Siber güvenlik uzmanları, Birleşik Krallık Ulusal Suç Ajansı (NCA) ve diğerlerinin yanı sıra FBI’ı da kapsayan çok uluslu kolluk kuvvetlerinin 25-25 hafta sonu botnet altyapısını çökerten hack-back operasyonunun ardından Qakbot kötü amaçlı yazılımının belirgin düşüşünü memnuniyetle karşıladılar. 27 Ağustos.
Siber suç cephaneliğinde köklü bir araç olan Qakbot, 2000’li yılların sonlarında ortaya çıkışından bu yana dünya çapında milyonlarca sisteme bulaştı. Yıllar geçtikçe, bankacılık truva atı ve kimlik bilgisi hırsızlığı da dahil olmak üzere pek çok farklı kapasitede faaliyet gösterdi ve genellikle spam e-postalar yoluyla kötü amaçlı bir ek olarak yayıldı.
En tehlikelisi, 2021 Kaseya soygununun arkasındaki REvil (diğer adıyla Sodinokibi) ekibi ve LockBit de dahil olmak üzere dünyanın en kötü şöhretli siber suç operasyonlarından bazıları tarafından fidye yazılımı dolaplarının yayılmasını kolaylaştırmak için uzaktan erişim truva atı (RAT) olarak kullanıldı. 2023’ün başında Royal Mail’e saldırdı. Amerikalılar, Qakbot’un yöneticilerinin, kullanıldığı çeşitli fidye yazılımı saldırılarından 58 milyon dolara kadar para almış olabileceğine inanıyor.
Ördek Avı Operasyonu olarak adlandırılan, Qakbot’a yönelik hackleme görevi, FBI’ın Qakbot’un altyapısına erişmesini sağladı ve burada kötü amaçlı yazılımın 700.000’den fazla sistemdeki varlığını tespit etti. Aracılar daha sonra Qakbot botnet trafiğini kontrol ettikleri sunuculara ve sunucular aracılığıyla yeniden yönlendirdiler; bu da kurbanların makinelerine, kötü amaçlı yazılımı kaldırmak ve kurbanın sistemini botnet’ten kurtarmak için bir dosya indirmeleri talimatını vererek, Qakbot aracılığıyla kötü amaçlı yazılımın daha fazla yüklenmesini engelledi. Ayrıca milyonlarca dolar değerinde yasa dışı kripto para varlığına da el koydular.
FBI, eylemin kapsamının kurban sistemlerine Qakbot tarafından yüklenen bilgilerle sınırlı olduğunu, bulunmuş olabilecek başka hiçbir kötü amaçlı yazılımın kaldırılmadığını ve teşkilatın başka hiçbir bilgiye erişmediğini veya bunları değiştirmediğini iddia etti.
“Ördek Avı Operasyonu Ekibi bilim ve teknolojideki uzmanlıklarını kullandı, ancak aynı zamanda küresel siber suç tedarik zincirini tam anlamıyla besleyen yüksek düzeyde yapılandırılmış ve çok katmanlı bir bot ağı olan Qakbot’u tespit edip sakatlamak için yaratıcılıklarına ve tutkularına da güvendi” dedi. Donald Alway, FBI Los Angeles Saha Ofisi’nden sorumlu müdür yardımcısı.
“Bu eylemler, ele geçirilen kişisel bilgisayarlardan kritik altyapımıza yönelik yıkıcı saldırılara kadar her düzeyde sayısız siber saldırıyı önleyecektir” dedi.
NCA’nın Birleşik Krallık’taki siber istihbarat başkanı Will Lyne, “Bu soruşturma, Birleşik Krallık’taki ve dünyanın dört bir yanındaki kurbanlara ciddi zarar veren üretken bir kötü amaçlı yazılımı ortaya çıkardı” diye ekledi. “Qakbot, siber suç ekosisteminde fidye yazılımı saldırılarını ve diğer ciddi tehditleri kolaylaştıran önemli bir kolaylaştırıcıydı.
“NCA, siber suçluların suçlarını destekleyen araç ve hizmetleri hedef alarak en yüksek zarara yol açan siber suçluları engellemeye odaklanıyor. Bu etkinlik, uluslararası ortaklarla birlikte çalışarak bu temel kolaylaştırıcılar ve fidye yazılımı iş modeli üzerinde nasıl bir etki yarattığımızı gösteriyor.”
Geniş kapsamlı operasyon, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) da dahil olmak üzere çeşitli ABD kurumlarının yanı sıra Europol’ün yanı sıra Fransa, Almanya, Letonya, Hollanda ve Romanya’dan siber suç uzmanlarını da kapsıyordu. Teknik yardım Zscaler tarafından sağlanırken, Microsoft Dijital Suçlar Birimi ve Have I Been Pwned gibi diğer birimler de mağdurların bildirimi ve iyileştirme konularında yardımcı oluyor.
Qakbot’u avlamak
Secureworks Karşı Tehdit Birimi (CTU) bir süredir Qakbot’un peşindeydi ve bu yılın başlarında, başkan yardımcısı Don Smith yönetimindeki CTU ekibi, Qakbot’un komuta ve kontrol (C2) birinden geçen faaliyetleri takip edip gözlemleyebildi. ) sunucular.
Bu operasyon sırasında ekip ayrıca sunucunun arka uç altyapısına herhangi bir kötü amaçlı trafik geçirmediğinden emin olmak için adımlar attı ve bu da onu Secureworks tehdit aktörleri matrisinde Gold Lagoon olarak takip edilen Qakbot operatörleri için etkili bir şekilde işe yaramaz hale getirdi.
