‘Synergia’ kod adlı uluslararası bir kolluk kuvvetleri operasyonu, fidye yazılımı, kimlik avı ve kötü amaçlı yazılım kampanyalarında kullanılan 1.300’den fazla komuta ve kontrol sunucusunu devre dışı bıraktı.
Komuta ve kontrol sunucuları (C2), tehdit aktörleri tarafından saldırılarında kullanılan kötü amaçlı yazılımları kontrol etmek ve virüslü cihazlardan gönderilen bilgileri toplamak amacıyla çalıştırılan cihazlardır.
Bu sunucular, tehdit aktörlerinin virüs bulaşmış cihazlarda yürütülecek ek yükleri veya komutları indirmesine olanak tanır ve bu da onları birçok saldırıda entegre bir mimari haline getirir.
Bazı kötü amaçlı yazılımlar için, bir komut ve kontrol sunucusunu çevrimdışına almak, tehdit aktörlerinin virüslü cihazlardan veri gönderip alamamasından dolayı daha fazla kötü amaçlı etkinliği önler.
Synergia operasyonu, Eylül ve Kasım 2023 arasında komuta ve kontrol sunucularını belirleyip devre dışı bıraktı; operasyona 55 ülkeden 60 emniyet teşkilatı katıldı.
Bu eylemin sonucunda polis, fidye yazılımı, kötü amaçlı yazılım ve kimlik avı kampanyalarıyla bağlantılı 1.300 C2 sunucusu IP adresi tespit etti.
Interpol, operasyon sırasında belirlenen komuta ve kontrol (C2) sunucularının yaklaşık %70’inin kapatıldığını ve bunun siber suçlular için önemli bir kesinti oluşturduğunu söylüyor.
Bu sunucuların çoğu Avrupa’da bulunurken, Singapur ve Hong Kong’da da önemli sayıda sunucu bulundu. Afrika’daki faaliyetlerin çoğu Güney Sudan ve Zimbabwe’de gerçekleşti ve Amerika kıtasında, Bolivya’da kötü amaçlı yazılım operasyonları bulunup ortadan kaldırıldı.
Ayrıca, Synergia’nın bir sonucu olarak kolluk kuvvetleri, siber suç operasyonlarıyla bağlantılı olduğuna inanılan 31 kişiyi gözaltına aldı ve 70 şüpheliyi daha tespit etti. Yetkililer ayrıca 30 evde arama yaptı ve daha sonraki soruşturmalara yardımcı olabilecek eşyalara el koydu.
Interpol’ün Siber Suçlar Direktör Yardımcısı Bernardo Pillot, “Birden fazla ülke ve ortağın kolektif çabalarıyla elde edilen bu operasyonun sonuçları, dijital alanı korumaya yönelik sarsılmaz kararlılığımızı gösteriyor” dedi.
“Kimlik avı, bankacılık kötü amaçlı yazılımları ve fidye yazılımı saldırılarının ardındaki altyapıyı ortadan kaldırarak, dijital ekosistemlerimizi korumaya ve herkes için daha güvenli, daha emniyetli bir çevrimiçi deneyime bir adım daha yaklaştık.”
Soruşturmaları önemli verilerle besleyerek operasyona katılan siber istihbarat firması Group-IB, bu kez fidye yazılımı, bankacılık truva atı ve kötü amaçlı yazılım operasyonlarıyla bağlantılı 1.900’den fazla IP adresinin tespit edildiğini bildirdi.
Group-IB, henüz çevrimdışına alınmamış sunucuların geri kalan %30’unun siber suç operasyonlarındaki rolleri nedeniyle şu anda soruşturma altında olduğunu söyledi.
Synergia’ya katılan diğer siber istihbarat ortakları Kaspersky, Trend Micro, Shadowserver ve Team Cymru’dur.
.jpg)
C2 sunucularının kapatılması, botnet operasyonları, veri sızdırma, yük alma, saldırı koordinasyonu, uzaktan komut yürütme ve daha fazlasında önemli bileşenler olduğundan siber suç faaliyetlerini kesintiye uğratmada önemli bir adımdır.
Ayrıca sunuculara el koymak, belirli siber suç operasyonlarına ilişkin devam eden soruşturmalarda önemli olabilecek istihbaratın toplanmasına sıklıkla yardımcı olabilir.
Ancak C2’nin yayından kaldırılması her zaman etkili değildir. Örneğin, dayanıklı olacak şekilde tasarlanan eşler arası botnet’ler bu tür kesintilerden hızla kurtulabilirken, fidye yazılımı aktörleri de yedek etki alanlarını ve sunucuları kullanmaya geçebilir.