Qakbot botnet’i, geçen hafta sonu, virüs bulaşmış bilgisayarların özel hazırlanmış FBI yazılımı tarafından serbest bırakılmaya başlamasıyla sonuçlanan uluslararası bir yasa uygulama operasyonu nedeniyle kesintiye uğradı.
Yaygın bir Qakbot kaldırma işleminin düzenlenmesi
Qakbot yöneticileri, virüslü bilgisayarlara yüklenen Qakbot kötü amaçlı yazılımını kontrol etmek için katmanlı sunuculardan (Kademe 1, Kademe 2 ve Kademe 3) oluşan bir sistem kullanır.
FBI bir arama emri başvurusunda, “Kademe 1 sunucular, kendilerini botnet için kontrol altyapısının bir parçası haline getiren ek bir yazılım ‘süper düğüm’ modülü yüklü olan, Qakbot bulaşmış bilgisayarlardır” diye açıkladı. Tier 2 ve Tier 3 kiralık sunuculardır.
Tier 1 ve Tier 2 sunucuları, Qakbot bulaşmış bilgisayarlar ile Tier 3 sunucusu arasındaki iletişimi iletir, yani sunucu olan botnet aracılığıyla kontrol edilir. 3. Seviye sunucular, Qakbot yöneticileri veya virüslü bilgisayarlara talimat göndermek için para ödeyen diğer siber suçlular tarafından kullanılabilir.
“Bu talimatlar, kurbanın bilgisayarına Qakbot kötü amaçlı yazılımının veya fidye yazılımı da dahil olmak üzere diğer kötü amaçlı yazılımların yeni bir sürümünün indirilmesini ve yüklenmesini içerebilir. Tüm bu iletişimler, Qakbot yöneticilerinin (ve bu soruşturma sonucunda FBI’ın) bildiği anahtarlar kullanılarak şifreleniyor.”
FBI, Qakbot yöneticileri ile Seviye 1 sunucuları arasındaki iletişimi kesmek ve FBI tarafından kontrol edilen bir sunucuyla iletişim kurmak için, Seviye 1 sunucularına yeni bir şifreleme anahtarı içeren FBI tarafından oluşturulan bir modülü indirip yükleme talimatını vermek için kontrol ettikleri bir bilgisayarı kullandı. .
Bu sunucudan, Qakbot kötü amaçlı yazılımını kaldıran ve FBI’ın Qakbot kurbanlarıyla iletişime geçebilmesi için bilgisayarın IP adresini ve ilgili yönlendirme bilgilerini toplayan ek bir program indirilir.
Secureworks tehdit araştırmacıları, ana bilgisayarda çalışan Qakbot işlemini tamamen sonlandırmak için kullanılan Windows DLL yürütülebilir dosyası hakkında ek teknik bilgiye sahiptir.
Secureworks’e göre, bu modülün teslimatı 25 Ağustos BST’de 23:27 UTC’de başladı (yani 25 Ağustos 07:27 EST).
Ek temizlik çalışmaları gerekli
FBI’a, ele geçirilen cihazlardan kötü amaçlı yazılımları devre dışı bırakma veya kaldırma konusunda yasal izin verildiği başka durumlar da olmuştur. Bu yılın başlarında Snake kötü amaçlı yazılımının peşine düştüler ve 2021’de ABD merkezli Microsoft Exchange sunucularından kötü amaçlı web kabuklarını kaldırdılar.
Qakbot’un piyasadaki en yaygın kötü amaçlı yazılımlardan biri olması ve daha fazla enfeksiyona ve kesintiye yol açması nedeniyle FBI’ın onu kaldırmayı ve botnet’in altyapısını ortadan kaldırmayı hedeflemesi şaşırtıcı değil.
Siber tehditlerle ilgili tehdit istihbaratını belirlemeye, izlemeye ve paylaşmaya odaklanan bir kuruluş olan Abuse.ch, tüm orijinal Qakbot C2 sunucularının şu anda çevrimdışı olduğunu gösteriyor.
Qakbot ayrıca, botnet operatörlerinin kötü amaçlı yazılımı daha fazla potansiyel kurbana dağıtmak için güvenliği ihlal edilmiş e-posta hesaplarından yararlanabilmesi amacıyla e-posta kimlik bilgilerini çalmaya çalıştığından, Have I Been Pwned hizmeti ve Hollanda Ulusal Polisi, kullanıcıların kurbanlar arasında olup olmadıklarını kontrol etmelerine olanak tanıyor.
Ancak e-postalarını orada bulamasalar bile bu, onlara Qakbot bulaşmadığı anlamına gelmiyor. Bulaşma genellikle farkedilemez ve FBI’ın kötü amaçlı yazılımı kaldırması da benzer şekilde kullanıcılar tarafından fark edilmez.
“FBI birçok olası kurban bilgisayarın IP adresini tespit etti. Büro, kamuya açık kayıtlara ve IP adresi coğrafi konumuna dayanarak, belirli bir IP adresini kullanan cihazların bulunmasının muhtemel olduğu coğrafi bölgeyi belirleyebilir” dedi.
IP’lerin listesi, ele geçirilen hesaplardan sorumlu e-posta servis sağlayıcılarını ve barındırma şirketlerini bu hesaplardaki şifreleri sıfırlayabilmeleri için bilgilendirecek olan Spamhaus Projesi ve ulusal basına bir rapor gönderecek olan Shadowserver Vakfı gibi kuruluşlarla paylaşıldı. bilgisayar güvenliği olay müdahale ekibi (CSIRT’ler) ve ağ sahipleri, kalan mağdurları bilgilendirmelerine ve Qakbot tarafından gönderilen diğer kötü amaçlı yazılımlarla başa çıkmalarına yardımcı olmak için.