Küresel bir yasa Bu haftaki uygulama operasyonu, ABD liderliğindeki bir botnet altyapısında yaşanan en büyük mali ve teknik kesinti olarak lanse edilen kötü şöhretli Qakbot botnet’ini çökertti ve parçaladı.
Qakbot, sağladığı hizmetlerle ünlenen bir bankacılık truva atıdır. kurbanın ağında ilk tutunacak yer diğer bilgisayar korsanlarının erişim satın alması ve fidye yazılımı gibi kendi kötü amaçlı yazılımlarını dağıtması için. ABD’li yetkililer, Qakbot’un yalnızca son 18 ayda 40’tan fazla fidye yazılımı saldırısının kolaylaştırılmasına yardımcı olduğunu ve fidye ödemelerinden 58 milyon dolar elde edildiğini söyledi.
“Ördek Avı Operasyonu” adı verilen kolluk kuvvetleri operasyonunda FBI ve uluslararası ortakları, Qakbot’un Amerika Birleşik Devletleri ve Avrupa genelindeki altyapısına el koydu. Operasyonu FBI ile birlikte yürüten ABD Adalet Bakanlığı da, Qakbot siber suç örgütünden 8,6 milyon dolardan fazla kripto paranın ele geçirildiğini ve bunların yakında kurbanların kullanımına sunulacağını duyurdu.
Salı günkü duyuruda FBI, botnet’in ağ trafiğini ABD hükümetinin kontrolü altındaki sunuculara yönlendiren ve federallerin botnet’in kontrolünü ele geçirmesine olanak tanıyan bir operasyon gerçekleştirdiğini söyledi. Bu erişimle FBI, botnet’i kullanarak dünyanın dört bir yanındaki Qakbot bulaşmış makinelere, kurbanın bilgisayarının botnet’ten bağlantısını kesen ve Qakbot yoluyla daha fazla kötü amaçlı yazılım yüklenmesini önleyen FBI tarafından oluşturulmuş bir kaldırıcıyı indirmeleri talimatını verdi.
FBI, operasyonuyla Haziran ayı itibarıyla Qakbot bulaşmış yaklaşık 700.000 cihazın tespit edildiğini söyledi; bunların 200.000’den fazlası ABD’de bulunuyordu. Gazetecilerle yaptığı görüşme sırasında üst düzey bir FBI yetkilisi, Qakbot kurbanlarının toplam sayısının muhtemelen “milyonlarca” olduğunu söyledi.
Ördek Avı Operasyonu şöyle gerçekleşti.
Operasyon nasıl çalıştı?
Göre Operasyona el koyma kararı başvurusu, FBI, Qakbot yöneticileri tarafından kullanılan sistemler de dahil olmak üzere, isimsiz bir web barındırma şirketi tarafından barındırılan Qakbot botnet altyapısını çalıştıran sunucuları tespit etti ve bunlara erişim sağladı. FBI ayrıca mahkemeden, sunucunun müşterilerine, yani Qakbot yöneticilerine bildirimde bulunmasını önlemek için web sunucusunun gizlice sunucuların bir kopyasını üretmesini talep etmesini istedi.
FBI’ın erişim sağladığı sistemlerden bazıları arasında, kötü amaçlı yazılım örneklerini popüler antivirüs motorlarına karşı test etmek için Qakbot’un sanal makine yığını ve siyasi temalı e-postaların büyük olasılıkla alınacağını iyi bilen eski ABD başkanlarının adını taşıyan kimlik avı kampanyaları yürütmek için Qakbot’un sunucuları yer alıyor. açıldı. FBI, Qakbot yöneticileri tarafından çalınan kriptoları içeren Qakbot cüzdanlarını da tespit edebildiğini söyledi.
Uygulamada, botnet’in ortadan kaldırılmasına yönelik planını açıklarken “FBI, soruşturması sayesinde Qakbot botnet’inin yapısı ve işlevi hakkında kapsamlı bir anlayış elde etti” ifadesi yer alıyor. “Bu bilgiye dayanarak FBI, virüs bulaşmış bilgisayarları tanımlamak, onlardan enfeksiyon hakkında bilgi toplamak, bunların Qakbot botnet’iyle olan bağlantısını kesmek ve Qakbot yöneticilerinin bu virüslü bilgisayarlarla daha fazla iletişim kurmasını engellemek için bir araç geliştirdi.”
