Siber suç, sahtekarlık yönetimi ve siber suç
Mirai Varyant’ı kullanarak DDOS saldırıları satmakla suçlanan 22 yaşındaki Oregon Man
Mathew J. Schwartz (Euroinfosec) •
20 Ağustos 2025
Federal savcılar, Oregon’lu bir adamı “rapçi botu” adlı web sitelerini bozmak için isteğe bağlı bir hizmet vermekle suçladılar.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Savcılar, on bir on bir botnet ve cowbot olarak da bilinen dağıtılmış tıp hizmeti, 2021’in başından beri, trilyonlarca bitin bir botnetten abur cubur trafiği ile pummels yaparak düzenli olarak yıkıldı. Botnet, dijital video kaydediciler ve WiFi yönlendiricileri de dahil olmak üzere birçok farklı türden ödün verilen Nesnelerin İnterneti cihazlarından oluşur.
ABD Adalet Bakanlığı Salı günü 22 yaşındaki Ethan J. Foltz, Botnet’in arkasında kilit bir geliştirici ve yönetici olarak adlandırdı. Maksimum 10 yıl hapis cezası taşıyan bilgisayar müdahalelerine yardımcı ve destekleme ile suçlandı.
Mahkeme belgelerine göre, rapçi Bot yaklaşık Ocak 2021’den bu ayın başlarına kadar faaliyet gösterdi ve saniyede 6’dan fazla terabitte zirve yapan talep üzerine saldırılar gerçekleştirdi ve mahkeme belgelerine göre 80 farklı ülkedeki kurbanları etkiledi. Savcılar, “30 saniye süren saniyede iki terabitin ortalaması olan bir DDOS saldırısı, bir kurbanın 500 $ ila 10.000 $ arasında bir maliyeti olabilir.” Dedi.
Çin siber güvenlik şirketi Qi A Xin Teknoloji Grubu’na göre, bu yılın başlarında rapçi Bot tarafından başlatılan saldırıların hem AI platformu Deepseek’i hem de Sosyal Platform X’i bozduğunu söyledi. Şirket, Haziran ayında yaptığı açıklamada, “Son örneklerde, rapperbot’un kurbanları zorlamaya başladığını, DDOS saldırılarından kaçınmak için ‘koruma ücretleri’ talep ettiğini fark ettik.” Dedi.
Botnet, Amazon, Paypal, Spotify ve Twitter’ın beğenileri tarafından yürütülen büyük web sitelerini bozan büyük saldırılarda kullanıldığı Ağustos 2016’da piyasaya sürülen Mirai kötü amaçlı yazılımlarının bir varyantına dayanıyor. Birisi kaynak kodunu siber suç forumu hackforums’a sızdırdı ve siber suçluların bir dizi taklit botnet başlatmak için kullanacağını garanti etti.
Müfettişler, rapçi Bot’un, enfekte olmuş sistemleri – yani botları da zorlama yeteneğine sahip olduğu için dikkate değer bir Mirai varyantı olan FBOT’dan, Dciai varyantı, Ethereum kripto para birimi için madenden geliştiğini söyledi.
Rapçi Bot soruşturması, ABD Savunma Bakanlığı’nın savunma ceza soruşturma hizmeti tarafından yönetiliyor ve bu da BotNet’in, binlerce diğer kurban arasında Pentagon’a internet hizmetleri sağlayan kuruluşları bozan birden fazla saldırıya bağlı olduğunu söyledi.
Pazartesi tarihli bir cezai şikayet ve tutuklama emri başvurusunu destekleyen araştırmacılardan bir beyanname, DCIS özel ajanı Elliott R. Peterson tarafından yazılmıştır. Eski bir FBI ajanı olan Peterson, Mirai Botnet ve Nexus -Mirai, Satori, Masuta ve FBOT gibi çok sayıda varyantın yanı sıra anonim Sudan ddos hacktivism Grubuna (bkz. Biz Sudanlı Kardeşleri Anonim Sudan Saldırıları için İtiraz ediyor).
Rekor kıran saldırılar
Müfettişler, rapçi Botnet’in tipik olarak 65.000 ila 95.000 enfekte olmuş cihazdan veya botlardan oluştuğundan şüphelendiklerini, ancak bazen saniyede 6 terabitte bakmasına rağmen, düzenli olarak saniyede 2 veya 3 terabit sürdüren saldırıları başlattığını söyledi. Orijinal Mirai Botnet, yaklaşık 300.000 IoT cihazı ve saniyede 1 terabit’e ulaşan sürekli saldırılardan oluşuyordu.
