Siber suç, Hizmet olarak siber suç, Uç Nokta Güvenliği
TrickBot ve Emotet Botnet’leri, Kanun Yaptırımı Tarafından Verilen Kesintiden Sonra Geri Döndü
Mathew J. Schwartz (euroinfosec) •
4 Eylül 2023
Qakbot’un çığlığı sona erdi mi?
Ayrıca bakınız: Tedarik Zinciri Riskinin Değerlendirilmesi ve Azaltılması
Zararlı, çok işlevli kötü amaçlı yazılım, geçen hafta FBI’ın öncülük ettiği uluslararası bir operasyon olan “Ördek Avı” Operasyonu sayesinde sessizliğe büründü. Yetkililerin Qakbot botnet’iyle bağlantısını zorla kesen 700.000 virüslü sistemden kötü amaçlı kodun alındığının işareti. FBI ayrıca kurbanlara iade etme sözü verdiği 52 sunucuya ve 8,6 milyon dolarlık çalıntı kripto para birimine el koydu (bkz.: ‘Ördek Avı’ Operasyonu Qakbot’u Parçaladı).
İyi çocuklar için bir puan. Qakbot’un operatörleri ve geliştiricilerinin serbest kalması dışında, hizmeti yeniden toplayıp yeniden başlatabilirler.
Siber tehdit istihbarat operasyonlarından sorumlu başkan yardımcısı Ian Gray, “Qakbot’un ortadan kaldırılmasının siber suçlarla mücadelede büyük bir zafer olduğuna şüphe olmasa da, dirençli olduğu bilinen siber suç ekosistemine karşı mücadelede yalnızca kısa vadeli bir rahatlama sağlayabilir” dedi. Flashpoint’te bir blog yazısında.
Pek çok siber suç hizmet sağlayıcısı, vatandaşlarını iade etmeyen Rusya’dan faaliyet gösteriyor. Bu durum, suçlu bilgisayar korsanlarının yurtdışında tatil yapmadığı sürece onlara ulaşmayı zorlaştırıyor. Bu suçlular serbest kaldıkları sürece, kötü amaçlı yazılımlarının ve botnet komuta ve kontrol altyapılarının temelini oluşturan kodu değiştirmelerini ve Qakbot’un bir sonraki sürümünü piyasaya sürmelerini zorlaştıracak şekilde değişiklik yapmalarını engelleyen çok az şey var.
Şimdilik, Qakbot’un en azından zorunlu izinli görünmesini kutlayalım. Bu hoş bir şey çünkü Qakbot enfeksiyonları hiçbir zaman iyi bir haber olmadı. Yayından kaldırma sonrası temizleme çalışmalarına yardımcı olan The Spamhaus Project, “Tüketici ve kurumsal bilgisayarlarda Qakbot modüler bir bilgi ve şifre çalıcı görevi gördü” dedi.
Spamhaus, “Ayrıca, Qakbot’un e-postayı bir vektör olarak kullanarak, kötü amaçlı bağlantılar veya ekler kullanarak yanal olarak yayılmasına izin veren bir spam modülü de içeriyordu” diye ekledi. “Her gün, ihlal edilen hesaplar aracılığıyla onbinlerce kötü amaçlı yazılım yüklü e-posta gönderiyordu ve kullanıcı etkileşimini teşvik etmek için tasarlanmış, bilinen kişilerden gelen meşru e-posta gibi davranıyordu.”
Buna ek olarak, John Hammond, Qakbot’un sıklıkla “sadece kalıcılığı korumak için ortamda gizlendiğini, böylece başka bir tehdit aktörünün daha sonra erişim elde edip fidye yazılımını dağıtabildiğini, kripto para birimi madenciliği yapabildiğini, yazılımı veya diğer istismar sonrası etkileri bozabileceğini veya bozabileceğini” söyledi. Huntress’teki kıdemli güvenlik araştırmacısı bir blog yazısında şunları söyledi. Bu tür işlevleri kullanan fidye yazılımı grupları arasında Black Basta, Conti, Egregor, MegaCortex, ProLock ve REvil yer alıyordu.
FBI Direktörü Christopher Wray geçen hafta yayından kaldırılmayı duyururken, “Kurbanlar, Doğu Yakası’ndaki finans kurumlarından Ortabatı’daki kritik altyapı hükümet yüklenicisine ve Batı Yakası’ndaki tıbbi cihaz üreticisine kadar çeşitlilik gösteriyordu” dedi.
Yeniden İnşa Zaman Alır
Qakbot geri dönerse mevcut süre ne kadar sürebilir? Red Canary’de siber tehdit istihbarat analisti Stef Rand bir blog yazısında “Altyapı ve işlevsel botnet’lerin yeniden inşa edilmesi zaman ve çaba gerektirir” dedi.
