Popüler fidye yazılımı yayma ağına karşı karmaşık, çok uluslu bir operasyon
Eurojust ile yakın işbirliği içinde olan FBI, geniş çapta tanınan bir botnet operasyonunun altyapısını çökertti. Fidye yazılımı dağıtımlarını kolaylaştıran ve yüz milyonlarca dolar zarara neden olan Qbot artık etkisiz hale getirildi.
ABD Adalet Bakanlığı, Qbot botnet’ine ve operatörlerine karşı yürütülen uluslararası bir eylem olan “Ördek Avı Operasyonu “nun sonucunu açıkladı. Qakbot olarak da bilinen bu kötü niyetli ağ, ABD Savcısı Martin Estrada’nın Adalet Bakanlığı tarafından bir botnet’e karşı yürütülen “en önemli teknolojik ve finansal operasyon” olarak tanımladığı operasyonla çökertildi.
Estrada, Qakbot’un şimdiye kadar ortaya çıkarılan en kötü şöhretli botnet’lerden biri olduğunu ve küresel çapta kurbanlara büyük kayıplar verdirdiğini söyledi. Botnet ilk olarak 2008 yılında keşfedildi ve o zamandan beri sürekli olarak gelişiyor. Qbot kötü amaçlı yazılımı öncelikle üçüncü taraf aktörlerden gelen ek yükler için bir dağıtım ağı olarak hizmet etti ve bu da onu son yıllarda tespit edilen en kötü şöhretli fidye yazılımı türlerinden bazılarını yaymak için tercih edilen botnet haline getirdi.
Ördek Avı Operasyonunu yürüten ekip, son derece organize, çok katmanlı Qbot altyapısını başarıyla tespit etti ve etkisiz hale getirdi. FBI’a göre bu altyapı küresel siber suç tedarik zincirini temelden besliyordu. Büronun ajanları, 200.000’den fazlası ABD’de olmak üzere Qbot kötü amaçlı yazılımının bulaştığı 700.000’den fazla bilgisayarı tespit etmeyi başardı.
FBI, Qakbot’tan gelen trafiği kendi sunucuları üzerinden başarılı bir şekilde yönlendirerek, virüs bulaşmış bilgisayarlara teşkilat tarafından oluşturulan bir dosyayı indirmeleri için talimatlar verdi. Bu dosya kötü amaçlı yazılımı kaldırarak “zombi” bilgisayarı botnet’in kontrolünden kurtarıyor ve aynı kötü amaçlı yazılımın daha fazla bulaşmasını önlüyordu. FBI ayrıca, DoJ tarafından belirtildiği gibi, botnet tarafından virüs bulaşmış bilgisayara “yüklenen” bilgileri de topladı. Sistemin diğer bölümlerine ek bir erişim ya da değişiklik yapılmamıştır.
Ajans ayrıca Qakbot operatörleri tarafından elde edilen yasadışı kârın bir parçası olan 8,6 milyon $ değerinde kripto para ele geçirdi. Müfettişler ayrıca Ekim 2021 ile Nisan 2023 arasında fidye yazılımı kurbanları tarafından ödenen 58 milyon dolarlık “ücretlere” dair kanıtlar keşfetti. Botnet’in yıllar süren operasyonu göz önüne alındığında, operatörleri için toplam kâr muhtemelen önemli ölçüde daha yüksektir.
Zararlı yazılımın bulaştığı bilgisayarlardan kaldırılmasının yanı sıra FBI, Eurojust ve bulut güvenlik şirketi Zscaler ile işbirliği içinde, belirli IP adreslerine bağlı ve belirli sağlayıcılar tarafından işletilen bilgisayarlarda başarılı bir şekilde soruşturma yürüttü. Uygulanan arama emri, sağlayıcıyı, bilgisayarların dosya sistemlerinin görüntüleri, ilgili müşteri bilgileri ve günlükleri de dahil olmak üzere bu IP adresleriyle ilişkili verileri teslim etmeye zorladı.
Şu anda Adalet Bakanlığı, Qakbot botnet’i ya da Duck Hunt Operasyonu ile bağlantılı olabilecek kişiler hakkında herhangi bir bilgi vermemiştir. Soruşturma halen devam etmektedir ve tutuklamaların daha sonraki bir tarihte gerçekleşmesi muhtemeldir.