Glupteba, şifreleri ve diğer erişim kimlik bilgilerini çalan, güvenlik yazılımını devre dışı bırakan ve spam veya diğer kötü niyetli trafiği aktarmak için kurban ağındaki diğer cihazları (İnternet yönlendiricileri ve medya depolama sunucuları gibi) tehlikeye atmaya çalışan bir rootkit’tir.
Toplu olarak, herhangi bir günde Glupteba’nın bulaştığı on binlerce sistem, bir dizi büyük siber suçlu işletmesini besliyor: Botnet’in sahipleri çaldıkları kimlik bilgilerini satıyor, botnet’i kullanarak virüslü bilgisayarlara yıkıcı reklamlar yerleştiriyor ve kripto para birimleri çıkarıyor. Glupteba ayrıca virüslü sistemleri “proxy’ler” olarak kiralayarak, trafiğin kaynağını gizlemek için üçüncü taraf trafiği virüslü cihazlar aracılığıyla yönlendirir.
Haziran 2022’de KrebsOnSecurity, kötü amaçlı yazılım proxy hizmetleri RSOCKS ve AWMProxy’nin yeni proxy’ler için nasıl tamamen Glupteba botnet’e bağımlı olduğunu ve AWMProxy’nin kurucusunun Dimitri Starovikov – Google’ın davasında adı geçen Rus adamlardan biri.
Google, Haraççıların Etkisindeki ve Yolsuz Kuruluşlar Yasası (RICO), Bilgisayar Dolandırıcılığı ve Kötüye Kullanımı Yasası, ticari marka ve haksız rekabet yasası ve haksız zenginleşmenin ihlal edildiği iddiasıyla Starovikov ve diğer 15 “John Doe” sanığına dava açtı.
Haziran ayında, Google ve adı geçen sanıklar, Google’ın tazminat talebini geri çekmesi nedeniyle davanın, botnet’in faaliyetlerini durdurmak için yalnızca ihtiyati tedbir talebinde bulunması nedeniyle, davanın jüri dışı bir eylem olarak devam edeceği konusunda anlaştılar.
adlı bir Rus firmasında çalışan sanıklar,Valtronadlı davada da adı geçen, Google’a uzlaşmayla ilgilendiklerini söyledi. Sanıklar, botnet’i çevrimdışı duruma getirerek potansiyel olarak Google’a yardımcı olabileceklerini söylediler.
Ancak mahkeme, sanıkların kalıcı bir tedbir kararına rıza göstermeye isteksiz olmalarından ve aynı zamanda onları yasa dışı faaliyetlerde bulunmalarını yasaklayan bir tedbir kararının neden sorun teşkil edeceğini açıklayamamalarından duyduğu hayal kırıklığını dile getirdi.
ABD Bölge Mahkemesi Yargıcı Denise Cote, “Sanıklar, suç faaliyetinde bulunmadıkları ve giriştikleri iddia edilen faaliyetlerin meşru olduğu konusunda ısrar ettiler” diye yazdı. “Bununla birlikte, Davalılar, Google’ın ihtiyati tedbiri kullanmasının normal iş faaliyetlerini kesintiye uğrattığını ileri sürerek kalıcı bir tedbir kararı alınmasına karşı çıktılar.”
Sanıklar, Glupteba botnet’i ortadan kaldırma yeteneğine sahip olduklarını ifade ederken, keşif zamanı geldiğinde – her iki tarafın da kendi davalarıyla ilgili belgeleri ve diğer bilgileri ibraz etmeye zorlayabilecekleri bir dava aşaması – sanıkların avukatı şunları söyledi: mahkeme müvekkilleri 2021’in sonlarında Valtron tarafından kovulmuştu ve bu nedenle artık iş dizüstü bilgisayarlarına veya botnet’e erişimleri yoktu.
Sanıkların avukatı – New York merkezli siber suç savunma avukatı İgor Litvve – mahkemeye, müvekkillerinin Valtron’dan feshedildiğini ilk olarak 20 Mayıs’ta öğrendiğini söyledi, Yargıç Cote, o tarihten sonra mahkemeye verdiği müvekkillerinin hala botnet’e erişimi olduğunu gösteren ifadeleri göz önünde bulundurarak “rahatsız edici” bulduğunu söyledi.
