ABD’nin FBI, Adalet Bakanlığı ve uluslararası ortaklarının Qakbot (“Qbot”) botnet’ine karşı gerçekleştirdiği son operasyon övgüye değer bir olaydır. Uzun süredir devam eden bu botnet’i çökerterek, siber güvenlik topluluğunun siber tehditlerle mücadele etmek için birlikte çalışması durumunda nelerin mümkün olabileceğini gösterdik. Biz aslında birlikte daha güçlüyüz. Bu başarının münferit bir zafer olmaktan ziyade birçok başarının ilki olacağını umuyorum. Ancak mevcut iyimserlik dalgasını yumuşatacak bazı nedenler var.
Piyasada daha fazla virüslü cihaz olabilir
FBI’ın bildirdiği 700.000 cihaz sayısı, ele geçirilen rakip sunucular tarafından alınan bağlantılara dayanıyor. Bu önemli bir rakamdır ve bu botnet’e öldürücü bir darbe olabilir. Ancak, kötü amaçlı yazılım temizleme komutunun her durumda başarılı olduğunu varsaysak bile, dokunulmamış başka denizaşırı sunucular da olabilir.
Lumu Technologies’teki araştırma ekibim, botnet’in sözde devre dışı bırakılmasının ardından Qbot’tan gelen kişileri tespit etmeye devam etti.
Qbot’tan kurtulmak sadece ilk adım
Bu 700.000 cihazın her biri hâlâ kimlik bilgilerinin potansiyel olarak çalındığı ve şu anda karanlık ağda satışa sunulan cihazları temsil ediyor. Qbot ayrıca diğer kötü amaçlı yazılım veya kalıcılık araçlarını yüklemek için bir arka kapı görevi de görebilir, bu nedenle bu cihazların her birinin tehlike açısından kontrol edilmesi gerekir.
Tehdit aktörleri uyum sağlayacak
Qbot aslında, bankacılık truva atı olarak asıl amacından uyarlanmış, uzun süredir başımıza bela olduğu kanıtlanmış eski bir botnet’tir. Qbot’un siber suç tedarik zincirindeki unsurlardan yalnızca biri olduğunu unutmamak önemlidir. Kripto para birimlerine el konulduğunu görmek harika ancak bildiğimiz kadarıyla herhangi bir tutuklama yapılmadı. Tehdit aktörleri hâlâ serbest ve diğer kötü amaçlı yazılımların, ilk erişim vektörü ve fidye yazılımının öncüsü olarak Qbot’un yerini alması muhtemel.
Qbot ve Emotet gibi botnet’lerin, benzer (ancak daha küçük) kaldırma operasyonlarını takip etmeden önce dirençli oldukları kanıtlandı ve bunun Qbot’a öldürücü bir darbe olup olmadığı henüz bilinmiyor. Hükümetin operasyonu, siber güvenlikte kolektif eylemin gücünü gösteriyor ve birlikte daha güçlü olduğumuzu pekiştiriyor. Uyanık kalmaya devam etmemiz gerekiyor. Bu savaşı kazanmış olabiliriz ama savaş hala devam ediyor.
Ricardo Villadiego, kurucusu ve CEO’sudur. Lumu Teknolojileribir tehdit avcılığı ve ağ algılama ve yanıt (NDR) uzmanı.
Bilgisayar korsanları ve siber suçların önlenmesi hakkında daha fazlasını okuyun