Perşembe günü ABD hükümeti, bilgisayarlarda ve cep telefonlarında casusluk yapmak için tasarlanmış kötü amaçlı yazılım satmak için kullanılan bir web sitesine el koyduğunu duyurdu.
Kötü amaçlı yazılımın adı NetWire ve yıllardır birçok siber güvenlik şirketlerve en azından bir devlet kurumu, bilgisayar korsanlarının kötü amaçlı yazılımı nasıl kullandığını ayrıntılı olarak açıklayan raporlar yazdı. NetWire’ın bilgisayar korsanlığı forumlarında da reklamı yapıldığı bildirilirken, kötü amaçlı yazılım sahipleri onu meşru bir uzaktan yönetim aracıymış gibi gösteren bir web sitesinde pazarladılar.
“NetWire, işletmelerin bilgisayar altyapısının bakımıyla bağlantılı çeşitli görevleri tamamlamasına yardımcı olmak için özel olarak tasarlanmıştır. Uzaktaki tüm bilgisayarlarınızın listesini tutabileceğiniz, durumlarını ve envanterlerini izleyebileceğiniz ve herhangi birine bakım amacıyla bağlanabileceğiniz tek bir ‘komuta merkezi’dir.” sitenin arşivlenmiş bir versiyonu.
İçinde basın açıklaması adresinde barındırılan web sitesine el konulduğunu duyurmak worldwiredlabs.comKaliforniya Merkez Bölgesi’ndeki ABD Savcılığı, FBI’ın 2020’de site hakkında soruşturma başlattığını söyledi. Federaller, sitenin uluslararası kara para aklama, dolandırıcılık ve bilgisayar suçları işlemek için kullanıldığını iddia ediyor.
ABD Başsavcılığı sözcüsü TechCrunch’a bir kopyasını verdi. web sitesine el koymak için kullanılan emirFBI’ın NetWire’ın aslında bir Uzaktan Erişim Truva Atı – veya RAT – kötü amaçlı yazılım olduğunu ve uzak bilgisayarları yönetmek için meşru bir uygulama olmadığını nasıl belirlediğini ayrıntılarıyla anlatıyor.
Arama emri, FBI Araştırma Ekibinin bir üyesinin veya temsilcisinin bir NetWire lisansı satın aldığını, kötü amaçlı yazılımı indirdiğini ve Ekim ayında analiz edecek olan bir FBI-LA bilgisayar bilim adamına verdiğini açıklayan, adı açıklanmayan bir FBI Görev Gücü görevlisi tarafından yazılmış bir yeminli ifade içeriyor. 5, 2020 ve 12 Ocak 2021.
Görsel Kaynakları: Net Tel
Kötü amaçlı yazılımın yeteneklerini test etmek için bilgisayar bilimcisi, aracı tarafından kontrol edilen bir Windows sanal makinesine yüklenen “NetWire RAT’ın özelleştirilmiş bir örneğini” oluşturmak için bir test bilgisayarında NetWire’ın Oluşturucu Aracını kullandı. Bu süreç sırasında, NetWire web sitesi “FBI’ın testi sırasında saldırdığı test kurbanı makineye sahip olduğunu, onu çalıştırdığını veya bu makine üzerinde herhangi bir mülkiyet hakkına sahip olduğunu hiçbir zaman FBI’dan doğrulamasını talep etmedi (saldırılar meşru veya meşru bir amaç içinse uygun olacaktır). yetkili amaç).”
Diğer bir deyişle FBI, bu deneye dayanarak NetWire sahiplerinin, müşterilerinin sahip oldukları veya kontrol ettikleri bilgisayarlarda NetWire’ı meşru amaçlarla kullanıp kullanmadıklarını kontrol etme zahmetine asla girmedikleri sonucuna vardı.
FBI bilgisayar bilimcisi, kurdukları sanal makineyi kullanarak daha sonra, dosyalara uzaktan erişim, Windows Not Defteri gibi uygulamaları görüntüleme ve zorla kapatma, saklanan parolaları sızdırma, tuş vuruşlarını kaydetme, istem veya kabuk aracılığıyla komutları yürütme ve alma dahil olmak üzere NetWire’ın tüm işlevlerini test etti. Ekran görüntüleri.
“FBI LA [computer scientist] yukarıda test edilen tüm özelliklerde, virüslü bilgisayarın bu eylemlerin gerçekleştiğine dair hiçbir bildirim veya uyarı göstermediğini vurguladı. Bu, kullanıcının adına belirli bir eylemi gerçekleştirmek için genellikle kullanıcının onayının gerekli olduğu meşru uzaktan erişim araçlarına aykırıdır,” diye yazdı Görev Gücü yetkilisi yeminli ifadede.
Memur ayrıca, FBI’ın Ağustos 2021’de ABD merkezli bir NetWire kurbanından aldığı bir şikayete atıfta bulundu, ancak kurbanın bir üçüncü taraf tuttuğunu söylemesi dışında kurbanın kimliğini veya davanın pek çok ayrıntısını içermiyordu. kurban şirketin NetWire’ı yükleyen kötü amaçlı bir e-posta aldığı sonucuna varan siber güvenlik firması.
ABD Kaliforniya Merkez Bölgesi Başsavcılığı sözcüsü Ciaran McEvoy, TechCrunch’a arama emri ve ekli yeminli ifade dışında davayla ilgili başka herhangi bir kamuya açık belgeden haberdar olmadığını söyledi. sahiplerinin kimliği dahil olmak üzere NetWire’ı satmak için kullanılan bilgiler bu noktada sınırlıdır.
Basın açıklamasında DOJ, Hırvat yetkililerin web sitesini işlettiği iddia edilen yerel bir vatandaşı tutukladığını ancak şüphelinin adını vermediğini yazdı.
Açıklamanın ardından siber güvenlik muhabiri Brian Krebs bir makale yazdı burada, worldwiredlabs.com web sitesini Mario Zanko adlı bir kişiye bağlamak için herkesin erişebileceği DNS kayıtlarını, WHOIS web sitesi kayıt verilerini, kamuya açık veritabanı sızıntılarında açığa çıkan verileri indeksleyen bir hizmet tarafından sağlanan bilgileri ve hatta bir Google+ profilini kullandı.