Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç
Ulusal Polis 3.000 Makineyi Etkileyen Botnet Kampanyasını Soruşturuyor
Akşaya Asokan (asokan_akshaya) •
26 Temmuz 2024
Fransa hükümeti, Fransa’daki binlerce sosyal ağa bulaşan şüpheli bir Çin casusluk kampanyasıyla ilgili soruşturma başlattı.
Ayrıca bakınız: Siber Kurtarma Rehberinizi Nasıl Oluşturursunuz
Paris Başsavcılığı Perşembe günü, şüpheli casusluk amaçları için kullanılan bir “makine zombileri ağı” veya botnet’ler hakkında ön soruşturma başlattığını söyledi. Fransız siber güvenlik firması Sekoia, 2023’te bilgisayar korsanlığı kampanyasını ortaya çıkardı.
Botnet kampanyası, 2020’den bu yana Fransa’da 3.000 makineye bulaşan PlugX uzaktan erişim Truva atını ortaya çıkardı. Fransız Ulusal Polisi’nin dijital birimi, etkilenen cihazları geri yüklemek için çabalara öncülük ediyor.
Paris Başsavcılığı, “Dezenfeksiyon operasyonu 18 Temmuz’da başlatıldı ve birkaç ay devam edecek,” dedi. “Sürecin başlamasından birkaç saat sonra, çoğunluğu Fransa’da olmak üzere yaklaşık yüz mağdur bu dezenfeksiyondan faydalandı.”
Fransız yetkililer ayrıca Malta, Portekiz, Hırvatistan, Slovakya ve Avusturya’daki cihazları da geri yükledi. Savcılık, “Fransız mağdurlar Ulusal Bilgi Sistemleri Güvenliği tarafından bireysel olarak bilgilendirilecek” dedi.
PlugX, Destroy RAT ve Kaba olarak da bilinir, 2008’den beri aktiftir. Kötü amaçlı yazılım, saldırganların enfekte olmuş cihazların tam kontrolünü uzaktan ele geçirmesine olanak tanıyan arka kapı yetenekleri sunar. Varyant, genellikle VioletTyphoon, Mustang Panda ve Wicked Panda olarak izlenen Çin gelişmiş kalıcı gruplarıyla ilişkilendirilmiştir.
Sekoia’nın yaptığı bir analizde, kampanyanın Çinli APT grubu Mustang Panda’ya atfettiği PlugX’in daha önce görülmemiş bir solucan türünü kullandığı söylendi. Şirket, 2020’de başlayan kampanyanın enfekte flash sürücüler kullanılarak yayıldığını söyledi.
Kurbanlar USB içerisindeki zararlı dosyayı açtıklarında, PlugX kendini ana bilgisayara kopyalıyor, kalıcılık sağlıyor ve ardından her 30 saniyede bir yeni bağlantılar olup olmadığını kontrol ederek onları enfekte ediyor.
Sekoia, kampanyanın şu ana kadar 170’ten fazla ülkede milyonlarca cihazı hedef aldığını tahmin ediyor. Bu da şirketin botnet operatörlerinin olası amacının, mümkün olduğunca çok sayıda kurbanı birden fazla ülkede enfekte etmek ve çevrimdışı cihazları hedeflemek olduğuna inanmasını sağlıyor.
Sekoia’dan bir sözcü, şirketin botnet kampanyasının komuta ve kontrol sunucusunun kontrolünü ele geçirdiğini söyledi. “Polis gücüne sunulan dezenfeksiyon aracını geliştirdik. Daha sonra, her bir yetkilinin kendi ülkesindeki dezenfeksiyon kampanyasına karar verme ve yönetme rolü vardır,” dedi sözcü Information Security Media Group’a.