Mahkeme nihayetinde, sanıkların yalnızca “Google’ın kötü amaçlı yazılımı engellemek için attığı adımları atlatıp atlatamayacaklarını öğrenmek için” keşif yapmaya çalıştıklarına inanmak için nedenler olduğunu söyleyerek Google’a karşı keşif sürecini askıya aldı.
6 Eylül’de Litvak, Google’a müşterilerinin anlaşmayı tartışmaya istekli olduklarını e-postayla bildirdi.
“Taraflar 8 Eylül’de bir telefon görüşmesi yaptı ve burada Litvak, Sanıkların Google’a Glupteba botnet ile ilişkili Bitcoin adreslerinin özel anahtarlarını vermeye istekli olacaklarını ve sözde suç faaliyetlerine bulaşmayacaklarına söz vereceklerini açıkladı. gelecek (herhangi bir suç kabul etmeden), ”diye yazdı yargıç.
Yargıç Cote, “Karşılığında, Sanıklar, Google’ın kendilerini kolluk kuvvetlerine bildirmeme sözleşmesini ve sanık başına 1 milyon ABD doları artı 110.000 ABD doları avukatlık ücreti alacak” dedi. “Davalılar, şu anda özel anahtarlara erişimleri olmasa da, Valtron’un, davanın sonuçlanması halinde onlara özel anahtarları sağlamaya istekli olacağını belirttiler. Davalılar ayrıca, bu anahtarların Google’ın Glupteba botnet’i kapatmasına yardımcı olacağına inandıklarını belirttiler.”
Google, sanıkların teklifini şantaj olduğu gerekçesiyle reddetti ve bunu kolluk kuvvetlerine bildirdi. Yargıç Cote ayrıca Litvak’ın sanıkların mahkemeyi yanıltma çabalarında suç ortağı olduğunu tespit etti ve Google’ın yasal ücretlerini ödemede müvekkillerine katılmasını emretti.
Yargıç Cote, “Davalıların bu Mahkemeye Google’ın iddialarına karşı iyi niyetle savunma yapmak için değil, Google’dan kar elde etmek için mahkeme sistemini ve keşif kurallarını kötüye kullanma niyetiyle çıktıkları artık açık” diye yazdı.
Litvak, mahkemeden kendisine yönelik yaptırımları kaldırmasını talep ederek, yeniden değerlendirilmek üzere bir dava açtı (PDF). Amacının davayı tekrar mahkemeye götürmek olduğunu söyledi.
Litvak, KrebsOnSecurity ile yaptığı bir röportajda, “Yargıç yaptırım uygulamakla tamamen hatalıydı” dedi. “Davanın başından beri, Google’ı bir şeyden koruması gerekiyormuş gibi davrandı. Eğer mahkeme yaptırımları kaldırmaya karar vermezse 2. Daireye (Yargıtay) gidip orada adaleti aramak zorunda kalacağız.”
Google, mahkemenin kararıyla ilgili yaptığı açıklamada, bunun çevrimiçi suç için önemli sonuçları olacağını ve geçen yıl botnet’e yönelik teknik ve yasal saldırılarından bu yana Google’ın Glupteba’nın bulaştığı ana bilgisayar sayısında yüzde 78’lik bir azalma gözlemlediğini söyledi.
Google’ın Baş Hukuk Müşavirliği’nden bir blog gönderisinde, “Glupteba operatörleri Google dışı bazı platformlarda ve IoT cihazlarında faaliyetlerine devam ederken, grubun üzerine yasal bir ışık tutmak, diğer suç operasyonlarının onlarla çalışmasını daha az çekici hale getiriyor” diyor. Halimah DeLaine Prado ve mühendislikten sorumlu başkan yardımcısı Kraliyet Hansen. “Ve adımlar [Google] Geçen yıl operasyonlarını aksatmalarının zaten önemli bir etkisi oldu.”