Bugüne kadarki en büyük ve en uzun süredir devam eden botnet’lerden biri olan Qakbot, FBI’ın öncülük ettiği ve ‘Ördek Avı Operasyonu’ olarak bilinen çok uluslu bir kolluk kuvvetleri operasyonunun ardından kaldırıldı.
Botnet (Qbot ve Pinkslipbot olarak da bilinir), kolluk kuvvetleri tarafından dünya çapındaki şirketlere, sağlık hizmeti sağlayıcılarına ve devlet kurumlarına yönelik en az 40 fidye yazılımı saldırısıyla ilişkilendirildi ve ihtiyatlı tahminlere göre yüz milyonlarca dolarlık hasara neden oldu. Yalnızca son 18 ayda kayıplar 58 milyon doları aştı.
Yıllar boyunca Qakbot, Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex ve en son olarak Black Basta dahil olmak üzere çeşitli fidye yazılımı çeteleri ve bunların bağlı kuruluşları veya operatörleri için sürekli olarak bir başlangıç enfeksiyon vektörü olarak hizmet etti.
FBI Direktörü Christopher Wray, “Kurbanlar, Doğu Yakası’ndaki finans kurumlarından, Ortabatı’daki kritik altyapı hükümet yüklenicisine ve Batı Yakası’ndaki tıbbi cihaz üreticisine kadar çeşitlilik gösteriyor” dedi.
“Bu botnet, bunun gibi siber suçlulara, dünyanın her yerindeki bireylere ve işletmelere karşı saldırılar gerçekleştirmek için kullanılan yüz binlerce bilgisayardan oluşan bir komuta ve kontrol altyapısı sağladı.”
FBI, 700.000’den fazla bilgisayara (Amerika Birleşik Devletleri’nde 200.000’den fazla) bulaştıktan sonra Qakbot’un altyapısını ortadan kaldırdı.
FBI ajanları, Cuma gecesi komuta ve kontrol sunucularına erişim sağladıktan sonra Qakbot trafiğini teşkilatın kontrol ettiği sunuculara yönlendirdi.
Bu stratejik erişim, FBI’ın dünya genelinde güvenliği ihlal edilmiş cihazlara bir kaldırıcı dağıtmasına, enfeksiyonu temizlemesine ve ek kötü amaçlı yüklerin yayılmasını önlemesine olanak tanıdı.
Adalet Bakanlığı bugün bir basın açıklamasında, “Bu kolluk kuvvetleri eyleminin kapsamı, Qakbot aktörleri tarafından kurban bilgisayarlarına yüklenen bilgilerle sınırlıydı” dedi.
“Bu, kurban bilgisayarlara halihazırda yüklenmiş olan diğer kötü amaçlı yazılımların düzeltilmesini kapsamadı ve virüs bulaşmış bilgisayarların sahiplerinin ve kullanıcılarının bilgilerine erişimi veya bu bilgilerin değiştirilmesini içermiyordu.”
FBI’ın bu ortak operasyon boyunca birlikte çalıştığı ortaklar arasında Europol, Fransız Polis Siber Suçlar Merkez Bürosu ve Paris Savcılığı Siber Suçlar Bölümü, Almanya Federal Kriminal Polisi ve Frankfurt/Main Başsavcılığı, Hollanda Ulusal Polisi ve Ulusal Savcılık yer alıyor. Ofisi, Birleşik Krallık Ulusal Suç Teşkilatı, Romanya Ulusal Polisi ve Letonya Eyalet Polisi.
FBI ayrıca mağdurları bilgilendirmek için CISA, Shadowserver, Microsoft Dijital Suçlar Birimi, Ulusal Siber Adli Tıp ve Eğitim İttifakı ve Have I Been Pwned ile de çalıştı.
Operasyon FBI’ın Los Angeles Saha Ofisi, ABD Kaliforniya Merkez Bölgesi Başsavcılığı ve Ceza Dairesi’nin Bilgisayar Suçları ve Fikri Mülkiyet Dairesi (CCIPS) tarafından Eurojust ile işbirliği içinde koordine edildi.
“Qakbot, en meşhur fidye yazılımı çetelerinden bazılarının tercih ettiği botnetti, ancak şimdi onu ortadan kaldırdık. Bu operasyon aynı zamanda Qakbot siber suç örgütünden yaklaşık 9 milyon dolarlık kripto para biriminin ele geçirilmesine de yol açtı. Kurbanlara açık” dedi ABD Başsavcısı Martin Estrada.
Mayıs ayında, Five Eyes’a üye tüm ülkelerdeki siber güvenlik ve istihbarat teşkilatları, Rusya Federal Güvenlik Servisi (FSB) tarafından işletilen ve kötü şöhretli Turla hack grubuyla bağlantılı olan Snake eşler arası botnet’i de çökertti.