. En az beş ila altı katmanlı sunucu herhangi bir zamanda aktifti. Danabot kurbanlarının çoğunluğu Brezilya, Meksika ve ABD etrafında yoğunlaşıyor.
Şirketler, “Operatörler zanaatlarına olan bağlılıklarını gösterdiler, tespit ve işletme savunmasındaki değişikliklere uyarlandılar ve daha sonraki yinelemelerle, izlemeyi gizlemek için katmanlardaki C2’leri yalıttılar.” Dedi. “Bu süre zarfında botu yapılandırılmış fiyatlandırma ve müşteri desteği ile daha kullanıcı dostu hale getirdiler.”
 |
| Çok katmanlı C2 mimarisinin üst düzey diyagramı |
DOJ, Danabot yöneticilerinin BotNet’in Kuzey Amerika ve Avrupa’daki askeri, diplomatik, hükümet ve ilgili kuruluşlarda kurban bilgisayarları hedeflemek için özel olarak tasarlanmış ikinci bir versiyonunu işlettiğini söyledi. Ocak 2021’de ortaya çıkan bu varyant, bir kurban cihazında meydana gelen tüm etkileşimleri kaydetmek ve verileri farklı bir sunucuya göndermek için özelliklerle donatıldı.
Amerika Birleşik Devletleri Avukatı Bill Essayli Kaliforniya Merkez Bölgesi için “Danabot gibi yaygın kötü amaçlı yazılımlar, hassas askeri, diplomatik ve hükümet kuruluşları da dahil olmak üzere dünya çapında yüz binlerce kurbana zarar veriyor ve milyonlarca dolar kayıplara neden oluyor.” Dedi.
DOJ ayrıca, “değerli yardım” sağladığı için Amazon, Crowdstrike, ESET, Flashpoint, Google, Intel 471, Lümen, PayPal, Proofpoint, Spycloud, Team Cymru ve Zscaler gibi çeşitli özel sektör firmalarına daha da teşekkür etti.
Çeşitli raporlardan derlenen Danabot’un dikkate değer yönlerinden bazıları aşağıdadır –
- Danabot’un Sub-Botnet 5, Ukrayna Savunma Bakanlığı (MOD) Webmail Sunucusu ve Ukrayna’nın Ulusal Güvenlik ve Savunma Konseyi’ne (NSDC), Rusya’nın Ülke İçi İstilası’ndan kısa bir süre sonra Ukrayna’nın Ulusal Güvenlik ve Savunma Konseyi (NSDC) ‘a karşı HTTP tabanlı dağıtılmış Hizmet Reddetme (DDOS) saldırılarına yönelik Delphi tabanlı bir yürütülebilir dosyayı indirme komutları aldı.
- 24 ve 25 yaşındaki iki Danabot alt botnet, özellikle Rus hükümet çıkarları adına daha fazla istihbarat toplama faaliyeti amacıyla casusluk amaçları için kullanıldı.
- Danabot operatörleri, bugüne kadar tanımlanan en az 85 farklı yapı sayısı ile savunma kaçakçılığına odaklanmak için 2022’den beri tekliflerini periyodik olarak yeniden yapılandırdılar (en son sürüm 4006, Mart 2025’te derlendi)
- Kötü amaçlı yazılım altyapısı çoklu bileşenlerden oluşur: hedef sistemleri enfekte eden ve veri toplama gerçekleştiren bir “bot”, sıçan işlevlerini yöneten bir “onlinerver”, toplanan günlükleri ve bot yönetimini işlemek için bir “istemci” ve bot üretimi, paketleme ve c2 iletişimi işleyen bir “sunucu”
- Danabot, Orta Doğu ve Doğu Avrupa’daki hükümet yetkililerine karşı hedeflenen casusluk saldırılarında kullanıldı
- Danabot’un yazarları, özel sunucular kullanarak kendi botnetlerini kurarak ve yöneterek kendi kötü amaçlı amaçları için kullanan potansiyel bağlı kuruluşlara kira için kötü amaçlı yazılım sunan tek bir grup olarak çalışırlar.
- Danabot’un geliştiricileri, Matanbuchus gibi birkaç kötü amaçlı yazılım kripterinin ve yükleyicinin yazarlarıyla ortaklık kurdu ve dağıtım paketleri için özel fiyatlandırma sundu
- Danabot, 40’tan fazla ülkede yaklaşık 1.000 kurbanla günde ortalama 150 aktif Tier-1 C2 sunucusu sürdürdü ve 2025’te aktif olan en büyük MAAS platformlarından biri haline geldi.
Mayıs 2018’de ilk olarak Danabot’u tanımlayan ve adlandıran Proofpoint, Maas operasyonunun bozulmasının savunucular için bir kazanç olduğunu ve siber suçlu tehdit manzarası üzerinde bir etkisi olacağını söyledi.
“Siber suçlu aksamalar ve kolluk eylemleri sadece kötü amaçlı yazılım işlevselliğini ve kullanımını bozmakla kalmaz, aynı zamanda tehdit aktörlerini taktiklerini değiştirmeye zorlayarak, cezai ekosistemde güvensizliğe neden olarak ve potansiyel olarak farklı bir kariyer bulmayı düşündürür.” Dedi.
“Siber suçlulara yönelik bu başarılar, ancak iş BT ekipleri ve güvenlik hizmeti sağlayıcıları, topluma en büyük tehditler hakkında çok ihtiyaç duyulan bilgileri paylaştıklarında, dünyanın en çok insanı etkileyerek, saldırıların arkasındaki sunucuları, altyapıyı ve suç kuruluşlarını izlemek için kullanabileceği.
 |
| Danabot’un destek sitesinde tanıtılan özellikleri |
DOJ, Qakbot liderine karşı suçlamalar
Geliştirme, 48 yaşındaki Moskova sakini Rustam Rafailevich Gallyamo’ya karşı DOJ, Ağustos 2023’te çok uluslu bir operasyonda kesintiye uğrayan Qakbot kötü amaçlı yazılımları geliştirme ve sürdürme çabaları için ortaya çıktı. Ajans ayrıca, Gallyamov’dan 24 milyon doların üzerinde bir hukuk şikayeti, soruşturma sırasında 24 milyon doların üzerinde bir hukuk şikayetine karşı, criptoCurcy’ye karşı bir şikayette bulundu.
DOJ, “Gallyamov 2008’den itibaren Qakbot kötü amaçlı yazılımları geliştirdi, konuşlandırdı ve kontrol etti.” Dedi. “2019’dan itibaren Gallyamov’un Qakbot kötü amaçlı yazılımlarını, enfekte bilgisayarların bir ağ veya ‘botnet’ kurmak için dünyadaki binlerce kurban bilgisayarı enfekte etmek için kullandığı iddia ediliyor.”
DOJ, yayından kaldırmanın ardından Gallyamov ve yardımcı komplocularının, kurban ağlarına yetkisiz erişim elde etmek ve Black Basta ve Cactus gibi fidye yazılımı ailelerini dağıtmak için “spam bombası” saldırıları gibi diğer taktiklere geçerek cezai faaliyetlerine devam ettiklerini açıkladı. Mahkeme belgeleri, e-suç grubunu Ocak 2025’e kadar bu yöntemlere katılmakla suçluyor.
“Bay Gallyamov’un bot ağı, 2023’te FBI ve uluslararası ortaklarımızın yetenekli erkekleri ve kadınları tarafından sakatlandı, ancak kötü amaçlı yazılımlarını masum kurbanlara karşı fidye yazılımı saldırıları yapan suç yazılım saldırıları için alternatif yöntemler kullanmaya devam etti.” Dedi.