“TrickBot ve Emotet gibi diğer kötü amaçlı yazılımlara yönelik önceki altyapı kaldırma girişimleri, kötü amaçlı yazılımın kullanımını azalttı ancak tamamen ortadan kaldırmadı” diye ekledi. “Qbot’un kalıcı olarak devre dışı bırakılıp bırakılmadığı henüz bilinmiyor.”
TrickBot 2020’de kesintiye uğradı, ancak 2021’de BazarLoader biçiminde yeniden ortaya çıktı ve Conti fidye yazılımı grubuyla yakın bağları vardı (bkz.: Siber Suç Hareketleri: Conti Ransomware, TrickBot Kötü Amaçlı Yazılımını Emer). 2021’in sonlarına doğru Conti, operasyonu tamamen devralmış görünüyordu.
Emniyet teşkilatı Ocak 2021’de Emotet’i kesintiye uğrattıktan sonra, bir yıl sonra yeniden ortaya çıktı ve görünüşe göre TrickBot’un operatörleriyle yakın ilişkiler kurdu. Red Sense araştırma sorumlusu Yelisey Bohuslavskiy, LinkedIn gönderisinde TrickBot ve BazarLoader’ın kötü sonuçlar nedeniyle emekli olmasına rağmen Emotet’in “önemli bir tehdit olmaya devam ettiğini” söyledi.
Bohuslavskiy, geçen hafta tüm Qakbot operasyonlarının kesintiye uğrayıp uğramadığının net olmadığını söyledi. Kendisi, geçen yıldan bu yana iki farklı operasyonun (fidye yazılımı grubu Clop ve daha sonra Black Basta, BlackByte ve Karakurt haline gelen Conti’nin eski Team 3’ü) Qakbot operasyonlarını yürüttüğünü söyledi.
Bohuslavskiy, 3. Takımın Haziran ayından beri sessiz olduğunu söyledi. Eğer dağıldıysa Qakbot günleri muhtemelen sona ermiştir. Sadece bir yaz tatili geçirip yeniden ortaya çıkarsa, Ördek Avı Operasyonu’ndan zarar görmeden kurtulan altyapıyı koruyabilecek “QBot-Black Basta zincirinden gelen güçlü bir tehdide tanık olabiliriz” dedi.
Alternatifler Çoktur
Qakbot’un kazı pişmiş olsa bile suç grubu, gelişen bir hizmet olarak siber suç ekosisteminin yalnızca bir oyuncusuydu. Özellikle fidye yazılımı gruplarının hâlâ kripto kilitleyen kötü amaçlı yazılımlarını uç noktalara kolayca yükleyebilecek hizmet sağlayıcılara ihtiyacı var ve bu nedenle muhtemelen yakında diğer seçenekleri de benimseyecekler.
Red Canary’s Rand, TA570 ve TA577 kod adlı gruplar da dahil olmak üzere pek çok büyük oyuncunun “Qbot’a benzer yeteneklere sahip olan ve aynı rakiplerden bazıları tarafından zaten kullanılmış olan” IcedID’ye geçiş yapmasını beklediğini söyledi.
Halihazırda yaygın olarak kullanılan diğer Qakbot alternatiflerinin arasında Brute Ratel, NetSupport Manager ve Pikabot’un yer aldığını söyledi.
Bu araçlar, kolluk kuvvetlerinin potansiyel aksamalarına yönelik bir sonraki bariz hedefler arasında yer alıyor. Flashpoint’ten Gray, “Gelecekteki saldırıları caydırmak için botnet mali akışları, geliştirici toplulukları ve siber suç tedarik zincirinin diğer yönleri üzerinde sürekli baskıya ihtiyaç var” dedi.
Siber suç altyapısının analiz edildiği ve etkili bir şekilde çözülebileceği noktaya ulaşmak zaman alır. Trellix Gelişmiş Araştırma Merkezi’nde tehdit istihbaratı başkanı John Fokker, “Yayından kaldırma süreci basit bir iş değil; Genesis Market’in kaldırılmasına ve REvil tutuklamalarına yakın zamanda dahil olmamızla ilgili deneyimlerimize dayanarak konuşuyoruz” dedi. “Siber suçlarla mücadele, fidye yazılımı altyapılarının karmaşıklıklarını ortadan kaldırmak için kayda değer miktarda özveri ve işbirliği gerektirir.”
Fokker, bu tür aksamaların savunma gündeminin üst sıralarında yer almayı sürdürdüğünü söyledi. “Kolluk kuvvetleri ve sektör, tehdit aktörlerini engellemek için her fırsatı arıyor ve ek saldırılar da yaklaşıyor” dedi.