Müfettişler, adlandırmadıkları özel bir firmanın, tersine mühendislik rapçi Bots’un iletişim protokolünü ve daha sonra C2 sunucularından botlara verilen saldırı komutlarının izlenen izlenen saldırı komutlarını söyledi. Verilerine dayanarak, Nisan ayından Ağustos başlarına kadar rapçi Bot, 18.000 benzersiz kurbana karşı 370.000’den fazla saldırı başlattı ve en iyi kurbanlar Amazon Web Services, Google Cloud, Eons Data Communications, EveryMatrix ve Microsoft’dur.
Folzer, rapçi botlarını kontrol etmek için kullanılan alan adını kaydettirdi, ballpit.ccAirmail Gizlilik Merkezli E-posta Hizmetini kullanarak ve PayPal aracılığıyla ödeme. Araştırmacılardan gelen yasal talebe yanıt olarak PayPal, belirtilen Airmail e -posta adresinin potansiyel olarak Ethan Foltz adına birkaç hesapla ilişkili olduğunu ve bu FOLTZ hesaplarının kendilerinin Google Gmail hesaplarıyla ilişkili olduğunu gösteren kayıtlar sağladı. ” FOLTZ’nin ikametgahı için internet servis sağlayıcısı kayıtlarına dayanarak, araştırmacılar, görünür VPN kullanımına rağmen, “IP örtüşme” ni bulduklarını, yani Gmail ve PayPal hesaplarına aynı anda erişmek için birden fazla durumda kullanılan aynı IP adresini bulduklarını söylediler.
12 Temmuz’da Peterson’ın beyanı, Google’a Foltz kayıtları için Google’a, en son Mart ayında Mirai kaynak kodu için birden fazla aramayı ve Google Drive hesabında depolanan kaynak kodunun bir kopyasını, kötü amaçlı geliştirme ile birlikte çok sayıda arama da dahil olmak üzere, “foltz’i rapçi botuna bağlayan kapsamlı kanıtları ortaya çıkaran” federal bir arama emri yayınladığını söyledi. Görünüşe göre siber güvenlik bloglarının düzenli incelemelerine bağlı olan “Rapperbot” ve “Rapçi Bot” için 100’den fazla arama, bilinen ve rapor edilenleri takip etmek için
Şüpheli, Feds’e erişim sağlar
DCIS ajanları, 6 Ağustos’ta Foltz’in ikametgahında federal bir arama emri gerçekleştirdi, haklarını okudu, sonra olay yerinde onunla röportaj yaptı.
“Bu kaydedilen röportaj sırasında Foltz, rapçi BOT’un birincil yöneticisi olduğunu, birincil ortağının sadece hizmetin ana satıcısı olarak hizmet eden ‘katliamlar’ olarak bildiği bir birey olduğunu ve kodun sadece Mirai’den değil, aynı zamanda Tsunami ve fbot olarak bilinen DDOS botnet’ten etkilendiğini ve/veya türetildiğini belirtti.
Müfettişler, Foltz’in paylaştığı yönetici kimlik bilgilerini kullanmalarını istediğini söyledi. Gördükleri hizmet kullanıcılarının bir listesini, şu anda dört veya beşi başka yönetici veya destek personeli gibi görünen 18 aktif kullanıcı olduğunu öne sürdüler.
Foltz, araştırmacılara C2 sunucusunun iki proxy sunucusu ile iletişim kurduğunu söyledi. Bir dizi, enfekte cihazlarla iletişim kurmak için “bot denetleyicileri” olarak hizmet etti. Diğer dizi, müşterilerin saldırı sipariş etmek için kullandığı bir gösterge paneli işleten “Müşteri Proxy’leri” olarak hizmet etti, her müşteri bir seferde sadece 10.000 ila 30.000 botnet erişebilir ve maksimum 60 saniye süren 100 saldırı yürütmesine izin verdi.
Affidavit, “Ziyaretim tarihinde, Botnet tahmini 65.000 kurban cihazı, hala kontrol etmek için yönetilebilirken güçlü saldırılar sağlayan bir ‘Goldilocks’ cihazını içeriyordu ve Foltz ve ortaklarının umutlarında tespit edilemeyecek kadar küçük.”
Savcılar, rapçi Botnet hakkındaki soruşturmanın dünya çapında işe alım altyapısını hedefleyen uluslararası kolluk operasyonu poçanı ile birlikte yapıldığını söyledi. Bu çaba devam ediyor, en azından yeni hizmet sağlayıcıları mevcut olanlar tutuklansa bile ortaya çıkmaya devam ettikleri için (bkz:: Strese/Booter Service Baskının bir parçası olarak Polonya büstleri 4).