Siber suçluların geniş çapta favori aracı olan kötü şöhretli Qakbot kötü amaçlı yazılımının arkasındaki altyapı, “Ördek Avı” kod adlı bir operasyonla Federaller tarafından çökertildi.
ABD Adalet Bakanlığı’na (DoJ) göre, resmi iyileştiriciler aynı zamanda on binlerce kurban makinedeki Qakbot enfeksiyonlarını etkisiz hale getirmek için güvenliği ihlal edilmiş bilgisayarlara proaktif bir şekilde bağlandı ve bunu “yasal erişim” ile yaptıklarını söyledi.
Qakbot (diğer adıyla Qbot) genellikle birinci aşama bir implant olarak kullanılır ve farkında olmadan bir hedefin bir e-postadaki kötü amaçlı bir eki açmasının ardından bilgisayarlara bulaşır. Bir makinenin güvenliğini ihlal ettiğinde, onu bir botnet altyapısına köleleştirir ve daha sonraki talimatları bekler. Ortaya çıkan kalıcı enfeksiyon ağı, gerektiğinde ek kötü amaçlı yazılımları isteğe bağlı olarak sunabilir.
Böylece, 2007 yılında bir bankacılık Truva Atı olarak ortaya çıktıktan sonra, operatörlerinin güvenliği ihlal edilmiş makinelerden oluşan kafeslerine erişimi ödeme yapan herhangi bir siber suçluya kiraladığı, Dark Web’deki ilk erişim aracısı pazarının bir parçası haline geldi. Qakbot, fidye yazılımından kripto madenciliğine ve casus yazılıma kadar çeşitli yükler sunarak, çeşitli tehdit aktörlerinin gerçekleştirdiği çok sayıda farklı kampanyanın önemli bir kolaylaştırıcısı oldu.
Qakbot Enfeksiyonlarının Proaktif Durumda Ortadan Kaldırılması
Adalet Bakanlığı ve FBI Salı günü yaptığı duyuruda, Fransa, Almanya, Hollanda, Romanya, Letonya ve Birleşik Krallık ile ortak bir eylemle, küresel kolluk kuvvetlerinin dünya çapında 700.000’den fazla Qakbot bulaşmış bilgisayarı tespit ettiğini ve bu bilgisayarlara eriştiğini duyurdu. BİZ. Secureworks’ün son araştırmasına göre Qakbot enfeksiyonları ev kullanıcılarını ve iş kullanıcılarını eşit derecede etkiliyor.
Adalet Bakanlığı’nın Salı günü yayınlanan Qakbot yayından kaldırma duyurusuna göre, “FBI, botnet’i bozmak için Qakbot trafiğini, virüs bulaşmış bilgisayarlara bir kaldırma dosyası indirmeleri talimatını veren Büro kontrolündeki sunuculara yönlendirdi.” “Qakbot kötü amaçlı yazılımını kaldırmak için oluşturulan bu kaldırıcı, virüs bulaşmış bilgisayarların botnet’ten bağlantısını kesti ve herhangi bir ek kötü amaçlı yazılımın yüklenmesini engelledi.”
Uygulama tartışmalı olsa da, uç nokta temizliği söz konusu olduğunda önceki kesintiler de proaktif bir yaklaşım benimsemişti. Örneğin, Mayıs ayında FBI, güvenliği ihlal edilmiş bilgisayarlarda Snake kötü amaçlı yazılımını devre dışı bırakmayı amaçlayan “Medusa Operasyonu” adını verdiği şeyin bir parçası olarak Perseus adlı özel bir araç kullandı; Snake, Rusya’nın sponsor olduğu Turla gelişmiş kalıcı tehdit (APT) tarafından kullanılan özel bir kötü amaçlı yazılımdı.
Perseus, Snake kötü amaçlı yazılımının kendi hayati bileşenlerinin üzerine yazmasına neden olan komutlar yayınladı ve uzaktan erişime izin veren ABD sulh yargıcının çıkardığı arama emri sayesinde, kullanıcıların aktif izni olmadan makinelerde yürütüldü.
KnowBe4’teki veri odaklı savunma savunucusu Roger Grimes, istismar edilen düğümleri proaktif temizlik yapmak için daha güvenli bir sunucuya yönlendirme kararının olumlu getirisi olan bir risk olduğunu belirtti.