Ekip, dört aylık bir süre içinde 153 ülkede 10.000 virüslü makinenin sunucuya bağlandığını gördü; bunların en az 5.000’i bir etki alanına bağlıydı; bu da bunların özel bir kişi değil, bir işletme veya başka bir kuruluş tarafından sahip olunduğu ve işletildiği anlamına geliyor.
Qakbot operasyonlarını takip etmek için kampanya kimliklerini kullandığından, Smith’in ekibi dönem boyunca üç farklı kampanyayı (BB, Obama ve Snow) takip edebildi. BB ve Obama kampanyalarının her ikisi de Kuzey Amerika ve Batı Avrupa’daki sistemleri hedef alırken, Snow kampanyası çoğunlukla Güney Amerika ve APAC olmak üzere bir dizi başka coğrafyayı hedef aldı. Bunun, Qakbot operatörlerinin “müşterilerinin” gereksinimlerine göre özellikle bölgesel mağdurları hedef alabildiğini gösterdiğini söylediler.
Arka uç altyapısının kendisi Rusya’da bulunuyordu ve rakip Emotet botnet’inin kesintiye uğramasının ardından operatörlerinin Almanya, Hollanda ve ABD dahil diğer coğrafyalardan çekildiği 2021’in başlarından beri tamamen orada bulunuyordu. CTU ekibi, kaldırma işleminin başladığı 25 Ağustos Cuma akşamı saat 11:30 civarında bu altyapının sessizleştiğini gözlemledi.
Kolluk kuvvetleri tarafından gösterilen güçlü çabaların hem virüs bulaşmış ana bilgisayarların sayısını azaltması hem de Gold Lagoon’un Qakbot botnet’inin kontrolünü yeniden ele geçirme girişimlerini engellemesi gerektiğini söylediler.
Kaldırma haberi geldiğinde konuşan Smith şunları söyledi: “Qakbot, dünya çapındaki işletmeler için ciddi bir tehdit oluşturan önemli bir rakipti. E-suç için tasarlanan Qakbot enfeksiyonları, en karmaşık ve zarar verici fidye yazılımlarından bazılarının yayılmasına yol açtı.
“Qakbot yıllar geçtikçe suçluların cephaneliğinin esnek bir parçası haline geldi” diye ekledi. “Kaldırılması memnuniyetle karşılanacaktır.”
Diğerleri de benzer duyguları dile getirdi. KnowBe4’teki veriye dayalı savunma misyoneri Roger Grimes bunların arasındaydı. “FBI’ı ve onun dünya çapındaki ortaklarını alkışlıyorum” dedi. “Harika bir haber! Bu tür yayından kaldırma işlemleri eskiden oldukça nadirdi, ancak zamanla daha yaygın hale geliyor. Uluslararası bir saldırıyı koordine etmek küçük bir başarı değil.
Grimes, “Çok fazla teknik ve hukuki yetenek gerektiriyor” dedi. “FBI’ın suç sunucularından en az birini ele geçirdiğini ve bunu istismar edilen düğümleri, FBI’ın etkilenen bilgisayarlardan Qakbot’u otomatik olarak kaldırmaya çalıştığı daha güvenli bir sunucuya yönlendirmek için kullandığını duymak harikaydı.”
Grimes, tarihsel olarak bu tür proaktif temizlemenin nadir olduğunu ve çoğu zaman tartışmalı olduğunu, sanki doğru yapılmazsa işlerin çok ters gidebileceğini ve iyi niyetli siber uzmanların kendilerini dahil ederek durumu daha da kötüleştirdiği örneklerin olduğunu söyledi.
“FBI ve teknik ortakları, minimum yasal operasyonel etkiyle temizliği doğru yapıyor gibi görünüyor” dedi. “FBI ve ortaklarının proaktif temizliğin riske değer olduğuna karar vermesine sevindim. Yalnızca Qakbot’u kuran sömürülen kişi ve kuruluşların hayatlarını değil, sonraki masum kurbanların hayatlarını da iyileştirir.”
Trellix’ten, kuruluşun Gelişmiş Araştırma Merkezi’ndeki tehdit istihbaratı başkanı John Fokker şunları ekledi: “Genesis Market’in kapatılması ve REvil tutuklamalarına yakın zamanda dahil olmamızla ilgili deneyimlerimize dayanarak, kaldırma süreci basit bir süreç değil. Siber suçlarla mücadele, fidye yazılımı altyapılarının karmaşıklıklarını ortadan kaldırmak için kayda değer miktarda özveri ve işbirliği gerektirir.
“Yayınlama ve tutuklamalardaki artış, siber suçluların arkalarını kollamaları gerektiğini gösteriyor” dedi. “Kolluk kuvvetleri ve sektör, tehdit aktörlerini engellemek için her fırsatı arıyor ve ek saldırılar da yaklaşıyor.”
Geri dönecekler
Bununla birlikte, Qakbot’un kesintiye uğraması birçok siber suç operasyonu için bir gerileme olacak olsa da, genel olarak siber suç belasıyla mücadelede muhtemelen nispeten az şey yapacaktır.
Google Cloud Mandiant Intelligence’ın başkan yardımcısı Sandra Joyce, siber suç iş modelinin güçlü temellere sahip olduğunu ve kolayca bozulmayacağını söyledi. Bunu kullanan fidye yazılımı çetelerinin kısa sürede başka araçlara yönelmesi veya ilk erişim aracılarının hizmetlerine başvurması muhtemeldir.
“Elimizdeki araçların birçoğunun uzun vadeli etkileri olmayacak” dedi. “Bu gruplar iyileşecek ve geri dönecekler. Ancak mümkün olduğunca bu operasyonları aksatmak gibi ahlaki bir yükümlülüğümüz var.”