Belirli siber suç grupları fidye yazılımı çeteleri, botnet operatörleri ve finansal dolandırıcılık dolandırıcıları, saldırıları ve operasyonları için özel ilgi görüyor. Ancak dijital suçun altında yatan daha geniş ekosistem, esas olarak bu suçlu müşterilere destek hizmetleri satan bir dizi aktör ve kötü niyetli kuruluş içerir. Bugün, güvenlik firması eSentire’den araştırmacılar, işletmeleri ve diğer kuruluşları tehlikeye atan ve ardından bu dijital erişimi diğer saldırganlara satan uzun süredir devam eden bir suç örgütünün operasyonlarını bozmak için kullandıkları yöntemleri açıklıyor.
“Hizmet olarak ilk erişim” operasyonu olarak bilinen “Gooloader” kötü amaçlı yazılımı ve arkasındaki suçlular yıllardır ödün veriyor ve dolandırıcılık yapıyor. Gootloader çetesi, kurban kuruluşlara bulaşır ve ardından fidye yazılımı, veri hırsızlığı için mekanizmalar veya hedefi daha derinden tehlikeye atacak diğer araçlar olsun, müşterinin tercih ettiği kötü amaçlı yazılımı güvenliği ihlal edilmiş hedef ağa teslim etmek için erişim satar. Örneğin eSentire araştırmacıları, Gootloader sayfa verilerini takip ederek, Rusya merkezli kötü şöhretli fidye yazılımı çetesi REvil’in kurbanlara ilk erişimi sağlamak için 2019 ile 2022 yılları arasında düzenli olarak Gootloader ile çalıştığına dair kanıtlar topladı; bu, diğer araştırmacıların da fark ettiği bir ilişki.
eSentire’in baş güvenlik araştırmacısı Joe Stewart ve kıdemli tehdit araştırmacısı Keegan Keplinger, canlı Gootloader web sayfalarını ve önceden virüs bulaşmış siteleri takip etmek için bir web gezgini tasarladı. Şu anda ikisi, yaklaşık 178.000 canlı Gootloader web sayfası ve tarihsel olarak Gootloader bulaşmış gibi görünen 100.000’den fazla sayfa görüyor. Geçen yıl geriye dönük bir danışma belgesinde, Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Dairesi, Gootloader’ın 10 diğer kötü amaçlı yazılım türüyle birlikte 2021’in en iyi kötü amaçlı yazılım türlerinden biri olduğu konusunda uyardı.
Stewart ve Keplinger, Gootloader’ın zaman içindeki etkinliğini ve operasyonlarını izleyerek, Gootloader’ın izlerini nasıl örttüğüne ve savunucuların ağları virüs bulaşmasından korumak için istismar edebileceklerinin tespit edilmekten nasıl kaçmaya çalıştığına ilişkin özellikleri belirledi.
Stewart, “Gootloader sisteminin ve kötü amaçlı yazılımın nasıl çalıştığını daha derine inerek, operasyonlarını etkilemek için tüm bu küçük fırsatları bulabilirsiniz” diyor. “Dikkatimi çektiğinizde, bir şeylere takıntılı hale geliyorum ve bir kötü amaçlı yazılım yazarı olarak, araştırmacıların operasyonlarınıza tamamen dalmasını istemediğiniz şey de bu.”
Gözden ırak olan gönülden de ırak olur
Gootloader, 2010’dan bu yana özellikle Avrupa’daki hedefleri etkileyen Gootkit olarak bilinen bir bankacılık truva atından geliştirildi. Gootkit genellikle kimlik avı e-postaları veya lekeli web siteleri aracılığıyla dağıtıldı ve kredi kartı verileri ve insanların banka hesabı oturum açma bilgileri gibi finansal bilgileri çalmak için tasarlandı. Bununla birlikte, 2020’de başlayan faaliyetin bir sonucu olarak, kötü amaçlı yazılım dağıtım mekanizması, casus yazılım ve fidye yazılımı da dahil olmak üzere bir dizi suç yazılımını dağıtmak için giderek daha fazla kullanıldığından, araştırmacılar Gootloader’ı ayrı ayrı izliyorlar.
Gootloader operatörü, güvenliği ihlal edilmiş belgelere, özellikle şablonlara ve diğer genel formlara bağlantılar dağıtmasıyla tanınır. Hedefler bu belgeleri indirmek için bağlantılara tıkladığında istemeden kendilerine Gootloader kötü amaçlı yazılım bulaştırırlar. Saldırganlar, indirmeyi başlatacak hedeflere ulaşmak için arama motoru optimizasyonu zehirlenmesi olarak bilinen bir taktik kullanarak meşru blogları, özellikle WordPress bloglarını tehlikeye atar ve ardından bunlara kötü niyetli belge bağlantılarını içeren içeriği sessizce ekler.
Gootloader, kusurlu blog gönderilerine giden bağlantıları bir dizi özellik açısından taramak için tasarlanmıştır. Örneğin, birisi güvenliği ihlal edilmiş bir WordPress blogunda oturum açarsa, yönetici ayrıcalıklarına sahip olsun ya da olmasın, kötü niyetli bağlantıları içeren blog gönderilerini görmeleri engellenir. Ve Gootloader, ilgili bir WordPress hesabında oturum açmış olan adrese sayısal olarak yakın olan IP adreslerini de kalıcı olarak engelleyecek kadar ileri gider. Buradaki fikir, aynı kuruluştaki diğer kişilerin kötü niyetli gönderileri görmesini engellemektir.