E-postayla gönderdiği bir açıklamada, “Bu tür proaktif temizlik, nadir görülen bir durumdu ve çoğu siber güvenlik uzmanı tarafından bile sıklıkla tartışılıyor” dedi. “Doğru şekilde yapılmazsa, kaldırma işlemi çok yanlış olabilir. FBI ve ortaklarının proaktif temizliğin riske değer olduğuna karar vermesine sevindim. Bu yalnızca Qakbot’u kuran sömürülen kişi ve kuruluşları değil, aynı zamanda sonraki masum kurbanları da iyileştirir. “
Adalet Bakanlığı ise bu çabayı “şimdiye kadar gerçekleştirilen botnet altyapısında ABD öncülüğündeki en büyük kesintilerden biri” olarak nitelendiriyor.
FBI Direktörü Christopher Wray, “FBI, bu geniş kapsamlı suç tedarik zincirini dizlerinden keserek etkisiz hale getirdi” dedi. “Kurbanlar, Doğu Yakası’ndaki finans kurumlarından, Ortabatı’daki kritik altyapı hükümet yüklenicisine ve Batı Yakası’ndaki tıbbi cihaz üreticisine kadar uzanıyordu.”
Qakbot Düştü Ama Çıkması Muhtemel Değil
Sophos uygulamalı araştırma saha CTO’su Chester Wisniewski’ye göre, galibiyet bir kazanç olsa da, Qakbot’un ruhani kardeşleri Trickbot ve Emotet’in daha önce ortadan kaldırılması, bu tür kesintilerin siber yeraltına etkisinin uzun vadede o kadar da önemli olmayabileceğini gösterdi. .
Kendisi e-posta yoluyla şunları kaydetti: “Qakbot botnet’ini bozmak…botnet’in operatörlerine ve bağımlı suç gruplarına ciddi rahatsızlık verecektir.” “Maalesef bu, Qakbot’un efendilerinin onu yeniden oluşturmasını ve güvenlik başarısızlıklarımızdan kâr elde etmeye devam etmesini engellemeyecek. Suçluların planlarını yürütme maliyetini artırabildiğimiz her an, bu fırsatlardan yararlanmalıyız, ancak bu, dinlenebileceğimiz anlamına gelmiyor.” defnelerimizin üzerinde[.] Sorumluları tespit etmek ve operasyonlarını gerçekten devre dışı bırakmak için onları sorumlu tutmak için çalışmaya devam etmeliyiz.”
Mandiant araştırmacıları bu görüşe katılıyor ancak özellikle fidye yazılımının Rusya veya Kuzey Kore gibi düşman ulus devletlerin katılımı nedeniyle büyük bir ulusal güvenlik sorunu olduğu göz önüne alındığında, siber suç ortaklıklarının giderek profesyonelleşen ortamının herhangi bir bölümünü rahatsız etmenin etik bir sorumluluk anlamına geldiğini belirtti. .
Mandiant Intelligence’ın başkan yardımcısı Sandra Joyce, “Bu iş modelinin temelleri sağlam ve bu sorun yakın zamanda ortadan kalkmayacak; elimizdeki araçların birçoğunun uzun süreli etkileri olmayacak” dedi. — Google Cloud, bir açıklamada. “Bu gruplar iyileşecek ve geri dönecekler. Ancak mümkün olduğunca bu operasyonları kesintiye uğratmak gibi ahlaki bir yükümlülüğümüz var.”
Bunun işletmeler için operasyonel açıdan ne anlama geldiğine gelince, Mandiant’ın finansal analizden sorumlu üst düzey yöneticisi Kimberly Goody, suç ekosisteminde savunucuların dikkat etmesi gereken yeni ortaklıklara yol açabilecek bazı kısa vadeli kırılmalar beklediğini söyledi.
“Örneğin, fidye yazılımı saldırılarında Qakbot’u kullanan aktörler, ilk erişim sağlayıcıları için yer altı topluluklarına yönelebilir, bu da yakın vadede daha çeşitli ilk erişim taktikleriyle sonuçlanabilir” dedi.