FBI’a göre Qakbot, dünya çapındaki virüslü bilgisayarlara yüklenen kötü amaçlı yazılımları kontrol etmek için Katman 1, Katman 2 ve Katman 3 olarak tanımlanan katmanlı sistemlerden oluşan bir sistem kullanıyor ve bulgular ABD siber güvenlik kurumu CISA tarafından.
FBI, Tier 1 sistemlerinin, Qakbot bulaşmış sıradan ev veya iş bilgisayarları olduğunu (bunların birçoğu Amerika Birleşik Devletleri’nde bulunuyordu) ve ayrıca ek bir “süper düğüm” modülüne sahip olduklarını, bu bilgisayarların da onları botnet’in uluslararası kontrol altyapısının bir parçası haline getirdiğini söyledi. 1. Seviye bilgisayarlar, yöneticilerin virüs bulaşmış yüzbinlerce makineye şifreli komutlar vermek için kullandığı 3. Seviye ana komut ve kontrol sunucusunu gizlemek amacıyla ağ trafiği için bir proxy görevi gören 2. Seviye sistemlerle iletişim kurar.
FBI, bu sistemlere erişim ve Qakbot’un şifreleme anahtarlarına ilişkin bilgiyle, Qakbot’un şifrelenmiş komutlarının kodunu çözebileceğini ve anlayabileceğini söyledi. FBI, bu şifreleme anahtarlarını kullanarak, bu Seviye 1 “süper düğüm” bilgisayarlarına, süper düğüm modülünü, Qakbot yöneticilerini kendi altyapılarından kilitleyecek yeni şifreleme anahtarlarına sahip, FBI tarafından geliştirilen yeni bir modülle değiştirmeleri talimatını verebildi. .
Değiştirme, değiştirme, kaldırma
Bir göre analiz Siber güvenlik şirketi Secureworks’ün kaldırma çabaları kapsamında FBI modülünün teslimatı 25 Ağustos’ta saat 19:27’de Washington DC’de başladı.
FBI daha sonra bu Seviye 1 bilgisayarlara, Qakbot’un Seviye 2 sunucuları yerine FBI’ın kontrol ettiği bir sunucuyla iletişim kurmaları talimatını veren komutlar gönderdi. Bundan sonra, Qakbot bulaşmış bir bilgisayar sunucularına her bir ila dört dakikada bir giriş yaptığında, kendisini bunun yerine bir FBI sunucusuyla sorunsuz bir şekilde iletişim kurarken bulacaktı.
Qakbot bulaşmış bilgisayarlar FBI’ın sunucusuna yönlendirildikten sonra sunucu, bilgisayara Qakbot kötü amaçlı yazılımını tamamen kaldıran bir kaldırıcı indirmesi talimatını verdi. (Kaldırma dosyası şuydu: yüklendi Google tarafından çalıştırılan çevrimiçi bir kötü amaçlı yazılım ve virüs tarayıcısı olan VirusTotal’a.) Bu, Qakbot’un sunduğu kötü amaçlı yazılımları silmez veya düzeltmez, ancak başka bir ilk Qakbot enfeksiyonunu engeller ve önler.
FBI, sunucusunun “çıkmaz sokak olacağını” ve FBI’ın Qakbot kurbanlarıyla iletişime geçebilmesi için bilgisayarın IP adresi ve ilgili yönlendirme bilgileri dışında “virüs bulaşmış bilgisayarlardan içerik yakalamayacağını” söyledi.
Savcılar Salı günü yaptığı açıklamada, “Qakbot kötü amaçlı kodu kurban bilgisayarlarından silinerek daha fazla zarar vermesi engelleniyor” dedi.
Bu, FBI’ın son yıllarda gerçekleştirdiği en son operasyonel operasyondur.
2021’de federaller, Çinli bilgisayar korsanlarının hacklenen Microsoft Exchange e-posta sunucularına yerleştirdiği arka kapıları kaldırmak için türünün ilk örneği olan operasyonu gerçekleştirdi. Bir yıl sonra FBI, ağları çevrimdışına almak için tasarlanmış güçlü ve yıkıcı siber saldırılar başlatmak için Rus casusları tarafından kullanılan devasa bir botnet’i bozdu ve bu yılın başlarında, en az 2004’ten beri faaliyet gösteren başka bir Rus botnet’ini çevrimdışına aldı.