Amerika Birleşik Devletleri Adalet Bakanlığı (DOJ), 24-27 Mayıs hafta sonu öncesinde Danabot ve Qakbot kötü amaçlı yazılım hizmetlerine katılmakla suçlanan, sahtekarlık ve fidye yazılım saldırılarını kolaylaştıran ve mağdurlarına milyonlarca dolarlık zarar veren kişilerle ilgili bir dizi iddianame yayınladı.
İlk olarak 2018’de bir bankacılık truva atı olarak ortaya çıkan Danabot ile ilgili iddianameler, çok uluslu kolluk kuvvetleri ve özel sektör ortakları ile düzenlenen hizmetin büyük bir yayından kaldırılmasıyla geliyor. Bu, Mayıs ayının başlarında Lumma Stealer’ın yayından kaldırılmasının ardından takip ediyor ve ABD’li ajanların ABD’de barındırılan düzinelerce sanal sunucu da dahil olmak üzere Danabot’un komuta ve kontrol (C2) altyapısını ele geçirdiğini ve söktüğünü gördü.
Bu, siber suç çetelerini hedefleyen büyük bir küresel kolluk çalışması olan daha geniş, devam eden Operasyon Endgame’in bir kısmını oluşturdu ve Avustralyalılar, Hollandalılar ve Almanlar tarafından desteklendi. Özel sektör siber şirketleri de Amazon, Crowdstrike, ESET, Flashpoint, Google, Intel 471, Lümen, PayPal, Proofpoint, Spycloud, Team Cymru ve Zscaler dahil olmak üzere destek sağladı. Shadowserver Vakfı da dahil olmak üzere diğer ortaklar, yüz binlerce olduğu düşünülen Danabot kurbanlarını bulmak, bilgilendirmek ve yardım etmek için yetkililerle birlikte çalışıyorlar.
Amerika Birleşik Devletleri Avukatı Bill Essayli, “Danabot gibi yaygın kötü amaçlı yazılım, hassas askeri, diplomatik ve hükümet kuruluşları da dahil olmak üzere dünya çapında yüz binlerce kurbanı zarar veriyor ve milyonlarca dolar kayıplara neden oluyor” dedi.
“Bugün açıklanan suçlamalar ve eylemler, küresel siber güvenliğe yönelik en büyük tehditleri ortadan kaldırma ve nerede olursa olsun en kötü niyetli siber aktörleri takip etme taahhüdümüzü gösteriyor.”
DOJ ayrıca, Danabot ile ilişkili 16 kişiye karşı iddianame, aralarında Aleksandr ‘Jimmbee’ Stepanov, 39 ve Aleksandrovish ‘Onix’ Kalinkin, 34, her ikisi de Novosibirsk, Siberya’nın en büyük şehri olarak kaydetti.
Stepanov, komplo, tel sahtekarlığı ve banka sahtekarlığı yapmak için komplo, ağırlaştırılmış kimlik hırsızlığı, korunan bir bilgisayara yetkisiz erişim, korunan bir bilgisayarın yetkisiz bozulması, kesipli bir iletişimin kullanımı ile suçlanıyor. Kalinkin, bilgi edinmek, bir bilgisayara yetersiz erişim elde etmek ve korunan bir bilgisayarın yetkisiz bozulmasını sağlamak için bir bilgisayara yetkisiz erişim elde etmek için komplo ile suçlanır.
Bu tür iddianamelerde olduğu gibi, Rusya ve Batı arasındaki mevcut jeopolitik kırıklar göz önüne alındığında, her iki birey de Rusya’da bulunduğundan, ABD’ye iade edecek bir yargı yetkisine seyahat etmedikçe adaletle karşılaşmaları pek olası değildir.
Danabot ne yaptı?
Kötü niyetli ekler ve köprüler içeren spam e -postaları ile yayılan Danabot kötü amaçlı yazılım, kurbanlarının makinelerini, göz atma geçmişleri, cihaz bilgileri, depolanmış kimlik bilgileri ve sanal kripto cüzdanlarının içeriği de dahil olmak üzere verileri çalmak için kontrolörleri tarafından kullanılan güvenliği ihlal edilmiş botnetlerle işbirliği yaptı. Ayrıca, kurbanlarının bilgisi olmadan çevrimiçi bankacılık oturumlarını ele geçirebildi.
Buna ek olarak, Danabot, Standart bir Hizmet Olarak Kötü Yazılım (MAAS) iş modeli aracılığıyla ona erişim satın alan kullanıcılarına da, tuş vuruşlarını kaydetmek için bilgisayarlara tam uzaktan erişim sağlayabilir ve fidye yazılımlarının yayılmasına yardımcı olarak.
Özellikle, yöneticileri Danabot Botnet’in Kuzey Amerika ve Avrupa’daki diplomatik, hükümet ve askeri organları hedefleyen ikinci bir versiyonunu yürütmektedir. Bu botnet, ortak veya bahçe dolandırıcı müşterileri tarafından kullanılanlara farklı sunucular kullandı.
Yayından kaldırmaya katılan Proofpoint Personeli Tehdit Araştırmacısı Selena Larson, “Danabot’un bozulması savunucular için harika bir kazançtır ve siber cezai tehdit manzaraları üzerinde bir etkiye sahip olacaktır. Sadece kötü amaçlı yazılım işlevlerini ve kullanımı bozmakla kalmayıp, aynı zamanda taktiklerini etkilemeye zorlamak için tehdit oluşturmaya zorlamakla kalacak, aynı zamanda tehditleri etkilemekle kalacak. Suçlular farklı bir kariyer bulmayı düşünüyor.
“Siber suçlulara yönelik bu başarılar, iş BT ekipleri ve güvenlik hizmeti sağlayıcıları, topluma en büyük tehditler hakkında çok ihtiyaç duyulan bilgileri paylaştıklarında ve kolluk kuvvetlerinin saldırıların arkasındaki sunucuları, altyapı ve suç örgütlerini izlemek için kullanabileceği en fazla insanı etkilediğinde ortaya çıkıyor.
Larson, “Özel ve kamu sektörü işbirliği, aktörlerin nasıl faaliyet gösterdiğini ve onlara karşı nasıl hareket ettiğini bilmek için çok önemlidir. Mümkün ve uygun olduğunda Proofpoint, daha geniş bir kitleyi ve internet topluluğunu korumaya ve yaygın kötü amaçlı yazılım tehditlerine karşı savunmaya yardımcı olmak için ekibinin bilgi ve teknik beceri setinden yararlanır” dedi.
Qakbot için daha fazla sorun
Ayrıca geçen hafta, Moskova’dan 48 yaşındaki bir Rustam Rafailevich Gallyamov’a karşı DOJ seviyeleri suçlamalarından dolayı, onu, çok daha eski bir kötü amaçlı yazılım olan, ancak 2023 operasyonunda alınan bankacılık dünyasında bulunan bankacılık dünyasında kökenlerle suçladı.
Suçlamalarla bağlantılı olarak, DOJ ayrıca ABD’nin mümkünse kurbanlara dönmeye çalışacağı 2023 yayından kaldırma sırasında 4 milyon dolarlık 4 milyon dolarlık bir kripto varlıklarına karşı 24 milyon dolarlık bir sivil kaybetme şikayeti sundu.
Qakbot bir zamanlar birçok siber güvenlik uzmanının bête noire idi. Danabot gibi bir Maas modeli aracılığıyla satılan, fidye yazılımı çeteleri tarafından son 10 yılın Black Basta, Conti, Doppelpaymer, Egregor ve Revil gibi daha kötü şöhretli mürettebatları da dahil olmak üzere bir sahneleme direği olarak kullanıldı. Bu çetelerin Gallyamov’a aldıkları fidye ödediği iddia ediliyor.
İddianame ayrıca Qakbot’un yayından kaldırılmasının ardından Gallyamov ve eş komplocularının çalışmalarına devam ettiklerini ancak farklı bir dizi tekniğe döndüğünü iddia ediyor. Bir botnet kullanmak yerine, hedeflenen şirketlerdeki e-posta gelen kutularının, hata yapmak için kandırmak için önemsiz e-postalarla boğulmuş olduğu kurbanlara yönelik spam bomba saldırılarına yöneldiler.
DOJ’a göre Gallyamov, Ocak 2025’e kadar bu tür saldırıları yürütüyordu ve aynı zamanda siyah Basta fidye yazılımı üyesi olmuş olabilir.
Qakbot soruşturmasında destek Fransa, Almanya ve Hollanda’daki ajanslar tarafından sağlandı ve Avrupa Birliği’nin Europol’u da dahil edildi.